क्या यह देखने का एक तरीका है कि वास्तव में टीसीपी पोर्ट संचार को फ़िल्टर करना क्या है?

10

nmap -p 7000-7020 10.1.1.1

सभी फ़िल्टर किए गए पोर्ट का आउटपुट देगा

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT     STATE    SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds

वहाँ एक रास्ता है कि मैं देख सकता हूँ क्या वास्तव में उन बंदरगाहों छान रहा है?

— एडुआर्ड फ्लोरिंसकु
स्रोत

11

यह filteredराज्य के बारे में nmap डॉक्स का कहना है

फ़िल्टर्ड Nmap यह निर्धारित नहीं कर सकता है कि पोर्ट खुला है क्योंकि पैकेट फ़िल्टरिंग इसकी जांच को पोर्ट तक पहुँचने से रोकता है। फ़िल्टरिंग एक समर्पित फ़ायरवॉल डिवाइस, राउटर नियमों या होस्ट-आधारित फ़ायरवॉल सॉफ़्टवेयर से हो सकती है ...

यह पता लगाने का एकमात्र तरीका है कि फ़िल्टरिंग क्या कर रहा है, यह जानने के लिए कि आपके और दूरस्थ लक्ष्य के बीच क्या 'मशीनें' हैं।

यह एक रूट ट्रेस उपयोगिता का उपयोग करके प्राप्त किया जा सकता है, जो आपके और विशेष टीसीपी पैकेट का उपयोग करके लक्ष्य के बीच मेजबानों को निर्धारित करने का प्रयास करता है। आपके मामले में कमांड कुछ इस तरह दिख सकती है:

traceroute 10.1.1.1

एक बार जब आप अपने और लक्ष्य के बीच की मशीनों को जान लेते हैं, तो आप यह पता लगाने के लिए प्रत्येक के कॉन्फ़िगरेशन की जांच करते हैं कि क्या यह फ़िल्टरिंग है और यदि ऐसा है तो कैसे।

— user9517
स्रोत

उन दो मशीनों पर कोई सक्रिय सॉफ़्टवेयर फ़ायरवॉल नहीं है, nmap -p 7000-7020 localhostजो पोर्ट खोले गए दिखाता है, और समर्पित फ़ायरवॉल को कथित तौर पर खोला जाता है।

— एडुआर्ड फ्लोरिनेसस्क्यू

4

आपके पास जो सबूत हैं, उनसे पता चलता है कि कुछ फ़िल्टर कर रहा है, हम नहीं जान सकते कि वह क्या है जैसा कि हम आपके कॉन्फ़िगरेशन को नहीं जानते हैं। होस्ट आधारित फ़ायरवॉल अक्सर लूपबैक (लोकलहोस्ट) इंटरफ़ेस पर सभी ट्रैफ़िक की अनुमति देते हैं ताकि संभवतः एक भ्रामक परीक्षण हो।

— user9517 10

क्या कोई मौका है कि आप iptables "-j DROP" के साथ लिनक्स का उपयोग करें? फ़िल्टर्ड के रूप में संदर्भित नैम्प प्रलेखन वास्तव में किसी भी प्रोटोकॉल पर गिरा हुआ पैकेट है।

— रिसायसिन

क्या यह सॉफ्टवेयर वास्तव में बाहरी आईपी से जुड़ा है? यदि यह सब इसके बजाय 127.0.0.1 के लिए बाध्य है, तो यह इसका कारण बन सकता है।

— नेटस्टैट की

12

निमप फ़िल्टरिंग के कारण के बारे में अधिक जानकारी प्राप्त करने के कई तरीके प्रदान करता है:

--reasonविकल्प प्रतिक्रिया के प्रकार है कि "फ़िल्टर किए गए" बंदरगाह राज्य की वजह से दिखाई देगा। यह "नो-रिस्पांस" या "एडमिन-निषिद्ध" या कुछ और हो सकता है।
पोर्ट reason_ttlके stateतत्व की विशेषता के रूप में एक्सएमएल आउटपुट में प्रतिक्रिया पैकेट का टीटीएल रिपोर्ट किया गया है । यदि किसी फ़िल्टर किए गए पोर्ट के लिए TTL खुले पोर्ट के लिए TTL (आमतौर पर इससे अधिक) से भिन्न है, तो TTL के बीच का अंतर लक्ष्य और फ़िल्टरिंग डिवाइस के बीच की नेटवर्क दूरी है। ऐसे अपवाद हैं, जैसे लक्ष्य जो आईसीएमपी बनाम टीसीपी पैकेट के लिए अलग प्रारंभिक टीटीएल का उपयोग करते हैं, या एक फ़िल्टरिंग डिवाइस जो टीटीएल जानकारी को गलत या ओवरराइट करता है।
--tracerouteसमारोह में आपके मार्ग पर हॉप्स, अपने यातायात छानने किया जा सकता है जिनमें से सभी के बारे में जानकारी दिखाएगा। कुछ मामलों में, हॉप्स में से एक के लिए रिवर्स DNS नाम यहां तक कि "फ़ायरवॉल 1.example.com" जैसा कुछ होगा।
firewalkएनएसई स्क्रिप्ट प्रारंभिक TTLs कि जहां पैकेट अवरुद्ध किया जा रहा है लगता है की कोशिश में मार्ग के साथ अलग अलग हॉप्स में टाइम आउट के साथ पैकेट भेज देंगे। यह पिछले दो तकनीकों के संयोजन की तरह है, और आमतौर पर काफी अच्छी तरह से काम करता है।

वर्तमान में Nmap के अप्रकाशित विकास संस्करण भी -v --reasonविकल्पों के साथ सामान्य पाठ आउटपुट में प्रतिक्रिया पैकेट के लिए TTL की रिपोर्ट करते हैं। हालाँकि, अभी के लिए, आपको यह जानकारी प्राप्त करने के लिए XML आउटपुट का उपयोग करना होगा।

EDD TO ADD: Nmap 6.49BETA1 टेक्स्ट आउटपुट में -v --reasonया उसके साथ प्रतिक्रिया पैकेट के लिए TTL दिखाने वाली पहली रिलीज़ -vvथी, और जून 2015 में रिलीज़ हुई थी।

— bonsaiviking
स्रोत

1

बहुत उपयोगी विकल्प +1

— एडुआर्ड फ्लोरिनस्कु

हां, --script=firewalkवही है जो मैं खोजने की कोशिश कर रहा था। धन्यवाद।

— ulidtko

5

संक्षिप्त उत्तर - नहीं, ऐसा कोई तरीका नहीं है जिससे आप इसे देख सकें।

दीर्घ उत्तर:

प्रेषक: https://nmap.org/book/man-port-scanning-basics.html

"फ़िल्टर्ड Nmap यह निर्धारित नहीं कर सकता है कि पोर्ट खुला है क्योंकि पैकेट फ़िल्टरिंग इसकी जांच को पोर्ट तक पहुँचने से रोकता है। फ़िल्टरिंग एक समर्पित फ़ायरवॉल डिवाइस, राउटर नियमों या होस्ट-आधारित फ़ायरवॉल सॉफ़्टवेयर से हो सकती है। ये पोर्ट्स हमलावरों को निराश करते हैं क्योंकि यह बहुत कम प्रदान करते हैं। जानकारी। कभी-कभी वे ICMP त्रुटि संदेशों जैसे कि टाइप 3 कोड 13 (गंतव्य पहुंच योग्य: संचार प्रशासनिक रूप से निषिद्ध) के साथ प्रतिक्रिया करते हैं, लेकिन फिल्टर जो बिना जवाब दिए जांच को छोड़ देते हैं, वे कहीं अधिक सामान्य हैं। यह जाँच के मामले में कई बार रिटायर होने के लिए नंप को मजबूर करता है। फ़िल्टरिंग के बजाय नेटवर्क की भीड़ के कारण गिरा। यह नाटकीय रूप से स्कैन को धीमा कर देता है। "

आप ट्रेसरआउट जैसे उपकरणों के साथ नेटवर्क टोपोलॉजी की खोज करने की कोशिश कर सकते हैं। आमतौर पर पोर्ट्स को होस्ट ऑन सेल्फ (यानी आईपी टेबल), टारगेट नेटवर्क एज राउटर, टारगेट नेटवर्क कोर राउटर या रैक 33 स्विच के ऊपर फिल्टर किया जाता है।

यदि आप एक ही सबनेट में हैं, तो टारगेट मशीन पर निश्चित रूप से फायरवॉल के लिए टारगेट होस्ट है।

— मैकीक सविकि
स्रोत

2

फ़िल्टर किए गए पोर्ट में से किसी एक के लिए tcptrace के परिणाम की तुलना एक ओपन पोर्ट (या एक मानक ट्रेसरूट) के साथ करें। यदि tcptraces समान हैं, तो इसका मतलब है कि गंतव्य मशीन पर कुछ है जो बंदरगाहों को फ़िल्टर कर रहा है।

अद्यतन: मेरा मतलब था tcptraceroute, मेरे पास यह उपनाम है।

— Makdaam
स्रोत