A menos que tenga configurado nmap para no realizar el descubrimiento del host ( -PN
o -PN --send-ip
en la LAN), si indica que todos los puertos están filtrados , entonces el host es < em> up , pero el firewall en ese host está reduciendo el tráfico a todos los puertos escaneados.
Tenga en cuenta que una exploración predeterminada de nmap no prueba todos los puertos. Sólo escanea 1000 puertos TCP. Si desea verificar los servicios de cualquier , querrá verificar todos los 65535 puertos TCP y todos los 65535 puertos UDP.
También, para ser precisos, pero cuando el análisis de puertos indica que un puerto está filtrado , eso no significa que no haya ningún servicio ejecutándose en ese puerto. Es posible que el firewall del host tenga reglas que denieguen el acceso a la IP desde la que se ejecuta el análisis , pero puede haber otras IP que tengan acceso a ese servicio.
Si el escaneo de puertos informa que un puerto está cerrado , es más definitivo que no haya ningún servicio escuchando en ese puerto.
No puedo comentar sobre la falta de resultados de nessus, ha pasado un tiempo desde que lo usé.
Ejemplo de cerrado vs. filtrado vs. host-down
Por ejemplo, en mi red, este host está activo, no tiene servicios en ejecución y no tiene un firewall, tenga en cuenta que los puertos se reportan como cerrados (esto significa que el host respondió a las sondas ese puerto):
% sudo nmap -T4 -n 192.168.1.24
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 7.70 seconds
Este host está activo, no tiene servicios ejecutándose en los puertos 100-1000, y tiene un firewall. Tenga en cuenta que los puertos se informan como filtrados (esto significa que el host eliminó las sondas en esos puertos):
% sudo nmap -T4 -n -p 100-1000 192.168.1.45
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 20.03 seconds
Solo a modo de ilustración, hice un agujero temporal en el firewall para el último host del puerto 443 y volví a realizar la exploración. (No hay nada funcionando en 443 allí). Observe cómo se informan 998 puertos filtrados , pero el puerto 443 se informa como cerrado ; el firewall está permitiendo pasar a través de 443, y el sistema operativo responde con un RST.
% sudo nmap -T4 -n 192.168.1.45
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp open ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 5.67 seconds
No hay ningún host en esta dirección ( host abajo ):
% sudo nmap -T4 -n 192.168.1.199
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds
si vuelvo a escanear con -PN --send-ip
(esto último es necesario porque estoy escaneando la LAN y no quiero usar sondas ARP), veo:
% sudo nmap -T4 -n -PN --send-ip 192.168.1.199
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered
Nmap done: 1 IP address (1 host up) scanned in 101.44 seconds