Tường lửa nên trả lời bằng tin nhắn ICMP khi họ chặn yêu cầu. Tuy nhiên, điều này không nhất thiết phải như vậy (bạn sẽ quan tâm đến bài viết hay này ).
Bạn có thể kiểm tra từ bên ngoài để xem liệu một cổng có thể truy cập thông qua tường lửa hay không và nếu có thì có nghe thấy gì không. Đây là ba kịch bản khác nhau liên quan đến yêu cầu tcp mà bạn có thể quan sát wireshark
hoặc một số gói sniffer khác và những gì bạn sẽ thấy:
1) Tường lửa từ chối yêu cầu
Bạn nhận được tin nhắn ICMP trở lại và công cụ thực hiện yêu cầu sẽ ngay lập tức cho bạn biết điều gì đó về hiệu ứng này ("không thể truy cập, quản trị viên bị cấm", v.v.). "Công cụ" Tôi có nghĩa là khách hàng bạn đang sử dụng để gửi yêu cầu (tôi đã sử dụng telnet
). Các chi tiết của thông báo 1 phụ thuộc vào cách cấu hình tường lửa, nhưng "cổng không thể truy cập" có lẽ là phổ biến nhất.
"Không có tuyến đường đến máy chủ" có thể chỉ ra điều này, nhưng nó cũng có thể chỉ ra các vấn đề định tuyến tinh tế hơn.
2) Tường lửa làm rơi gói
Không có trả lời, vì vậy công cụ sẽ đợi cho đến khi hết thời gian hoặc bạn cảm thấy buồn chán.
3) Tường lửa cho phép gói (hoặc không có tường lửa), nhưng không có gì nghe trên cổng.
Bạn nhận được thông báo TCP RST / ACK. Tôi đoán giao thức TCP yêu cầu điều này. Nói cách khác, nếu không có gì nghe trên cổng, hệ điều hành sẽ tự trả lời. Có thể khó phân biệt điều này với # 1 chỉ dựa trên những gì một công cụ báo cáo, bởi vì nó có thể nói điều tương tự trong cả hai trường hợp (tuy nhiên, hầu hết có thể phân biệt điều này là "kết nối bị từ chối" so với # 1, "không thể truy cập mạng" ). Được quan sát trong gói sniffer trên máy khách, kịch bản # 1 (tin nhắn từ chối ICMP) và # 3 (tin nhắn TCP RST / ACK) rõ ràng rõ ràng.
Tùy chọn duy nhất khác ở đây là gói được tường lửa cho phép và một cái gì đó đang lắng nghe, do đó bạn có được kết nối thành công.
Nói cách khác: giả sử mạng của bạn nói chung hoạt động bình thường, nếu bạn nhận được số 1 hoặc số 2, điều đó có nghĩa là tường lửa đang chủ động ngăn chặn truy cập vào cổng. # 3 sẽ xảy ra nếu máy chủ của bạn không chạy nhưng cổng có thể truy cập được và tất nhiên (ẩn) # 4 là một kết nối thành công.
- Ví dụ: "cổng không thể truy cập", "máy chủ bị cấm", nhiều kết hợp khác của máy chủ / cổng / quản trị viên và không thể truy cập / bị cấm ; hãy tìm những thứ này trong tin nhắn vì chúng là một dấu hiệu rõ ràng của tường lửa IP đang phát.
nc
các báo cáo "Kết nối bị từ chối" khi cổng có thể truy cập được, nhưng không có người nghe và "Mạng không thể truy cập được" khi yêu cầu bị tường lửa gửi qua icmp (có nghĩa là có thể có hoặc không có dịch vụ trên cổng ). Nếu tường lửa làm rơi gói tin thay vì thực sự từ chối nó,nc
sẽ chỉ bị treo trong một thời gian.