nmap state filtered что значит
nmap теория и практика использования для сканирования сети
ОПЦИИ
УСКОРЕНИЕ
-T2 – опция с номером позволяет регулировать скорость работы nmap.
Чем выше номер, тем быстрее работа, но меньше надежность результата (высокая задержка может посчитаться как полное отсутствие ответа). Крайне желательно использовать T4/T5 если в скане предвидится большое количество неотвечающих устройств (например, полный скан сетей) т.к. в опциях предусмотрено уменьшение таймаута ожидания ответа.
Если нужен многопоточный скан нескольких сетей одновременно средствами bash – см. xargs. Схема классическая – делаем скрипт для одной сети/одного IP (с любым из сканов представленных ниже, например), далее делаем список сетей/IP, открываем его через cat и натравляем скрипт через xargs.
Порты
Возможные ответы при сканировании портов:
nmap – без опций сканирует 1-1024 порты +
2400 портов известных как nmap-services в файле /etc/services.
nmap -F – Fast Scan Mode – сканирует только
2400 портов известных как nmap-services в файле /etc/services, не сканируя 1-1024 порты.
nmap -PN – проверяет доступность портов без предварительной проверки доступности хоста (не пингует).
– сканируем конкретный порт/список портов на IP/сети. Можно указать последовательность портов через запятую [80,443,3389], диапазон портов через дефиз 2 или все порты через [“*”].
Доступность
nmap –sP -iL – cкан с текстового файла file_name c IP адресами устройств/подсетями. Показывает только живые IP адреса. Причем формат записи не важен, IP/сети могут идти в колонку, в строку или подряд.
Почему некоторые порты сообщаются фильтром nmap, а другие нет?
Результат nmap на первых 2048 портах дает 22 и 80 как открытые, как я ожидаю. Однако несколько портов отображаются как «отфильтрованные».
Мой вопрос: почему порты 21, 25 и 1863 отображаются как «отфильтрованные», а другие 2043 порты не отображаются как отфильтрованные?
Я ожидал увидеть только 22 и 80 как «открытые».
Если нормально видеть 21, 25 и 1863 как «отфильтрованные», то почему все остальные порты не отображаются как «отфильтрованные»?
Я действительно не понимаю, почему у меня 2043 закрытых порта:
а не 2046 закрытых портов.
Вот lsof запущен на сервере:
(обратите внимание, что Java / Tomcat прослушивает порт 8009, но этот порт сбрасывается брандмауэром)
Оператор ‘Filtered Port’ из nmap отличается в зависимости от метода сканирования.
Чтобы определить реальный статус порта, вы можете:
Отличная книга « Nmap Network Discovery », написанная ее создателем Федором, очень хорошо объясняет это. я цитирую
Filter: Nmap не может определить, открыт ли порт, потому что фильтрация пакетов не позволяет его зондам достигнуть порта. Фильтрация может осуществляться с выделенного устройства брандмауэра, правил маршрутизатора или программного обеспечения брандмауэра на основе хоста. Эти порты расстраивают злоумышленников, потому что они предоставляют так мало информации. Иногда они отвечают сообщениями об ошибках ICMP, такими как код 13 типа 3 (пункт назначения недоступен: связь административно запрещена), но фильтры, которые просто отбрасывают зонды без ответа, встречаются гораздо чаще. Это заставляет Nmap повторить попытку несколько раз на тот случай, если зонд был сброшен из-за перегрузки сети, а не из-за фильтрации. Такая фильтрация значительно замедляет сканирование.
open | Filter: Nmap переводит порты в это состояние, когда он не может определить, открыт порт или отфильтрован. Это происходит для типов сканирования, в которых открытые порты не дают ответа. Отсутствие ответа также может означать, что фильтр пакетов отбросил зонд или любой ответ, который он вызвал. Таким образом, Nmap не знает наверняка, открыт ли порт или фильтруется. Сканирования UDP, протокола IP, FIN, NULL и Xmas классифицируют порты таким образом.
closed | Filter: это состояние используется, когда Nmap не может определить, закрыт порт или отфильтрован. Он используется только для сканирования бездействия IP-идентификатора, описанного в разделе 5.10 «Сканирование бездействия TCP (-sl)».
Nmap state filtered что значит
Пинг-сканирование ( -sP ), в этом режиме порты не сканируются, что, конечно, заметно увеличивает скорость работы:
маска подсети
сканирование хоста
-A позволяет использовать расширенные возможности программы по детектированию ОС (-O), определению версии (-sV) и др.
Примеры
Шесть состояний портов распознаваемых Nmap [подробнее]
открыт (open) Приложение принимает запросы на TCP соединение или UDP пакеты на этот порт.
закрыт|фильтруется (closed|filtered) Это состояние используется, когда Nmap не может определить закрыт порт или фильтруется. Используется только при сканировании IP ID idle типа.
Сохранение результатов сканирования [подробнее]
—webxml загружает таблицу стилей с Nmap.Org чтобы создать XML файл отображаемый как HTML
-v увеличивает уровень вербальности (количество выводимой информации), например показывает приблизительное время завершения работы. Ещё увеличить число подробностей можно задав этот параметр дважды.
—randomize-hosts сканирование заданного диапазона хостов в произвольном порядке.
Порядок сканирования портов по-умолчанию в nmap случайный, за исключением некоторых популярных портов, которые сканер проверяет в первую очередь. Ключ -r включает упорядоченное сканирование.
Подделка mac адреса
—spoof-mac
Nmap scan report for scanme.nmap.org (45.33.32.156)
Host is up (0.60s latency).
Not shown: 98 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 102.05 seconds
Nmap state filtered что значит
Шесть состояний портов распознаваемых Nmap
Приложение принимает запросы на TCP соединение или UDP пакеты на этот порт. Обнаружение этого состояния обычно является основной целью сканирования. Люди разбирающиеся в безопасности знают, что каждый открытый порт это прямой путь к осуществлению атаки. Атакующие хотят использовать открытые порты, а администраторы пытаются закрыть их или защитить с помощью брадмауэров так, чтобы не мешать работе обычных пользователей. Октрытые порты также интересны с точки зрения сканирования, не связанного с безопасностью, т.к. они позволяют определить службы доступные в сети.
Закрытый порт доступен (он принимает и отвечает на запросы Nmap), но не используется каким-либо приложением. Они могут быть полезны для установления, что по заданному IP адресу есть работающий хост (определение хостов, ping сканирование), или для определения ОС. Т.к. эти порты достижимы, может быть полезным произвести сканирование позже, т.к. некоторые из них могут открыться. Администраторы могут заблокировать такие порты с помощью брандмауэров. Тогда их состояние будет определено как фильтруется, что обсуждается далее.
Nmap не может определить, открыт ли порт, т.к. фильтрация пакетов не позволяет достичь запросам Nmap этого порта. Фильтрация может осуществляться выделенным брадмауэром, правилами роутера или брандмауэром на целевой машине. Эти порты бесполезны для атакующих, т.к. предоставляют очень мало информации. Иногда они отвечают ICMP сообщениями об ошибке, такими как тип 3 код 13 (destination unreachable: communication administratively prohibited (цель назначения недоступна: связь запрещена администратором)), но чаще встречаются фильтры, которые отбрасывают запросы без предоставления какой-либо информации. Это заставляет Nmap совершить еще несколько запросов, чтобы убедиться, что запрос был отброшен фильтром, а не затором в сети. Это очень сильно замедляет сканирование.
не фильтруется (unfiltered)
Это состояние означает, что порт доступен, но Nmap не может определить открыт он или закрыт. Только ACK сканирование, используемое для определения правил брандмауэра, может охарактеризовать порт этим состоянием. Сканирование не фильтруемых портов другими способами, такими как Window сканирование, SYN сканирование или FIN сканирование может помочь определить, является ли порт открытым.
Nmap характеризует порт таким состоянием, когда не может определить октрыт порт или фильтруется. Это состояние возникает при таких типах сканирования, при которых открытые порты не отвечают. Отсутствие ответа также может означать, что пакетный фильтр не пропустил запрос или ответ не был получен. Поэтому Nmap не может определить наверняка открыт порт или фильтруется. При сканировании UDP, по IP протоколу, FIN, NULL, а также Xmas порт может быть охарактеризован таким состоянием.
Это состояние используется, когда Nmap не может определить закрыт порт или фильтруется. Используется только при сканировании IP ID idle типа.
Nmap — руководство для начинающих
Многие слышали и пользовались замечательной утилитой nmap. Ее любят и системные администраторы, и взломщики. Даже Голливуд знает про нее — в фильме «Матрица» при взломе используется nmap.
nmap — это аббревиатура от «Network Mapper», на русский язык наиболее корректно можно перевести как «сетевой картограф». Возможно, это не лучший вариант перевода на русский язык, но он довольно точно отображает суть — инструмент для исследования сети и проверки безопасности. Утилита кроссплатформенна, бесплатна, поддерживаются операционных системы Linux, Windows, FreeBSD, OpenBSD, Solaris, Mac OS X.
Рассмотрим использование утилиты в Debian. В стандартной поставке дистрибутива nmap отсутствует, установим его командой
# aptitude install nmap
Nmap умеет сканировать различными методами — например, UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, SYN и NULL-сканирование. Выбор варианта сканирования зависит от указанных ключей, вызов nmap выглядит следующим образом:
Для опытов возьмем специальный хост для экспериментов, созданный самими разработчиками nmap — scanme.nmap.org. Выполним от root’а
Ключи сканирования задавать необязательно — в этом случае nmap проверит хост на наличие открытых портов и служб, которые слушают эти порты.
Запустим командой:
Через несколько секунд получим результат:
Interesting ports on scanme.nmap.org (74.207.244.221):
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
Ничего необычного, ssh на стандартном порту и http на 80. Nmap распознаёт следующие состояния портов: open, filtered, closed, или unfiltered. Open означает, что приложение на целевой машине готово для принятия пакетов на этот порт. Filtered означает, что брандмауэр, фильтр, или что-то другое в сети блокирует порт, так что Nmap не может определить, является ли порт открытым или закрытым. Closed — не связанны в данный момент ни с каким приложением, но могут быть открыты в любой момент. Unfiltered порты отвечают на запросы Nmap, но нельзя определить, являются ли они открытыми или закрытыми.
Хинт: Если во время сканирования нажать пробел — можно увидеть текущий прогресс сканирования и на сколько процентов он выполнен. Через несколько секунд получаем ответ, в котором пока что интересна строчка Device type:
Вообще, точную версию ядра средствами nmap определить невозможно, но примерную дату «свежести» и саму операционную систему определить можно. Можно просканировать сразу несколько хостов, для этого надо их перечислить через пробел:
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0)
80/tcp open http Apache httpd 2.2.14 ((Ubuntu))
Service Info: OS: Linux
Прогресс налицо — мы узнали точные названия используемых служб и даже их версии, а заодно узнали точно, какая операционная система стоит на сервере. С расшифровкой никаких проблем не возникает, все вполне понятно.
Nmap выведет очень много информации, я не стану приводить пример. Сканирование может длится довольно долго, занимая несколько минут.
Сканирование проходит довольно быстро, так как по сути это обычный ping-тест, отвечает ли хост на ping. Следует учесть, что хост может не отвечать на ping из-за настроек фаерволла. Если нужный участок сети нельзя ограничить маской, можно указать диапазон адресов, с какого и по какой надо провести сканирование. Например, есть диапазон адресов с 192.168.1.2 до 192.168.1.5. Тогда выполним:
Ответ будет выглядеть так:
Host 192.168.1.2 is up (0.0023s latency)
Host 192.168.1.3 is up (0.0015s latency)
Host 192.168.1.4 is up (0.0018s latency)
Host 192.168.1.5 is up (0.0026s latency)
В моем случае все ip в данный момент были в сети.
Это далеко не все возможности nmap, но уместить их в рамках одной статьи несколько сложновато.
Если вам ближе GUI — есть замечательная утилита Zenmap — графическая оболочка для nmap, умеющая заодно и строить предполагаемую карту сети.
Хочу предупредить, что сканирование портов на удаленных машинах может нарушать закон.
UDPInflame уточнил, что сканирование портов все-таки не является противозаконным.