port filtered что это
nmap теория и практика использования для сканирования сети
ОПЦИИ
УСКОРЕНИЕ
-T3 – опция с номером позволяет регулировать скорость работы nmap.
Чем выше номер, тем быстрее работа, но меньше надежность результата (высокая задержка может посчитаться как полное отсутствие ответа). Крайне желательно использовать T4/T5 если в скане предвидится большое количество неотвечающих устройств (например, полный скан сетей) т.к. в опциях предусмотрено уменьшение таймаута ожидания ответа.
Если нужен многопоточный скан нескольких сетей одновременно средствами bash – см. xargs. Схема классическая – делаем скрипт для одной сети/одного IP (с любым из сканов представленных ниже, например), далее делаем список сетей/IP, открываем его через cat и натравляем скрипт через xargs.
Порты
Возможные ответы при сканировании портов:
nmap – без опций сканирует 1-1024 порты +
2400 портов известных как nmap-services в файле /etc/services.
nmap -F – Fast Scan Mode – сканирует только
2400 портов известных как nmap-services в файле /etc/services, не сканируя 1-1024 порты.
nmap -PN – проверяет доступность портов без предварительной проверки доступности хоста (не пингует).
– сканируем конкретный порт/список портов на IP/сети. Можно указать последовательность портов через запятую [80,443,3389], диапазон портов через дефиз 2 или все порты через [“*”].
Доступность
nmap –sP -iL – cкан с текстового файла file_name c IP адресами устройств/подсетями. Показывает только живые IP адреса. Причем формат записи не важен, IP/сети могут идти в колонку, в строку или подряд.
Русские Блоги
Инструмент обучения-Nmap
оглавление
1. Принцип сканирования портов
1. Процесс подключения TCP
Примечание: TCP-соединение должно быть установленотри разаРукопожатие и отключениеЧетыре разаПожать руки.
2. Тип сканирования порта
Существует более десяти типов сканирования портов, аналогичных Nmap, но основные из них следующие, а остальные аналогичны или основаны на следующих методах сканирования.
TCP connect () сканирование:
Сканирование TCP connect () предназначено для установления полного TCP-соединения (трехстороннее рукопожатие было завершено). Это сканирование является наиболее точным, но его также легче всего обнаружить брандмауэрами и IDS, и оно также оставляет записи журнала на хосте. Это то же самое, что и порт телнета.
SYN сканирование:
SYN сканирование (Полуоткрытое сканирование) Это немного более скрытый метод сканирования. Трехстороннее рукопожатие TCP содержит три пакета SYN, SYN-ACK и ACK. Сканирование SYN отправляет только начальный пакет SYN на целевой хост. Если порт открыт, целевой хост вернется Пакет SYN-ACK, если порт закрыт, целевой хост вернет пакет RST.Если нет ответа после нескольких повторных передач, порт будет помечен как отфильтрованный. Если получена ошибка недоступности ICMP (тип 3, код 1, 2, 3, 9, 10 или 13), порт также помечается как отфильтрованный. Другими словами, сканирование SYN, независимо от того, открыт ли порт целевого хоста или нет, третье рукопожатие отправит пакеты RST для разрыва соединения.
Это также предпочтительный метод сканирования Nmap по умолчанию. Скорость выполнения высокая. В сети без брандмауэра он может сканировать тысячи портов в секунду и полностью совместим с протоколом TCP / IP любой платформы.
NULL сканирование:
ТакжеОбратное сканирование, Чтобы быть более скрытым, но точность невысока. Принцип состоит в том, чтобы послать на порт TCP часть данных без установленного бита флага. При нормальном обмене данными TCP должен быть установлен хотя бы бит флага, но при сканировании NULL все биты флага не устанавливаются. Согласно требованию протокола RFC793, если получен сегмент данных без флагового бита, принимающий хост должен отбросить сегмент и вернуть пакет RST. При отправке пакета данных без установленного для порта бита флага, если целевой порт хоста закрыт, будет возвращен пакет RST.Если целевой порт хоста открыт, хост проигнорирует пакет и не вернет никаких данных. пакет.
Система Windows не соответствует протоколу RFC793 (когда система Windows получает пакет данных без установленного бита флага, она вернет пакет данных RST независимо от того, открыт ли порт), поэтому сканирование NULL не может использоваться для сканирования системы Windows.
FIN сканирование:
ТакжеОбратное сканирование, Аналогично сканированию NULL. Принцип заключается в том, чтобы отправить пакет данных с битом FIN, установленным на целевой порт хоста. Бит FIN указывает на конец сеанса TCP. Ответ на пакет RST указывает, что порт закрыт, а отсутствие ответа указывает, что порт открыт. Как и сканирование NULL, Windwos не соответствует этому Правила протокола, поэтому это сканирование нельзя использовать для сканирования систем Windows.
Xmas-Tree сканирование:
ТакжеОбратное сканирование, Установив флаги FIN, PSH и URG, вы словно зажжете все огни на елке. Также называется сканированием рождественской елки, отправьте этот пакет с тремя флагами, если получено сообщение RST, порт считается закрытым (закрытым), а отсутствие ответа означает, что порт открыт | фильтруется (открыт или фильтруется) из). Если получена ошибка недоступности ICMP (тип 3, код 1, 2, 3, 9, 10 или 13), порт помечается как отфильтрованный. Windows не соответствует правилам этого протокола, поэтому это сканирование не может использоваться для сканирования систем Windows.
ACK сканирование:
Для открытияПравила межсетевого экрана, Невозможно судить, открыт порт хоста или нет.Принцип состоит в том, что при нормальной работе TCP ответный пакет (ACK) отправляется после того, как указанный принимающий хост объявляет длину окна пакета. При сканировании ACK ответный пакет используется для обнаружения информации о конфигурации брандмауэра. Если определенный порт фильтруется брандмауэром, пакеты данных возвращаться не будут. Если определенный порт не фильтруется брандмауэром, будут возвращены пакеты RST, которые можно пропустить. Просканируйте, чтобы понять, какие порты фильтруются и не фильтруются брандмауэром.
3. Тип возврата порта
Nmap предоставляет 6 состояний портов, чтобы помочь нам понять цель:
Указывает, что этот порт открыт для внешнего мира, на что мы надеемся.
Closed:
Указывает, что этот порт закрыт.
Filtered:
Указывает, что этот порт фильтруется брандмауэрами и другим оборудованием, и то, открыт ли порт, не очищается.
Unfiltered:
Open|Filtered:
Указывает, что этот порт открыт или отфильтрован. В этом случае рекомендуется изменить метод сканирования.
Closed|Filtered:
Указывает, что порт закрыт или отфильтрован. Этот статус отображается только при сканировании IPID в режиме ожидания.
Во-вторых, использование Nmap
1. Обнаружение хоста
| Параметры | Объяснение |
|---|---|
| -sP | Ping сканирование |
| -P0 | Без проверки связи |
| -PS | TCP SYN Ping сканирование |
| -PA | TCP ACK Ping сканирование |
| -PU | UDP Ping сканирование |
| -PE;-PP;-PM | Сканирование типов ICMP Ping |
| -PR | ARP Ping сканирование |
| -n | Отключить обратное разрешение DNS |
| -R | Обратное разрешение доменного имени |
| —system-dns | Использовать преобразователь системных доменных имен |
| -sL | Просмотр списка |
| -6 | Сканировать IPV6-адрес |
| —traceroute | Трассировка маршрута |
| -PY | SCTP INIT Ping сканирование |
Сканирование Ping выполняет только Ping, а затем отображает подключенные хосты. Сканирование Ping отправляет эхо-запрос ICMP и пакет TCP на целевой порт.Если брандмауэр настроен на запрет Ping, этот метод не может определить, что хост активен.
Это сканирование используется для проникновения через брандмауэр, когда брандмауэр запрещает пинг.
2. Метод сканирования портов
| Параметры | Объяснение |
|---|---|
| -T | Варианты сроков |
| -p | Порядок сканирования портов |
| -sS | TCP SYN сканирование |
| -sT | Сканирование TCP-соединения |
| -sU | UDP сканирование |
| -sN;-sF;-sX | Скрытое сканирование: не подходит для windows |
| -sA | TCP ACK сканирование |
| -sW | Сканирование окна TCP |
| -sM | TCP Maimon сканирование |
| —scanflags | Пользовательское сканирование TCP |
| -sI | Сканирование в режиме ожидания |
| -sO | Сканирование протокола IP |
| -b | Сканирование отказов FTP |
-T0(Параноик): очень медленное сканирование, используется для уклонения от IDS
-T1(Подлый): медленное сканирование, используется для уклонения от IDS.
-T2(Нежный): уменьшите скорость, чтобы уменьшить потребление ленточной библиотеки, которая обычно не используется
-T3(обычный):по умолчанию, Автоматическая регулировка времени в соответствии с ответом цели
-T4(Savage): быстрое сканирование,Общие методы сканирования, Нужно сканировать в хорошей сети
-T5(Сумасшедший): сканирование на предельной скорости, точность в жертву увеличивается.
-FПараметры можно сканировать через 1000 общих портов, настроенных Nmap по умолчанию.
3. Идентификация и обнаружение портовой службы
| Параметры | Объяснение |
|---|---|
| -sV | Обнаружение версии |
| —allports | Определение полной версии порта |
| —version-intensity | Установить интенсивность сканирования |
| —version-light | Легкое сканирование |
| —version-all | Сканирование в тяжелом весе |
| —version-trace | Получить подробную информацию о версии |
| -sR | RPC сканирование |
| -O | Определить тип операционной системы |
| —osscan-limit | Выполнять обнаружение операционной системы на указанных целях |
| —osscan-guess;—fuzzy | Распознавание спекулятивной системы |
-O опция выполнит идентификацию операционной системы
Сканирование сетевых портов в Linux – команда nmap
Системы Linux и UNIX являются сетевыми операционными системами (ОС). Поэтому их эксплуатация неразрывно связана с администрированием и обслуживанием сетей. Независимо от сложности и масштабов сети необходимо проводить постоянный мониторинг окружения сети на предмет качества связи и соединений. А также для определения признаков или даже фактов вредительства в ней или несанкционированных атак. Одним из эффективных инструментов для выполнения подобных задач является команда nmap.
Зачем нужна команда nmap?
Основная задача команды nmap – сканирование сетевых портов указанных компьютеров для определения, какие из них используются (прослушиваются) программами-серверами. Для подавляющего числа сетевых демонов (служб) определены их стандартные порты по-умолчаню, которые они используют для своей работы. По этому признаку можно делать выводы, о том какие серверные программы запущены на том или ином компьютере в сети.
Также команда nmap – это самый доступный инструмент в руках злоумышленников для организации подготовки хакерской атаки на сеть. Ведь с помощью этой команды очень легко получить информацию, на основе которой можно судить о слабых и уязвимых местах в атакуемой системе.
Синтаксис команды nmap и особенности её работы
Команда nmap довольно проста в использовании и каким-то сложным синтаксисом не отличается:
Чего нельзя сказать о количестве, функциональности её ключей и неисчерпаемых возможностях их применения. Официальная документация, доступная на страницах man-руководства (команда man nmap), кроме того, что очень подробная (трудно встретить ещё подробнее), так ещё и имеет качественный перевод (локализации, в том числе и на русском языке) в большинстве Linux-дистрибутивов.
Не всегда утилита nmap предустановлена в системе, поэтому для её использования требуется установка соответствующего пакета, который обычно имеет имя nmap:
Или в Centos/Redhat
Столбец STATE показывает состояние порта: он может быть открыт (open), когда связан с использующими его службами (соединениями), закрыт (closed), когда порт не используется ни одним сервером. Также доступны состояния: unfiltered, когда nmap не смогла определить состояние порта. А также filtered – когда порт защищён (или заблокирован) брандмауэром.
Для задания хоста можно также использовать цифровую запись в виде IP-адреса. Отчёт из данного примера сформирован для самого обычного компьютера, для которого не была сконфигурирована какая-то защита. Как можно видеть, для прослушивания 80 и 443 портов для работы протоколов HTTP и HTTPS соответственно, запущен веб-сервер. Сервер баз данных (БД) MySQL также работает по стандартному порту.
Использование nmap
Если посмотреть на отчёт команды nmap для более защищённого узла, то он будет выглядеть примерно так:
Как можно видеть, на сканируемом узле (компьютере) скорее всего работает брандмауэр. Который блокирует все порты кроме тех, что отведены для работы почтового и веб- серверов. Таким образом, можно сделать вывод о том, что компьютер по указанному адресу настроен специально для работы с электронной почтой и обработкой HTTP-запросов.
Однако, одна из особенностей nmap заключается в том, что эту команду можно использовать в «хакерском» режиме. Другими словами она позволяет сканировать порты без установки реальных соединений. Это достигается путём использования неквитирующих пакетов, т. е. тех, которые похожи на имеющиеся в существующих соединениях. Но в ответ на такие пакеты можно получать пакеты диагностические. Т. е. получать информацию о соединении, при этом не быть «замеченным» брандмауэром или другим сетевым фильтром. Которые следят за «сканировщиками» портов.
Как можно видеть, компьютер с IP-адресом 192.186.0.101 работает под управлением ОС Windows, предположительно Windows 7. Информация в отчёте довольно подробная, определён даже MAC-адрес сканируемого сетевого устройства.
Стоит рассмотреть некоторые примеры для команды nmap, которые могут пригодиться администраторам в их работе. Сканирование нескольких адресов:
Определение активных узлов в сети:
В этой команде используется формат записи, для обозначения подсети. В качестве параметров можно также указывать данные из файла:
Записи адресов в файле указываются также, как и в командной строке. И разделяться должны одним или несколькими пробелами или символами перевода строки. Для сканирования определённых портов:
или диапазона портов:
Сканирование всех портов:
Сканирование определённых типов портов (TCP или UDP):
Для скрытого сканирования:
Сохранение результатов сканирования в файл:
Определить (с высокой степенью вероятности), работает ли на сканируемом узле брандмауэр или другой пакетный фильтр:
Определение только открытых портов:
Определение версии ОС, а также трассировки маршрутов:
Чтобы исключить из сканирования определённые адреса или подсети нужно использовать опцию —exclude:
Чтобы использовать для этой цели данные из файла, применяется опция —excludefile:
Заключение
Как можно видеть, nmap – это действительно мощный инструмент для мониторинга и анализа безопасности сетевого окружения. Следует также всегда помнить, что с помощью одной только команды nmap система или сеть могут быть досконально изучены «посторонними» или не совсем добросовестными людьми. Поэтому системные администраторы всегда должны учитывать этот фактор для обеспечения безопасности вверенных им систем.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Port filtered что это
Nmap (“Network Mapper”) это утилита с открытым исходным кодом для исследования сети и проверки безопасности. Она была разработана для быстрого сканирования больших сетей, хотя прекрасно справляется и с единичными целями. Nmap использует IP-пакеты оригинальными способами, чтобы определить какие хосты доступны в сети, какие службы (название приложения и версию) они предлагают, какие операционные системы (и версии ОС) они используют, какие типы пакетных фильтров/брандмауэров используются и еще дюжины других характеристик. В тот время как Nmap обычно используется для проверки безопасности, многие сетевые и системные администраторы находят ее полезной для обычных задач, таких как контролирование структуры сети, управление расписаниями запуска служб и учет времени работы хоста или службы.
Выходные данные Nmap это список просканированных целей с дополнительной информацией по каждой в зависимости от заданных опций. Ключевой информацией является “таблица важных портов”. Эта таблица содержит номер порта, протокол, имя службы и состояние. Состояние может иметь значение open (открыт), filtered (фильтруется), closed (закрыт) или unfiltered (не фильтруется). Открыт означает, что приложение на целевой машине готово для установки соединения/принятия пакетов на этот порт. Фильтруется означает, что брандмауэр, сетевой фильт или какая-то другая помеха в сети блокирует порт, и Nmap не может установить открыт этот порт или закрыт. Закрытые порты не связаны ни с каким приложение, так что они могут быть открыты в любой момент. Порты расцениваются как не фильтрованные, когда они отвечают на запросы Nmap, но Nmap не может определить открыты они или закрыты. Nmap выдает комбинации открыт|фильтруется и закрыт|фильтруется, когда не может определить, какое из этих двух состояний описывает порт. Эта таблица также может предоставлять детали о версии программного обеспечения, если это было запрошено. Когда осуществляется сканирование по IP протоколу (-sO), Nmap предоставляет информацию о поддерживаемых IP протоколах, а не об открытых портах.
В дополнение к таблице важных портов Nmap может предоставлять дальнейшую информацию о целях: преобразованные DNS имена, предположение о используемой операционной системе, типы устройств и MAC адреса.
Заинтересовало? Тогда приступим к установке.
Nmap есть в портах. Оттуда и будем устанавливать.
| # cd /usr/ports/security/nmap && make install clean |
О возможностях nmap можно узнать ознакомившись с руководством пользователя.
Рассмотрим несколько примеров использования nmap.
TCP-Сканирование.
Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-30 03:28 EET
Interesting ports on 172.16.0.15:
Not shown: 65531 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.1p1 (FreeBSD 20080901; protocol 2.0)
53/tcp open domain ISC BIND 4.X
80/tcp open http Apache httpd 2.2.13 ((FreeBSD) mod_ssl/2.2.13 OpenSSL/0.9.8e DAV/2 PHP/5.2.11 with Suhosin-Patch mod_perl/2.0.4 Perl/v5.8.9)
3306/tcp open mysql MySQL (unauthorized)
MAC Address: 00:14:5E:22:11:2A (IBM)
Service Info: OS: FreeBSD
Interesting ports on 172.16.0.254:
(The 65529 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
8080/tcp open http-proxy
10000/tcp open snet-sensor-mgmt
Nmap finished: 1 IP address (1 host up) scanned in 42.636 seconds
Interesting ports on example.com (172.20.1.100):
(The 65529 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp filtered ssh
8080/tcp filtered http-proxy
Nmap finished: 1 IP address (1 host up) scanned in 47.537 seconds
UDP-сканирование.
All 65535 ports on 172.16.0.1 are: closed
PING-сканирование.
Данный метод не совершенен. ICMP-запросы echo игнорируются многими узлами. Еще и 80-й порт нередко закрывают брандмауэром, поскольку посылается АСК-пакет без предварительной установки соединения. Чтобы «обойти» stateful-брандмауэр, нужно использовать для пинга SYN-пакеты:
Также можно изменить порт (указать другой порт, не 80):
Host 172.16.0.1 appears to be up.
Host 172.16.0.3 appears to be up.
Host 172.16.0.255 seems to be a subnet broadcast address (returned 1 extra pings).
Nmap finished: 256 IP addresses (2 hosts up) scanned in 2.767 seconds
Обзор основных возможностей на этом закончу. Думаю интересно будет, также, ознакомиться со следующими материалами: