it-swarm-id.com

pindaian nmap menunjukkan port difilter tetapi pemindaian nessus tidak menunjukkan hasil

Saya sedang melakukan pemindaian port pada berbagai IP di situs jarak jauh kami. Saya mencoba menjalankan pemindaian nmap pada rentang IP itu dan beberapa hasil IP ditampilkan sebagai difilter

Ketika saya melakukan pemindaian nessus pada kotak, tidak ada hasil sama sekali untuk beberapa IP.

Dengan demikian apakah aman untuk mengasumsikan bahwa tidak ada port terbuka pada beberapa server jarak jauh?

17
J. Caballero

Kecuali jika Anda telah mengkonfigurasi nmap untuk tidak melakukan pencarian Host (-PN atau -PN --send-ip pada LAN), jika menunjukkan bahwa semua port difilter , maka Host-nya naik , tetapi firewall pada Host itu menjatuhkan lalu lintas ke semua port yang dipindai.

Perhatikan bahwa pemindaian nmap default tidak menyelidiki semua port. Ini hanya memindai 1000 TCP port. Jika Anda ingin memeriksa layanan apa pun, Anda harus memeriksa semua 65535 TCP port dan semua 65535 port UDP.

Juga, tepatnya, tetapi ketika pemindaian port mengatakan port adalah difilter , itu tidak berarti bahwa tidak ada layanan yang berjalan pada port itu. Mungkin saja firewall Host memiliki aturan yang menolak akses ke IP dari mana Anda menjalankan pemindaian , tetapi mungkin ada IP lain yang diizinkan untuk mengakses layanan itu.

Jika pemindaian port melaporkan bahwa port ditutup , itu lebih pasti bahwa tidak ada layanan mendengarkan pada port itu.

Saya tidak bisa mengomentari tentang kurangnya hasil dari nessus, sudah lama sejak saya menggunakannya.

Contoh tertutup vs difilter vs. Host-down

Misalnya, di jaringan saya, Host ini sudah habis, tidak ada layanan yang berjalan, dan tidak memiliki firewall, perhatikan bahwa port dilaporkan sebagai ditutup (ini berarti Host merespons penyelidikan pada port itu) :

% Sudo nmap -T4 -n 192.168.1.24

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 7.70 seconds

Host ini aktif, tidak memiliki layanan yang berjalan pada port 100-1000, dan memiliki firewall. Perhatikan bahwa port dilaporkan sebagai difilter (ini berarti Host menjatuhkan probe ke port tersebut):

% Sudo nmap -T4 -n -p 100-1000 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 20.03 seconds

Sebagai ilustrasi, saya membuat lubang sementara di firewall untuk Host terakhir untuk port 443 dan memutar ulang pemindaian. (Tidak ada yang berjalan pada 443 di sana.) Perhatikan bagaimana 998 port dilaporkan difilter , tetapi port 443 dilaporkan sebagai ditutup ; firewall memungkinkan melalui 443, dan OS merespons dengan RST.

% Sudo nmap -T4 -n 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 5.67 seconds

Tidak ada Host di alamat ini (Host down):

% Sudo nmap -T4 -n 192.168.1.199

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds

jika saya memindai ulang dengan -PN --send-ip (yang terakhir diperlukan karena saya memindai LAN, dan saya tidak ingin menggunakan probe ARP), saya melihat:

% Sudo nmap -T4 -n -PN --send-ip 192.168.1.199 

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered

Nmap done: 1 IP address (1 Host up) scanned in 101.44 seconds
33
bstpierre

Hasil nmap "difilter" menyiratkan bahwa (jika Anda tahu ada Host dengan alamat IP itu) akses ke port telah diblokir oleh firewall atau sejenisnya, yang menjatuhkan lalu lintas. Ini bertentangan dengan hasil "ditutup" yang menunjukkan bahwa ada Host pada IP itu tetapi tidak ada layanan aktif yang menanggapi probe nmaps.

Jika semua port di Host kembali sebagai difilter, tidak ada apa pun di sana, atau ada firewall yang dikonfigurasi untuk menjatuhkan semua lalu lintas yang diarahkan ke sana.

10
Rory McCune