কিছু বন্দরগুলি এনএম্যাপ দ্বারা ফিল্টার করা হয়েছে এবং অন্যগুলি নয় কেন?


38

আমি এমন একটি সার্ভার যা বেশ সহজ ফায়ারওয়াল থাকা উচিত ব্যবহার স্ক্যান করছি iptables- র : ডিফল্ট সবকিছু দ্বারা ব্যতীত অবনমিত হয়েছে RELATEDএবং ESTABLISHEDপ্যাকেট। কেবলমাত্র NEWপ্যাকেটগুলির মধ্যে অনুমোদিত 22 টি এবং 80 পোর্টের টিসিপি প্যাকেটগুলি হ'ল এটিই (সেই সার্ভারে কোনও HTTPS নেই))

প্রথম 2048 পোর্টে এনএম্যাপের ফলাফলটি 22 এবং 80 টি উন্মুক্ত হিসাবে প্রত্যাশা করেছে। তবে কয়েকটি বন্দর "ফিল্টার করা" হিসাবে উপস্থিত হয়।

আমার প্রশ্ন: 21, 25 এবং 1863 বন্দরটি কেন "ফিল্টারড" হিসাবে উপস্থিত হয় এবং 2043 টি অন্যান্য বন্দর ফিল্টার হিসাবে প্রদর্শিত হয় না?

আমি প্রত্যাশা করেছি যে কেবল 22 এবং 80 "ওপেন" হিসাবে দেখাবে।

যদি 21,25 এবং 1863 কে "ফিল্টারড" হিসাবে দেখা স্বাভাবিক হয়, তবে অন্য সমস্ত বন্দরগুলি কেন "ফিল্টারড" হিসাবে প্রদর্শিত হচ্ছে না !?

এখানে nmap আউটপুট:

# nmap -PN 94.xx.yy.zz -p1-2048

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
1863/tcp filtered msnp

আমার কেন 2043 টি বন্দর বন্দর রয়েছে তা আমি সত্যিই পাই না:

Not shown: 2043 closed ports

এবং 2046 বন্ধ বন্দর নয়।

এখানে সার্ভারে একটি lsof চালু করা হয়েছে:

# lsof -i -n
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
named    3789 bind   20u  IPv4     7802       TCP 127.0.0.1:domain (LISTEN)
named    3789 bind   21u  IPv4     7803       TCP 127.0.0.1:953 (LISTEN)
named    3789 bind  512u  IPv4     7801       UDP 127.0.0.1:domain 
sshd     3804 root    3u  IPv4     7830       TCP *:ssh (LISTEN)
sshd     5408 root    3r  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd     5411    b    3u  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java    16589    t   42u  IPv4 88842753       TCP *:http-alt (LISTEN)
java    16589    t   50u  IPv4 88842759       TCP *:8009 (LISTEN)
java    16589    t   51u  IPv4 88842762       TCP 127.0.0.1:8005 (LISTEN)

(নোট করুন যে জাভা / টমক্যাট 8009 পোর্টে শুনছে তবে সেই বন্দরটি ফায়ারওয়াল দ্বারা ড্রপড)


আপনি অন্যান্য হোস্টগুলি স্ক্যান করার সময় কি একই ফলাফল পাবেন?
ক্রিক

@Creek: অই, শুধু চেষ্টা slashdot.org এবং পেয়েছিলাম 80 এবং 443 খোলা কিন্তু 25 / SMTP পাশাপাশি ফিল্টার। তবে আপনি আমাকে সেই একই সার্ভারটি আমার হোম মেশিন থেকে নয় বরং আমার নিজের অন্য একটি সার্ভার থেকে এনএম্যাপ করার চেষ্টা করার ধারণা দিয়েছেন: আমি 3 টি ফিল্টারকৃত পোর্ট পাই না তবে আমি 53 / ডোমেন / বন্ধ , 443 / https / বন্ধ পেয়েছি এবং 953 / rndc / বন্ধ । (আমার উত্সর্গীকৃত সার্ভার উভয়ই ওভিএইচ / ফ্রান্সে হোস্ট করা হয়)।
সিড্রিক মার্টিন

1
আপনি যদি সত্যিই যা nmapকরছেন তা দেখতে চাইলে আপনাকে এসআইএন স্ক্যান ( -sS) এবং ব্যবহার করে রুট প্রাইভেস ব্যবহার করে স্ক্যান করা উচিত --packet-trace। এছাড়াও কয়েক মিনিট সময় নিন এবং ম্যান পৃষ্ঠাটি পড়ুন, আপনি অবাক হয়ে যাবেন সেখানে কী কী রত্ন রয়েছে
ক্রিক

আমি অস্থায়ীভাবে এই বন্দরগুলিও খুলতাম এবং প্যাকেটগুলি সেগুলি দিয়ে যায় কিনা তাও দেখতে চাই।
মার্ক হার্ট

উত্তর:


25

আপনার স্ক্যান পদ্ধতি অনুসারে এনএমএপ থেকে 'ফিল্টার করা পোর্ট' বিবৃতি আলাদা হয়।

স্ট্যান্ডার্ড স্ক্যান (অপরিকল্পিত ব্যবহারকারী যদি টিসিপি স্ক্যান, বা আধিকারিক যদি অর্ধ-ওপেন স্ক্যান-এস এস) টিসিপি প্রোটোকলে নির্ভর করে। (নামকরণ 3-উপায় হানশাকে)

  • একটি ক্লায়েন্ট (আপনি) একটি SYN ইস্যু করেন, যদি সার্ভার SYN / ACK জবাব দেয়: এর অর্থ হল পোর্টটি খোলা আছে !

  • আপনি একটি এসওয়াইএন ইস্যু করেন, যদি সার্ভারটি আরএসটি উত্তর দেয়: এর অর্থ হল পোর্টটি কাছে !

  • আপনি একটি এসওয়াইএন ইস্যু করেন, যদি সার্ভার উত্তর না দেয়, বা আইসিএমপি ত্রুটি দিয়ে উত্তর দেয়: এর অর্থ হল পোর্টটি ফিল্টার করা হয়েছে । সম্ভবত কোনও আইডিএস / স্টেটফুল ফায়ারওয়াল আপনার অনুরোধটিকে ব্লক করে)

বন্দরের আসল অবস্থা কী তা বোঝার জন্য আপনি:

  • -sV , বা -A বিকল্পটি ব্যবহার করুন (সংস্করণ সনাক্তকরণ, এটি আপনাকে এই বন্দরের স্থিতি কী তা নির্ধারণ করতে সহায়তা করবে।
  • fw কে বাইপাস করে দেখার জন্য --tcp-flags SYN, FIN ব্যবহার করুন।
  • অন্যান্য স্ক্যান প্রকার ( http://nmap.org/book/man-port-scanning-techniques.html ) ব্যবহার করুন

এর নির্মাতা ফায়োডরের লেখা চমৎকার " এনম্যাপ নেটওয়ার্ক আবিষ্কার " বইটি এটি খুব ভালভাবে ব্যাখ্যা করেছে। আমি উদ্ধৃতি

ফিল্টারড: Nmap পোর্টটি খোলা আছে কিনা তা নির্ধারণ করতে পারে না কারণ প্যাকেট ফিল্টারিং তার প্রোবগুলিকে বন্দরে পৌঁছাতে বাধা দেয়। ফিল্টারিং কোনও ডেডিকেটেড ফায়ারওয়াল ডিভাইস, রাউটার বিধি বা হোস্ট-ভিত্তিক ফায়ারওয়াল সফ্টওয়্যার হতে পারে। এই বন্দরগুলি আক্রমণকারীদের হতাশ করে কারণ তারা খুব কম তথ্য সরবরাহ করে। কখনও কখনও তারা আইসিএমপি ত্রুটি বার্তাগুলির সাথে প্রতিক্রিয়া জানায় যেমন টাইপ 3 কোড 13 (গন্তব্য অপ্রচারযোগ্য: যোগাযোগ প্রশাসনিকভাবে নিষিদ্ধ), তবে যে ফিল্টারগুলি কেবল প্রতিক্রিয়া ছাড়াই প্রোব ফেলে দেয় সেগুলি আরও বেশি সাধারণ। ফিল্টারিংয়ের পরিবর্তে নেটওয়ার্ক কনজিশনের কারণে তদন্তটি বাদ দেওয়া হলে এটি এনএমপকে কয়েকবার পুনরায় চেষ্টা করতে বাধ্য করে। এই ধরনের ফিল্টারিং নাটকীয়ভাবে স্ক্যানগুলি ধীর করে দেয়।

ওপেন | ফিল্টারড: কোনও বন্দর উন্মুক্ত বা ফিল্টারযুক্ত কিনা তা নির্ধারণ করতে অক্ষম হলে এনএম্যাপ এই স্থানে বন্দর রাখে। এটি স্ক্যান প্রকারের জন্য ঘটে যেখানে খোলা পোর্টগুলি কোনও সাড়া দেয় না। প্রতিক্রিয়ার অভাবের অর্থ এইও হতে পারে যে কোনও প্যাকেট ফিল্টারটি অনুসন্ধানটি ফেলেছে বা এটি প্রকাশিত কোনও প্রতিক্রিয়া। সুতরাং বন্দরটি খোলা আছে বা ফিল্টার হচ্ছে কিনা তা নিশ্চিতভাবে এনএম্যাপ জানে না। ইউডিপি, আইপি প্রোটোকল, এফআইএন, এনইউএল, এবং ক্রিমাস এইভাবে শ্রেণীবদ্ধ পোর্টগুলি স্ক্যান করে।

বন্ধ | ফিল্টারড: এই পোর্টটি যখন Nmap কোনও বন্দর বন্ধ বা ফিল্টারড কিনা তা নির্ধারণ করতে অক্ষম হয় তখন ব্যবহৃত হয়। এটি কেবল বিভাগ 5.10, "টিসিপি আইডল স্ক্যান (-এসএল) এ আলোচিত আইপি আইডল আইডল স্ক্যানের জন্য ব্যবহৃত হয়


তাহলে আমি কীভাবে 22 পোর্টটি আনফিল্টার করব? ধরুন আমি গুগল ডোমেনগুলি ব্যবহার করছি ...
ইগোরগানাপলস্কি

"আনফিল্টার"? ঠিক আছে আপনি আপনার ফায়ারওয়ালে 22 টি ট্র্যাফিক যান বাধা দেবেন না তাই এটি ফিল্টার করা হবে না ... আপনি তারপরে
এনএমএপ

আপনি কী স্ক্যান করছেন?
ফ্লোরিয়ান বিদাবে

আমি এই কমান্ডটি ব্যবহার করছি: sudo nmap -oG - -T4 -A -p22 -v pi.eazyigz.com | grep ssh
ইগোরগানাপলস্কি

1
"-T4" অপ্রয়োজনীয়, ইতিমধ্যে "-A" তে নির্দিষ্ট করা হয়েছে ... প্রোব সম্পর্কিত, sudo nmap বোঝায় যে একটি Syn স্ক্যান ব্যবহৃত হয়েছে (-sS)। "-A" "-T4" + "- এসভি" + "- ও" এর একটি সংক্ষিপ্ত সংস্করণ। যদি সার্ভিস সনাক্তকরণ (-sV) এসএসএইচ সার্ভারের অনুসন্ধানে ব্যর্থ হয়, তবে পোর্টটি সম্ভবত বন্ধ থাকবে (কোনও এসএসএস শ্রবণ নেই) অন্যথায় আপনার ক্লায়েন্ট এবং সার্ভারের মধ্যে এমন কিছু থাকা উচিত যা তদন্তটি ইন্টারপেট করে এবং প্যাকেটগুলি ফেলে দেয় (একটি হোস্ট ফায়ারওয়াল, একটি আইডিএস, বা ভুল
কনফিগার্ড করা

10

21, 25 এবং 1863 বন্দর কেন "ফিল্টারড" হিসাবে উপস্থিত হয় এবং 2043 টি অন্যান্য বন্দর ফিল্টার হিসাবে প্রদর্শিত হয় না?

কারণ আপনার আইএসপি, রাউটারে, আপনার নেটওয়ার্ক প্রশাসক, তাদের মধ্যে যে কোনও কিছু বা আপনি নিজে সেগুলি ফিল্টার করছেন। এই বন্দরগুলির একটি খুব খারাপ ইতিহাস রয়েছে, 1863 মাইক্রোসফ্ট তাত্ক্ষণিক বার্তাপ্রেরণ প্রোটোকল (ওরফে এমএসএন এবং বন্ধুরা) ব্যবহার করে এমন বন্দর যা আমি বিশ্বাস করি যে আপনি একটি নির্দিষ্ট নিয়ম নির্ধারণ করেছেন (বা নাও করতে পারেন)। এসএমটিপি একটিকে মনে হয় আপনার আইএসপিই অপরাধী এবং এফটিপি আমাকে পুরোপুরি বোকা বানিয়েছে, যেহেতু তাদের কী ঘটতে পারে সে সম্পর্কে আমার কোনও ধারণা নেই।


1
ব্যাখ্যা করার জন্য ধন্যবাদ! সুতরাং "ফিল্টার" মূলত আছে একটি সমতুল্য অর্থ iptables- র 'এর প্রত্যাখ্যান কোথাও (আইএসপি, রাউটার, ইত্যাদি)? এবং আইএসপি / রাউটার বা যেটি পরিষ্কার হয় বলে ড্রপপিংয়ের পরিবর্তে যা কিছু প্রত্যাখ্যান করছে? পোর্ট 25 সম্পর্কিত: এটি আমার জন্য ফিল্টার করা হয়, স্ল্যাশডট.অর্গ.একটি জন্যও (যখন আমি এটি আমার হোম সংযোগ থেকে এনএম্যাপ করি, তবে যখন আমি এটি আমার ডেডিকেটেড সার্ভার থেকে এনএম্যাপ করি না)।
সিড্রিক মার্টিন

6
@ সিড্রিকমার্টিন, আপনি ঠিক পেছনের দিকে এটি পেয়েছেন। "ফিল্টারড" অর্থ প্যাকেটটি বাদ পড়েছে (কোনও উত্তর নেই), যখন "বন্ধ" অর্থ প্যাকেটটি প্রত্যাখ্যান করা হয়েছে (একটি আইসিএমপি "পোর্ট অলঙ্ঘনযোগ্য" উত্তর প্রেরণ করা হয়েছে)।
চিহ্নিত করুন

@ মার্ক: তারপরে যদি এটি আমার পিছনে ফিরে আসে তবে আমার মূল প্রশ্নটি দাঁড়ায়: আমার সার্ভারে, iptables ব্যবহার করে , আমি 22 এবং 80 বন্দরটি ছাড়াও সমস্ত কিছু ফেলে দিচ্ছি। কীভাবে কেবল 3 টি বন্দর "ফিল্টারড" হিসাবে প্রদর্শিত হবে !?
সিড্রিক মার্টিন

@ সিড্রিকমার্টিন আপনার প্রশ্নটি সম্পাদনা করুন এবং আপনার আইপ্যাবগুলি নিয়ম যুক্ত করুন।
ব্রায়াম

1

ডিফল্টরূপে, এনএম্যাপ প্রতিটি প্রোটোকলের জন্য সবচেয়ে সাধারণ 1000 পোর্ট স্ক্যান করে (টিসিপি, ইউডিপি)। আপনার পোর্ট যদি এর বাইরে থাকে তবে এটি এটি স্ক্যান করবে না এবং তাই এটির প্রতিবেদন করবে না। তবে আপনি যে-পোর্টগুলি -p বিকল্প দিয়ে স্ক্যান করতে চান তা নির্দিষ্ট করতে পারেন want

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.