resultados da ferramenta NMAP

2

Eu fiz uma varredura nmap primeiro via nmap 127.0.0.1 (endereço de loopback). Ele retornou 999 portas fechadas, a porta 631 está aberta (correto, pois o netstat -tlpn também mostra que a porta 631 está escutando). Então eu fiz uma varredura de porta via nmap meu endereço IP . Em seguida, retornou o resultado de que todas as 1.000 portas estão fechadas. Por que a diferença entre os dois resultados quando eles estão apenas digitalizando meu PC local?

    
por Mayank Singh 10.08.2015 / 13:06

3 respostas

3

Você tem uma resposta diferente porque a varredura rápida para 127.0.0.1 não passa pelo firewall. A segunda verificação também incluiu regras de firewall.

Status da porta

Estado aberto

Um aplicativo está aceitando ativamente conexões TCP, datagramas UDP ou associações SCTP nessa porta. Encontrar esses é frequentemente o objetivo principal da varredura de portas. Pessoas com mentalidade de segurança sabem que cada porta aberta é uma avenida para o ataque. Os atacantes e pen-testers querem explorar as portas abertas, enquanto os administradores tentam fechar ou protegê-los com firewalls sem frustrar os usuários legítimos. As portas abertas também são interessantes para verificações que não são de segurança porque mostram serviços disponíveis para uso na rede.

Estado fechado

Uma porta fechada é acessível (recebe e responde aos pacotes de sondagem do Nmap), mas não há nenhuma aplicação ouvindo nela. Eles podem ser úteis para mostrar que um host está ativo em um endereço IP (descoberta de host ou verificação de ping) e como parte da detecção do sistema operacional. Como as portas fechadas são alcançáveis, pode valer a pena verificar mais tarde, no caso de alguma abertura. Os administradores podem querer considerar o bloqueio dessas portas com um firewall. Então eles apareceriam no estado filtrado, discutido a seguir.

Estado filtrado

O Nmap não pode determinar se a porta está aberta porque a filtragem de pacotes impede que suas sondas alcancem a porta. A filtragem pode ser de um dispositivo de firewall dedicado, regras de roteador ou software de firewall baseado em host. Essas portas frustram os invasores porque eles fornecem tão pouca informação. Às vezes, eles respondem com mensagens de erro ICMP, como o código 13 do tipo 3 (destino inacessível: comunicação administrativamente proibida), mas os filtros que simplesmente descartam testes sem responder são muito mais comuns. Isso força o Nmap a tentar novamente várias vezes, caso a sonda tenha sido descartada devido ao congestionamento da rede, e não à filtragem. Isso diminui a velocidade drasticamente.

Estado não filtrado

O estado não filtrado significa que uma porta está acessível, mas o Nmap não consegue determinar se está aberto ou fechado. Apenas a varredura ACK, que é usada para mapear conjuntos de regras de firewall, classifica as portas nesse estado. A varredura de portas não filtradas com outros tipos de varredura, como varredura de janela, varredura de SYN ou varredura FIN, pode ajudar a resolver se a porta está aberta.

Abrir & amp; Estado filtrado

O Nmap coloca as portas nesse estado quando não é possível determinar se uma porta está aberta ou filtrada. Isso ocorre para tipos de varredura nos quais as portas abertas não fornecem resposta. A falta de resposta também pode significar que um filtro de pacotes descartou a sonda ou qualquer resposta que ela provocou. Portanto, o Nmap não sabe ao certo se a porta está aberta ou sendo filtrada. As varreduras UDP, protocolo IP, FIN, NULL e Xmas classificam as portas dessa maneira.

Fechado & amp; Estado filtrado

Este estado é usado quando o Nmap é incapaz de determinar se uma porta é fechada ou filtrada. Ele é usado apenas para a varredura ociosa do ID do IP.

Portanto, no seu caso, o estado fechado da porta pode ser porque você não tem aplicativo escutando.

    
por 2707974 10.08.2015 / 13:10
0

Como nmap mostra apenas uma porta aberta para o host local e nenhuma para o seu IP externo, uma conclusão simples é que você tem apenas um serviço atendendo e está ouvindo apenas no host local. A saída de netstat para essa porta confirma isso, pois o serviço está atendendo apenas em 127.0.0.1:631 (localhost IPv4) e ::1:631 (localhost IPv6).

    
por muru 10.08.2015 / 14:39
0

Quando um programa abre um socket TCP de escuta, ele deve primeiro ligar esse socket a um endereço e número de porta . Mais comumente, o endereço será INADDR_ANY , que no Linux é o endereço 0.0.0.0. Isso significa que "qualquer endereço em qualquer interface pode se conectar". A outra alternativa comum é vincular-se ao endereço configurado em uma interface específica: o endereço IP externo do dispositivo ou o endereço especial do adaptador de loopback ( lo ) 127.0.0.1.

No seu caso, o CUPS está escutando na porta 631 no loopback. Isso significa que não pode ser contatado em nenhum outro endereço, nem mesmo pelo Nmap. Isso faz sentido para um sistema que usa CUPS para serviços de impressão, mas não está configurado para ser um servidor de impressão para outros sistemas em sua rede.

    
por bonsaiviking 10.08.2015 / 14:42