nmap resultados “filtrados” em um servidor bem nu - poderia “filtrado” apenas significar “silêncio”?

0

Eu recebo resultados não intuitivos do "nmap -A" que eu quero esclarecer.

Configuração: O sshd (serviço deamon ssh) está sendo executado com sucesso. O postfix está instalado e o serviço smpt está sendo executado. No entanto, ele só configurou para enviar email, não para receber. apache não instalado, iptables vazio, ufw não instalado.

Em esta fonte primária de documentação do nmap: "Portas fechadas não têm nenhum aplicativo ouvindo "

A pergunta:

É possível que alguns exemplos de resultados "filtrados" simplesmente não tenham nenhum aplicativo escutando neles? Ou "filtrado" sempre significa que há algum outro motivo? (Se for o último, gostaria de descobrir qual é esse outro motivo, e é por isso que estou perguntando.)

nmap -A xxxxxx.com

Starting Nmap 7.01 ( https://nmap.org ) at 2018-01-21 18:13 PST
Nmap scan report for xxxxxx.com (45.**.***.***)
Host is up (0.058s latency).
rDNS record for 45.**.***.***: li****-***.members.linode.com
Not shown: 995 closed ports
PORT    STATE    SERVICE      VERSION
22/tcp  open     ssh          OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 **** (RSA)
|_  256 **** (ECDSA)
25/tcp  filtered smtp
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

sudo lsof -i -n

COMMAND  PID    USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    3396    root    3u  IPv4  15205      0t0  TCP *:ssh (LISTEN)
sshd    3396    root    4u  IPv6  15214      0t0  TCP *:ssh (LISTEN)
master  4988    root   12u  IPv4  19670      0t0  TCP 127.0.0.1:smtp (LISTEN)
master  4988    root   13u  IPv6  19671      0t0  TCP [::1]:smtp (LISTEN)
sshd    5582    root    3u  IPv4  30352      0t0  TCP **.**.***.***:ssh->**.**.***.***:54224 (ESTABLISHED)
sshd    5602 izxzxzn    3u  IPv4  30352      0t0  TCP **.**.***.***:ssh->**.**.***.***:54224 (ESTABLISHED)

sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  
    
por Craig Hicks 22.01.2018 / 05:13

2 respostas

2

Estas são portas comuns bloqueadas por provedores de serviços de internet.

É impossível dizer se esse é o seu problema a partir das informações fornecidas, mas 25 é frequentemente bloqueado para limitar as retransmissões de spam abertas. 135, 139 e 445 são frequentemente bloqueados para proteger os clientes com compartilhamentos de arquivos inadvertidamente abertos, que costumavam ser muito comuns.

No caso do meu provedor doméstico, essas portas são bloqueadas por padrão, mas podem ser desativadas na interface do cliente.

Se esta é uma varredura através da Internet (pela aparência do .com no seu comando nmap, provavelmente é), então é quase certo que um ISP bloqueie o acesso a essas portas.

    
por 22.01.2018 / 07:29
0

O manual do nmap declara (ênfase minha):

The state is either open, filtered, closed, or unfiltered. Open means that an application on the target machine is listening for connections/packets on that port. Filtered means that a firewall, filter, or other network obstacle is blocking the port so that Nmap cannot tell whether it is open or closed. Closed ports have no application listening on them, though they could open up at any time. Ports are classified as unfiltered when they are responsive to Nmap's probes, but Nmap cannot determine whether they are open or closed.

O host de destino 45.**.***.*** pode estar ouvindo em uma ou mais portas que você estava investigando, mas o nmap está dizendo que não tem como saber.

    
por 22.01.2018 / 14:57