it-swarm-tr.com

nmap taraması bağlantı noktalarının filtrelendiğini gösterir, ancak nessus taraması sonuç göstermez

Uzak sitemizdeki çeşitli IP'lerde bağlantı noktası taraması yapıyorum. Bu IP aralığında nmap taraması yapmayı denedim ve bazı IP sonuçları filtrelenmiş olarak gösteriliyor

Kutuda bir nessus taraması gerçekleştirdiğimde, bazı IP'lerin hiçbir sonucu olmaz.

Bu nedenle, uzak sunucuların bazılarında açık bağlantı noktası olmadığını varsaymak güvenli midir?

17
J. Caballero

Nmap'yi Ana makine bulma işlemini gerçekleştirmeyecek şekilde yapılandırmadıkça (-PN veya -PN --send-ip LAN), tüm bağlantı noktalarının filtrelendiğini gösteriyorsa, Ana Bilgisayar açıktır , ancak bu Ana Bilgisayardaki güvenlik duvarı taranan tüm bağlantı noktalarına trafik atıyor.

Varsayılan bir nmap taramasının tüm bağlantı noktalarını sorgulamadığını unutmayın. Yalnızca 1000 TCP portlarını tarar. herhangi bir hizmeti kontrol etmek istiyorsanız, tümünü kontrol etmek istersiniz. 65535 TCP bağlantı noktaları ve tüm 65535 UDP bağlantı noktaları.

Ayrıca, kesin olmak gerekirse, ancak bağlantı noktası taraması bir bağlantı noktasının filtrelendiğini söylediğinde, bu bağlantı noktasında çalışan bir hizmet olmadığı anlamına gelmez. Ana Bilgisayarın güvenlik duvarında, taramayı çalıştırdığınız IP'ye erişimi reddeden kurallar olabilir , ancak başka IP'ler de olabilir. bu hizmete erişmesine izin verildi.

Bağlantı noktası taraması bir bağlantı noktasının kapalı olduğunu bildiriyorsa , bu bağlantı noktasında dinleme hizmeti bulunmaması daha belirgindir.

Nessus'un sonuçlarının eksikliği hakkında yorum yapamam, kullandığımdan beri bir süre oldu.

Kapalı ve filtrelenmiş veya Host-down örnekleri

Örneğin, ağımda bu Ana Bilgisayar çalışıyor, çalışan bir hizmeti yok ve güvenlik duvarı yok, bağlantı noktalarının kapalı olarak bildirildiğini unutmayın (bu, Ana Bilgisayarın bu bağlantı noktasındaki problara yanıt verdiği anlamına gelir) :

% Sudo nmap -T4 -n 192.168.1.24

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 7.70 seconds

Bu Ana Bilgisayar çalışıyor, 100-1000 bağlantı noktalarında çalışan bir hizmeti yok ve güvenlik duvarı var. Bağlantı noktalarının filtrelenmiş olarak bildirildiğine dikkat edin (bu, Ana Makinenin probları bu bağlantı noktalarına bıraktığı anlamına gelir):

% Sudo nmap -T4 -n -p 100-1000 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 20.03 seconds

Sadece gösterim amacıyla, 443 numaralı bağlantı noktası için son ana bilgisayar için güvenlik duvarında geçici bir delik açtım ve taramayı yeniden düzenledim. (Orada 443'te çalışan hiçbir şey yoktur.) 998 bağlantı noktasının nasıl bildirildiğine filtre uygulandığına dikkat edin, ancak 443 numaralı bağlantı noktası olarak bildirildi kapalı ; güvenlik duvarı 443'e izin veriyor ve işletim sistemi bir RST ile yanıt veriyor.

% Sudo nmap -T4 -n 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 5.67 seconds

Bu adreste Host yok (Host down):

% Sudo nmap -T4 -n 192.168.1.199

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds

-PN --send-ip (ikincisi gereklidir çünkü LAN'ı tarıyorum ve ARP problarını kullanmak istemiyorum), görüyorum:

% Sudo nmap -T4 -n -PN --send-ip 192.168.1.199 

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered

Nmap done: 1 IP address (1 Host up) scanned in 101.44 seconds
33
bstpierre

"Filtrelenen" nmap sonucu, (bu IP adresine sahip bir Ana Bilgisayar varsa) bağlantı noktasına erişimin bir güvenlik duvarı veya benzeri bir trafik tarafından engellendiğini ve trafiği düşürdüğünü gösterir. Bu, bu IP'de bir Ana Bilgisayar olduğunu ancak nmaps problarına yanıt veren etkin bir hizmet olmadığını belirten "kapalı" sonucun tersidir.

Bir Ana Bilgisayardaki tüm bağlantı noktaları filtrelenmiş olarak geri gelirse, orada hiçbir şey yoktur veya kendisine yönlendirilen tüm trafiği düşürecek şekilde yapılandırılmış bir güvenlik duvarı vardır.

10
Rory McCune