Como o nmap distingue portas fechadas de portas filtradas

10

Vamos supor que estamos fazendo uma verificação de conexão TCP.

uma varredura nmap no google retorna a seguinte saída:

SERVIÇO DO ESTADO DO PORTO

80 / tcp http aberto

Https aberto 443 / tcp

No entanto, se eu tentar abrir um soquete com o netcat ou o telnet no google.com na porta 12, por exemplo, o netcat ou o telnet trava indefinidamente.

O Nmap detecta a porta 12 (e outras que não sejam 80 ou 443) como fechada, mas iniciar uma conexão TCP com elas não fecha instantaneamente.

Como o nmap pode saber que essas portas não são filtradas, mas fechadas?

Intrepidd
fonte
Por padrão (embora exista mais nesse algoritmo), a saída que você obterá do nmap é apenas as portas abertas, não as fechadas ou filtradas. nmap -p 12 www.google.com normalmente deve mostrá-lo como filtrado.
nºs

Respostas:

14

Com a varredura nmap, você geralmente obtém 3 estados:

  • Aberto - o computador remoto respondeu com um SYN / ACK ao seu SYN
  • Fechado - o computador remoto rejeitou sua tentativa de conexão com um pacote RST
  • Filtrado - nada voltou, ocorreu o tempo limite

Abrir um netcat na porta 80 e aguardar não fará nada. Porta 80 (geralmente) significa que um servidor http está escutando do outro lado e está aguardando um comando HTTP (até seu próprio tempo limite). Depois de passar pela rede para a porta 80, tente sedinar a GET /para ver se você recebe uma resposta (provavelmente um erro http).

mulaz
fonte
8

Uma porta fechada é uma porta que não tem nenhum software escutando, portanto, uma tentativa de fazer uma conexão com essa porta nesse sistema resultará no sistema enviando de volta um pacote TCP RST.

Uma porta filtrada, por outro lado, é tipicamente uma porta bloqueada por um firewall no caminho da rede; portanto, uma tentativa de fazer uma conexão com essa porta nesse sistema resultará em nada voltando ... nem mesmo um TCP RST ... para que uma tentativa de conexão fique lá até o TCP exceder o tempo limite da tentativa de conexão.

Jeff McAdams
fonte
Isso é verdade, mas não responde à minha pergunta. Abra um netcat no google.com na porta 42, você não receberá um pacote RST, mas o nmap marca essa porta como fechada.
Intrepidd
Meu nmap para google.com, incluindo a porta 42, retorna como filtrado, não fechado.
Jeff McAdams
Meu mal, eu pensei que todas as portas não mostradas estavam fechadas, mas isso depende do resultado global.
Intrepidd