Existe uma maneira de ver o que está realmente filtrando a comunicação da porta TCP?

8
nmap -p 7000-7020 10.1.1.1

Produzirá todas as portas filtradas

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT     STATE    SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds

Existe uma maneira de ver exatamente o que está filtrando essas portas?

    
por Eduard Florinescu 04.03.2015 / 11:33

4 respostas

11

É isso que os documentos do nmap dizem sobre o estado filtered

filtered Nmap cannot determine whether the port is open because packet filtering prevents its probes from reaching the port. The filtering could be from a dedicated firewall device, router rules, or host-based firewall software...

A única maneira de descobrir o que está fazendo a filtragem é saber quais 'máquinas' estão entre você e o destino remoto.

Isso pode ser obtido usando um utilitário de rastreamento de rota, que tenta determinar hosts entre você e o destino usando pacotes TCP especiais. No seu caso, o comando pode ser algo como:

traceroute 10.1.1.1

Depois de conhecer as máquinas entre você e o alvo, você investiga a configuração de cada um para descobrir se ele está sendo filtrado e, em caso afirmativo, como.

    
por 04.03.2015 / 11:45
7

O Nmap fornece várias maneiras de obter mais informações sobre o que está causando a filtragem:

  • A opção --reason mostrará o tipo de resposta que causou o estado da porta "filtrada". Isso pode ser "sem resposta" ou "admin-proibido" ou qualquer outra coisa.
  • O TTL dos pacotes de resposta é relatado na saída XML como o atributo reason_ttl do elemento state da porta. Se o TTL para uma porta filtrada for diferente de (geralmente maior que) o TTL para portas abertas, a diferença entre os TTLs é a distância da rede entre o destino e o dispositivo de filtragem. Há exceções, como destinos que usam TTLs iniciais diferentes para pacotes ICMP vs TCP ou um dispositivo de filtragem que falsifica ou sobrescreve as informações de TTL.
  • A função --traceroute mostrará informações sobre o lúpulo ao longo do seu trajeto, e qualquer uma delas pode estar filtrando seu tráfego. Em alguns casos, o nome DNS reverso de um dos saltos será algo como "firewall1.example.com"
  • O firewalk script NSE enviará pacotes com TTLs iniciais que terão tempo limite em saltos diferentes ao longo do rota na tentativa de encontrar onde os pacotes estão sendo bloqueados. Isso é algo como uma combinação das duas técnicas anteriores e geralmente funciona muito bem.

A versão de desenvolvimento não-liberada do Nmap também relata o TTL para pacotes de resposta na saída de texto normal com as opções -v --reason . Por enquanto, no entanto, você precisa usar a saída XML para obter essas informações.

    
por 04.03.2015 / 17:10
5

Resposta curta - Não, não é possível vê-lo.

Resposta mais longa:

De: link

"filtrado O Nmap não pode determinar se a porta está aberta porque a filtragem de pacotes impede que seus testes cheguem à porta. A filtragem pode ser de um dispositivo de firewall dedicado, regras de roteador ou software de firewall baseado em host. Essas portas frustram os invasores porque eles fornecem pouca informação. Às vezes, eles respondem com mensagens de erro ICMP, como o código 13 do tipo 3 (destino inacessível: comunicação administrativamente proibida), mas os filtros que simplesmente descartam testes sem responder são muito mais comuns. Isso força o Nmap a tentar novamente várias vezes, caso a sonda tenha sido descartada devido ao congestionamento da rede, e não à filtragem. Isso diminui a velocidade drasticamente. "

Você pode tentar descobrir topologia de rede com ferramentas como traceroute. Normalmente, as portas são filtradas no próprio host (por exemplo, tabelas ip), no roteador de borda de rede de destino, no roteador de núcleo de rede de destino ou na parte superior do switch L3 de rack.

Se você estiver na mesma sub-rede que o host de destino, quase com certeza o firewall estará na máquina de destino.

    
por 04.03.2015 / 11:50
2

Tente comparar um resultado de tcptrace com uma das portas filtradas com um tcptrace para uma porta aberta (ou um traceroute padrão). Se os tcptraces forem iguais, significa que há algo na máquina de destino que filtra as portas.

Atualização: Eu quis dizer tcptraceroute, eu tenho alias.

    
por 04.03.2015 / 19:53