Início / unix / Perguntas / 418742
Accepted
Craig Hicks
Asked: 2018-01-22 20:13:03 +0800 CST

resultados "filtrados" do nmap em um servidor bastante nu - "filtrado" poderia significar apenas "silêncio"?

  • 772

Obtenho resultados não intuitivos de "nmap -A" que quero esclarecer.

Configuração: sshd (ssh deamon service) está sendo executado com sucesso. o postfix está instalado e o serviço smpt está em execução. No entanto, ele só configurou para enviar e-mail, não para receber. apache não instalado, iptables vazio, ufw não instalado.

A partir desta fonte primária de documentação do nmap: "As portas fechadas não têm nenhum aplicativo escutando nelas"

A questão:

É possível que algumas instâncias de resultados "filtrados" simplesmente não tenham nenhum aplicativo ouvindo-as? Ou "filtrado" sempre significa que há algum outro motivo? (Se for o último, gostaria de descobrir qual é esse outro motivo, e é por isso que estou perguntando.)

nmap -A xxxxxx.com

Starting Nmap 7.01 ( https://nmap.org ) at 2018-01-21 18:13 PST
Nmap scan report for xxxxxx.com (45.**.***.***)
Host is up (0.058s latency).
rDNS record for 45.**.***.***: li****-***.members.linode.com
Not shown: 995 closed ports
PORT    STATE    SERVICE      VERSION
22/tcp  open     ssh          OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 **** (RSA)
|_  256 **** (ECDSA)
25/tcp  filtered smtp
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

sudo lsof -i -n

COMMAND  PID    USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    3396    root    3u  IPv4  15205      0t0  TCP *:ssh (LISTEN)
sshd    3396    root    4u  IPv6  15214      0t0  TCP *:ssh (LISTEN)
master  4988    root   12u  IPv4  19670      0t0  TCP 127.0.0.1:smtp (LISTEN)
master  4988    root   13u  IPv6  19671      0t0  TCP [::1]:smtp (LISTEN)
sshd    5582    root    3u  IPv4  30352      0t0  TCP **.**.***.***:ssh->**.**.***.***:54224 (ESTABLISHED)
sshd    5602 izxzxzn    3u  IPv4  30352      0t0  TCP **.**.***.***:ssh->**.**.***.***:54224 (ESTABLISHED)

sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
networking firewall

2 respostas

  1. Best Answer

    Essas são portas comuns bloqueadas por provedores de serviços de Internet.

    É impossível dizer se esse é o seu problema com base nas informações fornecidas, mas 25 geralmente é bloqueado para limitar retransmissões de spam abertas. 135, 139 e 445 são frequentemente bloqueados para proteger os clientes com compartilhamentos de arquivos abertos involuntariamente, que costumavam ser muito comuns.

    No caso do meu provedor doméstico, essas portas são bloqueadas por padrão, mas podem ser desativadas na interface do cliente.

    Se esta for uma varredura pela Internet (pela aparência do .com em seu comando nmap, provavelmente é), então quase certamente há um ISP bloqueando o acesso a essas portas.

    • 2

  2. O manual do nmap declara (ênfase minha):

    O estado é open, filtered, closedou unfiltered. Opensignifica que um aplicativo na máquina de destino está escutando conexões/pacotes nessa porta. Filteredsignifica que um firewall, filtro ou outro obstáculo de rede está bloqueando a porta de modo que o Nmap não possa dizer se está aberta ou fechada. Closedas portas não têm nenhum aplicativo escutando nelas, embora possam abrir a qualquer momento. As portas são classificadas unfilteredquando respondem às sondagens do Nmap, mas o Nmap não pode determinar se estão abertas ou fechadas.

    O host de destino 45.**.***.***pode estar ouvindo em uma ou mais portas que você estava sondando, mas o nmap está informando que não há como saber.

    • 0

relate perguntas