Início / unix / Perguntas / 743482
Accepted
klopvm
Asked: 2023-04-20 11:06:56 +0800 CST

STATE LISTEN ou ESTABLISHED significa que devo ver uma porta aberta ao usar o nmap?

  • 772

As portas que estão nos estados LISTENING, ESTABLISHED ou não identificadas devem aparecer como portas abertas no nmap?

Fazendo umas pesquisas no google encontrei isso:

Qualquer soquete "ESTABLISHED" significa que existe uma conexão atualmente feita lá. Qualquer "LISTEN" significa que o soquete está aguardando uma conexão. Ambas são portas abertas, mas uma está esperando que uma conexão seja feita enquanto a outra tem uma conexão já feita.

Eu usei netstatno windows powershell para mostrar os estados do processo:

netstat -nboa
Proto  Local Address          Foreign Address        State           PID
[svchost.exe]
TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
[svchost.exe]
TCP    0.0.0.0:7680           0.0.0.0:0              LISTENING       21240
[svchost.exe]
TCP    192.168.0.106:60478    155.133.255.100:27035  ESTABLISHED     21016
[msedge.exe]
UDP    0.0.0.0:60288          104.71.216.88:443                      10736
[steam.exe]
TCP    192.168.0.106:64644    52.2.219.0:443         ESTABLISHED     4456

Em seguida, testei usando o convidado vmbox Kali Linux nmap -v -p 445 192.168.0.106para essas portas de endereço local. Também tentei usar -f, -T0e -T1, mas todos retornaram STATE fechado ou filtrado.

Também testei o endereço IP do meu sistema operacional convidado

ss -tnp
tcp  ESTAB 0 0 192.168.0.111:47658 34.117.65.55:443 users:(("firefox-esr",pid=1648,fd=106))

E então usando nmap -v -p 47658 192.168.0.111, resultou em STATE fechado.

Estou fazendo algo errado? Devo estar vendo essas portas como ABERTAS?

kali-linux

1 respostas

  1. Best Answer

    As portas que estão nos estados LISTENING, ESTABLISHED ou não identificadas devem aparecer como portas abertas no nmap?

    OUVINDO, sim. ESTABELECIDO, nº. Um soquete 'estabelecido' representa uma conexão que já existe e não é de forma alguma uma "porta aberta".

    Observe como a saída não informa qual lado estava ouvindo originalmente quando a conexão foi feita – não é necessariamente uma conexão de entrada para sua máquina; de fato, todas as três conexões em sua saída parecem ser de saída, com o sistema remoto escutando na porta 443 ou 27035 no momento em que essas conexões foram estabelecidas. A porta local desses soquetes nunca teve um soquete de escuta.

    O soquete "Não identificado" em sua lista nem é TCP - é UDP. (O UDP não possui nenhum estado de conexão.) O Nmap pode escanear as portas UDP, mas você precisa explicitamente dizer a ele para fazer isso. No entanto, novamente, a julgar pelos números de porta, é um fluxo de saída – o sistema remoto está escutando na porta UDP 443, enquanto a porta local é apenas temporariamente atribuída a esse único fluxo.

    • 0

relate perguntas