Sé que una respuesta filtrada en NMap significa que el firewall eliminó los paquetes o que NMap simplemente no recibió una respuesta, pero ¿hay alguna forma de evitar esto?
¿Es posible que el firewall simplemente esté eliminando el tipo de paquetes de ping de NMap pero responda a una conexión normal en telnet o un navegador web?
He buscado mucho, pero no pude encontrar ninguna información específica sobre esto (¿Tal vez estaba usando las palabras clave equivocadas? No estoy seguro)
¡Gracias!
Ver un estado 'filtrado' para un puerto no tiene nada que ver con un "ping" o un intento de explotación. El tráfico de Nmap generalmente no es explotador. Un cortafuegos adaptativo podría detectar el escaneo SYN semiabierto predeterminado (con privilegios) después de que haya detectado un puerto abierto, o podría detectar cualquiera de los tipos de escaneo según la cantidad de puertos cerrados que intenta conectar a. Pero la mayoría de los firewalls no lo harán.
Usando la opción --reason , puedes ver el tipo de respuesta que causó que un puerto estuviera en el estado en que se encuentra. La mayoría de las veces, 'filtrado' significa que todas las sondas de ese puerto se agotaron, y no se vio ninguna respuesta. A veces, sin embargo, puede ser debido a que se recibió un mensaje ICMP Prohibido Administrativamente. Esta es una buena indicación de que hay un firewall más inteligente instalado.
Sin embargo, en el caso más común, un puerto filtrado simplemente significa que se ha configurado un firewall estático (es decir, no adaptable) para dejar las conexiones a ese puerto. En este caso, cualquier conexión entrante, ya sea Nmap o telnet o un navegador, se eliminará.
El método de exploración estándar ( TCP SYN ) utilizado por nmap para las exploraciones TCP es comenzar a abrir una conexión y luego abandonarla a la mitad. Individualmente, estas conexiones son indistinguibles de una conexión ordinaria. En conjunto, pueden identificarse debido a cuántos de ellos hay, pero se necesita un tiempo para que se acumulen las pruebas y el firewall decida bloquear todas las conexiones de una dirección determinada. Por lo general, esto se muestra como los primeros puertos de la exploración están "abiertos" o "cerrados", mientras que los puertos posteriores se "filtran".
Esto se puede sortear de tres formas: primero, reduciendo la velocidad a la que se sondean los puertos ( -T0 hace una sonda cada cinco minutos), segundo, limitando el número de sondas (si solo está interesado en al buscar un servidor web, por ejemplo, puede probar solo los puertos 80 y 443), y tercero, sondeando desde diferentes direcciones para que ninguna dirección pase el umbral de bloqueo del firewall.
Lea otras preguntas en las etiquetas nmap tcp network-scanners