O NMAP vê portas abertas, mas o netstat não mostra ouvintes nelas

Navegue suas respostas
1

Eu apenas verifiquei meu PC remotamente com o zenmap e vejo várias portas abertas não relacionadas a nenhum serviço que estou fornecendo.

Lista de portas redigida: 

PORT      STATE    SERVICE
32/tcp    filtered unknown
406/tcp   filtered imsp
1277/tcp  filtered miva-mqs
2920/tcp  filtered roboeda
3580/tcp  filtered nati-svrloc
5440/tcp  filtered unknown
6510/tcp  filtered mcer-port
7019/tcp  filtered unknown
8200/tcp  filtered trivnet1
32776/tcp filtered sometimes-rpc15

Nenhuma dessas portas é mostrada quando eu executo netstat -abno | FINDSTR LISTENING

Como uma porta que meu sistema operacional nem sabe que está aberta está em algo além de um estado fechado? Como o nmap está vendo essas portas?

    
por Frank Thomas 27.12.2014 / 06:18

3 respostas

2

Quando o Nmap mostra uma porta como "filtrada" , o que significa é que ela não recebeu resposta para qualquer teste enviado a ela porta. A causa comum para isso é um firewall que está descartando pacotes destinados a essas portas, mas também pode ser o caso quando há perda de pacotes entre o Nmap e o destino. O Nmap geralmente faz um bom trabalho de monitoramento da qualidade da rede durante uma varredura e aumenta o número de tentativas quando detecta pacotes, mas se você usar opções de tempo agressivas como -T5 ou --max-retries 0 , pode ser esperada uma perda de pacotes.

Os firewalls bloqueiam o acesso a portas, independentemente de a máquina que eles estão protegendo usar essas portas. Não há correlação necessária entre a saída de netstat e o conjunto de portas que um firewall permite ou bloqueia. Além disso, dependendo de onde você fez a varredura, pode haver "firewalls" desconhecidos: os provedores de serviços de Internet tendem a filtrar o tráfego de e para portas que historicamente foram sujeitas a abuso, especialmente em casa (ou seja, não acesso à Internet: portas 25, 113, 445, etc.

    
por 27.12.2014 / 14:31
1

existem diferentes maneiras pelas quais as conexões podem ser filtros - uma seria simplesmente descartar os pacotes e a outra enviar uma mensagem de rejeição. Eu suspeito que essas portas estão enviando uma mensagem de rejeição ao invés de simplesmente não responder.

(No mundo do Linux você pode ver isso usando DROP vs REJECT - o primeiro apenas descarta o pacote, o último envia de volta uma mensagem de rejeição, presumivelmente indicando que a porta está filtrada). Você não especificou qual sistema operacional você usa, mas imagino que a idéia seja a mesma, independentemente disso.

    
por 27.12.2014 / 08:48
0

"filtrado" não é o mesmo que "aberto". Adicione --reason à linha de comando do nmap para ver como o nmap chegou à conclusão "filtrado". Dado o que você escreveu, a razão parece "sem resposta".

    
por 21.01.2015 / 23:43

Tags

Alterando a unidade PCIE / m.2 SSD O codificador aac do ffmpeg precisa de uma taxa de bits de áudio?