Làm thế nào để nmap phân biệt các cổng đóng với các cổng được lọc

Giả sử chúng ta đang thực hiện quét kết nối TCP.

quét nmap trên google trả về đầu ra sau:

DỊCH VỤ NHÀ NƯỚC

80 / tcp mở http

443 / tcp mở https

Tuy nhiên, nếu tôi cố gắng mở một ổ cắm bằng netcat hoặc telnet trên google.com trên cổng 12 chẳng hạn, netcat hoặc telnet bị treo vô thời hạn.

Nmap phát hiện cổng 12 (và các cổng khác ngoài 80 hoặc 443) là đã đóng nhưng khởi tạo kết nối TCP tới chúng không đóng ngay lập tức.

Làm thế nào nmap có thể biết những cổng đó không được lọc mà đóng?

Với quét nmap, bạn thường nhận được 3 trạng thái:

• Mở - máy tính từ xa đã phản hồi với một SYN / ACK cho SYN của bạn
• Đóng - máy tính từ xa từ chối nỗ lực kết nối của bạn với gói RST
• Đã lọc - không có gì quay lại, thời gian chờ đã xảy ra

Mở một netcat đến cổng 80 và chờ đợi sẽ không làm gì cả. Cổng 80 (thường) có nghĩa là máy chủ http đang lắng nghe ở phía bên kia và nó đang chờ lệnh HTTP (cho đến khi hết thời gian chờ). Sau khi kết nối mạng tới cổng 80, hãy thử sedinng a GET /để xem bạn có nhận được phản hồi không (có thể là lỗi http).

Cổng đóng là một cổng không có phần mềm nào nghe trên đó, do đó, việc cố gắng tạo kết nối đến cổng đó trên hệ thống đó sẽ dẫn đến việc hệ thống gửi lại gói TCP RST.

Mặt khác, một cổng được lọc thường là một cổng bị chặn bởi tường lửa trong đường dẫn mạng, do đó, việc cố gắng tạo kết nối đến cổng đó trên hệ thống đó sẽ không có kết quả gì cả ... thậm chí không TCP RST ... vì vậy một nỗ lực kết nối sẽ ở đó cho đến khi TCP hết thời gian kết nối.