Início / server / Perguntas / 797763
Accepted
MrDuk
Asked: 2016-08-19 13:22:29 +0800 CST

Por que as varreduras do netcat para portas UDP sempre são bem-sucedidas?

  • 772

Estou tentando verificar se alguns de nossos servidores podem se comunicar por meio de determinadas portas antes de migrar alguns de nossos serviços para eles e se eles não estão bloqueados pelas ACLs de firewall de nossa organização.

Faz sentido

[mrduki@mybox1~]$ nc -ul 40000
---
[mrduki@mybox2~]$ nc -zvuw2 mybox1.com 40000
Connection to mybox1.com 40000 port [udp/*] succeeded!

Não Faz Sentido

[mrduki@mybox1~]$ nc -ul 40000
[mrduki@mybox1~]$ ^C
---
[mrduki@mybox2~]$ nc -zvuw2 mybox1.com 40000
Connection to mybox1.com 40000 port [udp/*] succeeded!

Na verdade, se eu fizer uma varredura de porta de 40000-40100, todas as portas serão bem-sucedidas.

Se eu fizer os mesmos testes sem -u(para testar TCP em vez de UDP), recebo 40000 (tcp) timed out: Operation now in progresserros, como seria de esperar (já que não tenho esse serviço TCP escutando 40000).

Fazer um sudo netstat -alnp | grep LISTENon , no mybox1entanto, não mostra esses serviços escutando nessas portas. Então, o que estou perdendo?

port access-control-list netcat nc

3 respostas

  1. O UDP é um protocolo "sem conexão". Se você enviar um pacote e não receber uma rejeição (via ICMP), independentemente de receber uma resposta ou não, é considerado bem-sucedido. Algo bastante comum é um firewall impedindo que os pacotes de rejeição ICMP do alvo sejam enviados de volta para você (que é o que o netcat usa para saber se a porta está fechada, caso contrário, ele pensa que está aberta).

    Compare isso com TCP, que é statefull. Uma falha no recebimento de uma resposta (ACK) é considerada uma falha dentro do TCP (geralmente aparece como "filtrada"), assim como as respostas negativas (RST, que aparecerá como fechada).

    UDP: aberto|filtrado fechado TCP: aberto fechado filtrado

    • 6
  2. Best Answer

    ncpode não ser a melhor ferramenta para testar o status da porta. Você já tentou nmap? Na verdade, é um scanner de portas. Verifiquei um servidor de arquivos em minha rede doméstica e 127.0.0.1, ambos informam que UDP port 40000está fechado.

    nmap

    # nmap -sU -p 40000 igor

Starting Nmap 7.01 ( https://nmap.org ) at 2016-08-18 18:27 EDT
Nmap scan report for igor (192.168.1.125)
Host is up (0.00027s latency).
rDNS record for 192.168.1.125: igor.swass
PORT      STATE  SERVICE
40000/udp closed unknown
MAC Address: 68:05:CA:3A:BF:B7 (Intel Corporate)

Nmap done: 1 IP address (1 host up) scanned in 0.53 seconds

    Kernel + /dev

    Você também pode usar o kernel para fazer isso. Mas nmapé provavelmente melhor.

    # timeout 3 cat < /dev/udp/example.com/40000

    Quando tentei ncno mesmo servidor (igor) estava obtendo os mesmos resultados que você. Mas voltei para tentar novamente e agora não está retornando nenhuma saída (nenhuma mensagem bem-sucedida) e o wireshark está mostrando "Destino inacessível" sendo enviado de volta pelo ICMP. Eu não entendo nada disso. Mas eu mudaria para um método diferente de verificar o status da porta UDP.

    • 4

  3. Nenhum bloqueio de firewall impedirá o sucesso de uma tentativa de conexão UDP, pois a conexão com UDP não envolve o envio de nada ou a escuta de qualquer resposta. Funcionalmente, uma operação de conexão UDP é igual a um envio até o ponto em que os dados são realmente enviados, ou seja:

    1. Garante que a porta local selecionada possa ser vinculada, se uma tiver sido selecionada.
    2. Se nenhuma porta local foi selecionada, ele escolhe uma.
    3. Bloqueia o terminal para que, por padrão, ele se comunique com o IP e a porta selecionados e descarte quaisquer datagramas recebidos de qualquer outro endereço IP ou porta.
    4. O sistema pode mudar a maneira como lida com alguns tipos de erros.
    5. É isso.

    Observe que nada disso faz nada que um firewall possa interferir, nem nada é enviado na rede.

    • 0

relate perguntas