Có cách nào để xem những gì thực sự lọc giao tiếp cổng TCP không?


10
nmap -p 7000-7020 10.1.1.1

Sẽ xuất tất cả các cổng được lọc

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT     STATE    SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds

Có cách nào để tôi có thể thấy chính xác những gì đang lọc các cổng đó không?

Câu trả lời:


11

Đây là những gì các tài liệu nmap nói về filterednhà nước

Nmap được lọc không thể xác định xem cổng có mở hay không vì lọc gói ngăn chặn các đầu dò của nó tiếp cận cổng. Việc lọc có thể từ một thiết bị tường lửa chuyên dụng, quy tắc bộ định tuyến hoặc phần mềm tường lửa dựa trên máy chủ ...

Cách duy nhất để tìm hiểu những gì đang thực hiện quá trình lọc là biết "máy móc" là gì giữa bạn và mục tiêu từ xa.

Điều này có thể đạt được bằng cách sử dụng tiện ích theo dõi lộ trình, cố gắng xác định máy chủ giữa bạn và mục tiêu bằng các gói TCP đặc biệt. Trong trường hợp của bạn, lệnh có thể trông giống như:

traceroute 10.1.1.1

Khi bạn biết các máy giữa bạn và mục tiêu, bạn điều tra cấu hình của từng máy để tìm hiểu xem nó có lọc không và nếu có thì như thế nào.


Không có tường lửa phần mềm hoạt động trên hai máy đó, nmap -p 7000-7020 localhostcho thấy các cổng được mở và tường lửa dành riêng được mở.
Eduard Florinescu 04/03/2015

4
Bằng chứng bạn có cho thấy rằng một cái gì đó đang lọc chúng ta không thể biết đó là gì vì chúng ta không biết cấu hình của bạn. Tường lửa dựa trên máy chủ thường cho phép tất cả lưu lượng truy cập trên giao diện loopback (localhost) để đó có thể là một thử nghiệm sai lệch.
dùng9517

Có bất kỳ cơ hội nào mà bạn sử dụng linux với iptables "-j DROP" không? Những gì tài liệu nmap đề cập đến như được lọc thực sự là một gói bị rơi trên bất kỳ giao thức nào.
risyasin

Phần mềm này có thực sự bị ràng buộc với một IP bên ngoài không? Nếu tất cả bị ràng buộc với 127.0.0.1 thay vào đó, nó có thể gây ra điều này. Kiểm tra netstat
devicenull

12

Nmap cung cấp một số cách để có thêm thông tin về nguyên nhân gây ra bộ lọc:

  • Các --reasontùy chọn sẽ hiển thị các loại phản ứng gây ra "lọc" nhà nước cảng. Điều này có thể là "không phản hồi" hoặc "cấm quản trị viên" hoặc một cái gì đó khác.
  • TTL của các gói phản hồi được báo cáo trong đầu ra XML là reason_ttlthuộc tính của statephần tử cho cổng. Nếu TTL cho cổng được lọc khác với (thường lớn hơn) TTL đối với cổng mở, thì sự khác biệt giữa các TTL là khoảng cách mạng giữa mục tiêu và thiết bị lọc. Có các trường hợp ngoại lệ, chẳng hạn như các mục tiêu sử dụng các TTL ban đầu khác nhau cho các gói ICMP so với TCP hoặc thiết bị lọc làm sai lệch hoặc ghi đè thông tin TTL.
  • Các --traceroutechức năng sẽ hiển thị thông tin về bước nhảy dọc theo tuyến đường của bạn, bất kỳ trong số đó có thể được lọc giao thông của bạn. Trong một số trường hợp, tên DNS ngược cho một trong các bước nhảy thậm chí sẽ là một cái gì đó như "tường lửa1.example.com"
  • Tập firewalklệnh NSE sẽ gửi các gói với các TTL ban đầu sẽ hết thời gian ở các bước khác nhau dọc theo tuyến đường trong nỗ lực tìm nơi các gói đang bị chặn. Đây là một cái gì đó giống như sự kết hợp của hai kỹ thuật trước đó, và thường hoạt động khá tốt.

Phiên bản phát triển hiện tại chưa được phát hành của Nmap cũng báo cáo TTL cho các gói phản hồi trong đầu ra văn bản thông thường với các -v --reasontùy chọn. Tuy nhiên, hiện tại, bạn phải sử dụng đầu ra XML để có được thông tin này.

EDITED TO ADD: Nmap 6.49BETA1 là bản phát hành đầu tiên hiển thị TTL cho các gói phản hồi trong đầu ra văn bản có -v --reasonhoặc -vv, và được phát hành vào tháng 6 năm 2015.


1
Các tùy chọn rất hữu ích +1
Eduard Florinescu 04/03/2015

Vâng, --script=firewalklà những gì tôi đã cố gắng để tìm thấy. Cảm ơn.
ulidtko

5

Câu trả lời ngắn - Không, không có cách nào bạn có thể nhìn thấy nó.

Câu trả lời dài hơn:

Từ: https://nmap.org/book/man-port-scanning-basics.html

"Nmap đã lọc không thể xác định xem cổng có mở hay không vì lọc gói ngăn chặn các đầu dò của nó tiếp cận cổng. Bộ lọc có thể từ một thiết bị tường lửa chuyên dụng, quy tắc bộ định tuyến hoặc phần mềm tường lửa dựa trên máy chủ. Thông tin. Đôi khi, họ phản hồi với các thông báo lỗi ICMP như mã loại 3 13 (không thể truy cập đích: giao tiếp bị cấm về mặt hành chính), nhưng các bộ lọc chỉ đơn giản là bỏ đầu dò mà không phản hồi là phổ biến hơn nhiều. Điều này buộc Nmap phải thử lại nhiều lần trong trường hợp đầu dò là giảm do tắc nghẽn mạng thay vì lọc. Điều này làm chậm quá trình quét. "

Bạn có thể thử khám phá cấu trúc liên kết mạng với các công cụ như traceroute. Thông thường các cổng được lọc trên máy chủ tự (ví dụ: bảng ip), bộ định tuyến cạnh mạng đích, bộ định tuyến lõi mạng đích hoặc đầu của công tắc L3 rack.

Nếu bạn ở cùng mạng con với máy chủ đích thì gần như chắc chắn tường lửa sẽ nằm trên máy đích.


2

Hãy thử so sánh kết quả của tcptrace với một trong các cổng được lọc với một tcptrace với một cổng mở (hoặc một traceroute tiêu chuẩn). Nếu các tcptraces giống nhau, điều đó có nghĩa là có một cái gì đó trên máy đích lọc các cổng.

Cập nhật: Tôi có nghĩa là tcptraceroute, tôi có bí danh.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.