Estou tendo problemas para descobrir isso. Supostamente, o nmap pode distinguir firewalls com informações de estado de firewalls sem estado usando a varredura -sA ou ACK, mas não sei como discernir esse fato da saída nmap de uma varredura ACK.
Eu entendo que o nmap envia pacotes sinalizados ACK para o alvo e o alvo responderá ou não responderá baseado em certos critérios.
1) O alvo responderá com o RST se a porta estiver aberta ou fechada e não filtrada.
2) O alvo NÃO responderá de forma alguma se o filtro estiver DROPPING
3) Target irá enviar mensagem de erro ICMP se o filtro estiver REJEIANDO o tráfego
Sendo verdade, o nmap reportará qualquer porta que responda com o RST como não filtrada e todas as outras portas como filtradas . Isto é algo como isto ... (usando firewall IPTABLES com regra (s) sem estado)
$ sudo nmap -sA -T4 192.168.219.135
Iniciando o Nmap 7.12 ( link ) em 2016-06-28 16:35 EDT
Relatório de varredura do Nmap para metasploitable (192.168.219.135)
Host está ativo (0,00027s de latência).
Não mostrado: 994 portas filtradas
SERVIÇO DO ESTADO DO PORTO
22 / tcp ssh não filtrado
25 / tcp smtp não filtrado
53 / tcp domínio não filtrado
Gopher não filtrado 70 / tcp
80 / tcp http não filtrado
113 / tcp ident não filtrado
Endereço MAC: 00: 0C: 29: B7: F7: 70 (VMware)
Nmap concluído: 1 endereço IP (1 host up) verificado em 4,40 segundos
Baseado fora daquela saída, como um discerniria se isto era stateful ou stateless?
Eu tenho lido tudo o que posso sobre o assunto, incluindo o livro nmap, e nenhum dos exemplos faz sentido para mim. Esta é basicamente a mesma saída do exemplo 10.2 no livro nmap; na verdade, é quase idêntico! O problema é que o livro nmap afirma que esta é a saída do nmap que visava um host executando IPTABLES com regras STATEFUL!
Se eu puder obter a mesma saída de um firewall sem estado como posso a partir de um firewall com monitoração de estado, como posso saber, com base no ACK do nmap, qual firewall estou encontrando?
Estou super frustrado e agradeço qualquer ajuda enviada do meu jeito.