Nmapスキャンでクローズ/フィルター済みを示すポート
うまくいけば、これは愚かな質問ではありません。私はいくつかのnmapスキャンを実行しており、閉じていることを示すポートのリストを取得しています。スキャンレポートに表示されるのはなぜですか?これらは、ゾンビスキャンなどの他のnmapスイッチでさらに利用できますか? -p-を使用してスキャンですべてのポートを指定しました。私の考えでは、システム上で閉じられているすべてのポートのリストだけでなく、それらのポートの大きなリストが表示されると思いますか?
これが私が実行したコマンドです:_nmap -iL axisips.txt -A -sV -p- > axisnmapresults2.txt_
Host is up (0.062s latency). Not shown: 65525 filtered ports PORT STATE SERVICE VERSION 17/tcp closed qotd 19/tcp closed chargen 25/tcp closed smtp 111/tcp closed rpcbind 136/tcp closed profile 137/tcp closed netbios-ns 138/tcp closed netbios-dgm 139/tcp closed netbios-ssn 443/tcp open ssl/http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) |_http-server-header: Microsoft-HTTPAPI/2.0
ほとんど役に立たない出力の65K以上の行を回避するために、Nmapは、ほとんどの「興味のない」結果を「表示されない:65530フィルター済みポート」のような行に折りたたみます。開いたポートはこのように折りたたまれることはありません。ただし、閉じた(TCP RST)ポートとフィルター処理された(応答またはICMP管理禁止)ポートは、特定の数より少ない場合にのみ表示されます。
あなたのケースでは、ほとんどのポートが「フィルター」されているが、いくつかは代わりに「クローズ」されていると思います。これには多くの理由がありますが、最も可能性の高い理由は次のとおりです。
- あなたとターゲットの間の何かが、RST応答をスプーフィングすることによってそれらのポートへのアクセスをブロックしています。これは、特にポート137、139、および445をブロックする住宅用ISPで一般的です。
- ターゲットのファイアウォールはこれらのポートを許可していますが、それらで実行されているサービスはありません。
追加用に編集:実際のポート出力に基づいて、これはISPフィルタリング(クローズドポート応答のスプーフィング)であると確信しています。ポート17と19は、DDoS増幅器として一般的に使用されます(ただし、TCPではなくUDP)。ポート137-139および445は、ネットワークワームによってWindowsで悪用されています。ポート25は電子メールサーバー用であるため、ビジネスクラスの接続を購入しない限り、ISPはこれをブロックします。 111と136についてはよくわかりません。それらは合法的に閉鎖されているか、他の何らかの理由でブロックされている可能性があります。 --reason応答のIP存続可能時間(TTL)に関する詳細を表示するスキャンのオプション。異常に高いTTL値は、特にTTL値が数ホップ低い(通常、5から15ホップ程度異なる)場合)、ISPブロッキングを示す可能性があります。 。