“
传统意义上的端口状态只有 open 或 close 两种。网络发现扫描最常用的工具是Nmap,它可以提供更细分的端口状态,共计六种,分别为open, closed, filtered, unfiltered, open|filtered, or closed|filtered。
1. 端口状态介绍
-
开放的(open):该端口在远程系统上已经开放,同时在该 端口上运行应用程序,可以接受连接请求;
-
关闭的(closed):该端口在远程系统可以访问,意味着防火墙允许访问该端口,但在该端口上没有运行接受连接请求的应用程序;
-
被过滤的(filtered):因为数据包过滤器干扰连接尝试,Nmap无法确定端口是开放还是关闭。
“
过滤可能来自专用防火墙设备、路由器规则或基于主机的防火墙软件。这些端口会让攻击者感到沮丧,因为它们提供的信息很少。有时它们会用ICMP错误消息进行响应,如类型3代码13(目标不可达:管理上禁止通信),但更常见的是简单地丢弃探测而不响应的过滤器。这迫使Nmap重试几次,以防探测因网络拥塞而不是过滤而丢失。这大大减慢了扫描速度。
-
未过滤的(unfiltered):端口是可以访问的,但Nmap无法确定端口是开放的还是关闭的。
“
只有用于映射防火墙规则集的ACK扫描将端口分类到此状态。使用其他扫描类型(如窗口扫描、SYN扫描或FIN扫描)扫描未过滤的端口可能有助于解决端口是否打开的问题。
-
关闭的或被过滤的(closed|filtered):Nmap无法确定端口是关闭的还是被过滤。它仅用于IP ID空闲扫描。
-
开放的或被过滤的(open|filtered):对于开放端口没有响应的扫描类型,会出现这种情况。缺乏响应也可能意味着数据包过滤器丢弃了探测或它引发的任何响应。此状态常见于UDP、IP协议、FIN、NULL和Xmas扫描。
2. 参考链接
-
https://nmap.org/book/man-port-scanning-basics.html -
https://nmap.org/book/port-scanning.html -
https://nmap.org/book/synscan.html#scan-methods-ex-syn-scan
原文始发于微信公众号(筑梦之月):Nmap扫描六种端口状态介绍
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论