it-swarm-vi.com

quét nmap cho thấy các cổng được lọc nhưng quét nessus cho thấy không có kết quả

Tôi đang thực hiện quét cổng trên một loạt IP trên trang web từ xa của chúng tôi. Tôi đã thử chạy quét nmap trên dải IP đó và một số kết quả IP được hiển thị là đã lọc

Khi tôi thực hiện quét nessus trên hộp, không có kết quả nào cho một số IP.

Như vậy có an toàn không khi cho rằng không có cổng mở trên một số máy chủ từ xa?

17
J. Caballero

Trừ khi bạn có cấu hình nmap không thực hiện Khám phá máy chủ (-PN hoặc là -PN --send-ip trên mạng LAN), nếu nó chỉ ra rằng tất cả các cổng được được lọc , thì Máy chủ sẽ lên , nhưng tường lửa trên Máy chủ đó đang giảm lưu lượng truy cập đến tất cả các cổng được quét.

Lưu ý rằng quét nmap mặc định không thăm dò tất cả các cổng. Nó chỉ quét 1000 TCP cổng. Nếu bạn muốn kiểm tra bất kỳ dịch vụ nào, bạn sẽ muốn kiểm tra tất cả 65535 TCP cổng và tất cả các cổng UDP 65535.

Ngoài ra, để chính xác, nhưng khi quét cổng cho biết một cổng được được lọc , điều đó không có nghĩa là không có dịch vụ nào chạy trên cổng đó. Có thể tường lửa của Máy chủ có các quy tắc từ chối quyền truy cập vào IP mà bạn đang chạy quét , nhưng có thể có các IP khác được phép truy cập dịch vụ đó.

Nếu quét cổng báo cáo rằng một cổng đã đóng , điều đó chắc chắn hơn là không có dịch vụ lắng nghe trên cổng đó.

Tôi không thể nhận xét về việc thiếu kết quả từ Nessus, đã được một thời gian kể từ khi tôi sử dụng nó.

Ví dụ về đóng so với được lọc so với lưu trữ xuống

Ví dụ: trên mạng của tôi, Máy chủ này đã hoạt động, không có dịch vụ nào đang chạy và không có tường lửa, lưu ý rằng các cổng được báo cáo là đã đóng (điều này có nghĩa là Máy chủ phản hồi với các đầu dò trên cổng đó) :

% Sudo nmap -T4 -n 192.168.1.24

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 7.70 seconds

Máy chủ này đã hoạt động, không có dịch vụ nào chạy trên các cổng 100-1000 và có tường lửa. Lưu ý rằng các cổng được báo cáo là đã lọc (điều này có nghĩa là Máy chủ đã bỏ đầu dò vào các cổng đó):

% Sudo nmap -T4 -n -p 100-1000 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 20.03 seconds

Chỉ để minh họa, tôi đã đục một lỗ tạm thời trên tường lửa cho Máy chủ cuối cùng đó cho cổng 443 và chạy lại quá trình quét. (Không có gì chạy trên 443 ở đó.) Lưu ý cách 998 cổng được báo cáo được lọc , nhưng cổng 443 được báo cáo là đã đóng ; tường lửa cho phép 443 thông qua và HĐH phản hồi với RST.

% Sudo nmap -T4 -n 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 5.67 seconds

Không có Máy chủ tại địa chỉ này (Lưu trữ xuống):

% Sudo nmap -T4 -n 192.168.1.199

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds

nếu tôi quét lại với -PN --send-ip (cái sau là cần thiết vì tôi đang quét mạng LAN và tôi không muốn sử dụng đầu dò ARP), tôi thấy:

% Sudo nmap -T4 -n -PN --send-ip 192.168.1.199 

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered

Nmap done: 1 IP address (1 Host up) scanned in 101.44 seconds
33
bstpierre

Kết quả nmap "được lọc" ngụ ý rằng (nếu bạn biết có Máy chủ có địa chỉ IP đó) quyền truy cập vào cổng đã bị chặn bởi tường lửa hoặc tương tự, làm giảm lưu lượng. Điều này trái ngược với kết quả "đóng" chỉ ra rằng có một Máy chủ lưu trữ trên IP đó nhưng không có dịch vụ hoạt động nào đáp ứng với các đầu dò bước sóng.

Nếu tất cả các cổng trên Máy chủ trở lại dưới dạng được lọc, sẽ không có gì ở đó hoặc có tường lửa được định cấu hình để giảm tất cả lưu lượng truy cập hướng đến nó.

10
Rory McCune