Существует ли способ видеть то, что на самом деле фильтрует коммуникацию порта TCP?
nmap -p 7000-7020 10.1.1.1
Произведет все фильтрованные порты
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT STATE SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown
Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds
Существует ли способ, которым я вижу то, что точно фильтрует те порты?
Это то, что в документации Nmap говорится о состоянии отфильтровано
отфильтровано Nmap не может определить, открыт ли порт, потому что фильтрация пакетов не позволяет его зондам достигать порта. Фильтрация может осуществляться с помощью специального брандмауэра, правил маршрутизатора или программного обеспечения брандмауэра на основе хоста ...
Единственный способ узнать, что делает фильтрация, - это знать, какие «машины» находятся между вами и удаленной целью .
Это может быть достигнуто с помощью утилиты трассировки маршрута, которая пытается определить хосты между вами и целью с помощью специальных TCP-пакетов. В вашем случае команда может выглядеть примерно так:
traceroute 10.1.1.1
Как только вы узнаете, какие машины находятся между вами и целью, вы исследуете конфигурацию каждой, чтобы выяснить, фильтрует ли она, и если да, то как.
Nmap предоставляет несколько способов получить дополнительную информацию о причинах фильтрации:
-
-Параметр причинапокажет тип ответа, который вызвал "отфильтрованное" состояние порта. Это может быть «нет ответа», «запрещено администратором» или что-то еще. - TTL ответных пакетов сообщается в выходных данных XML как атрибут
reason_ttlэлементаstateдля порта. Если TTL для отфильтрованного порта отличается (обычно больше) от TTL для открытых портов, тогда разница между TTL - это сетевое расстояние между целью и фильтрующим устройством. Существуют исключения, такие как цели, которые используют разные начальные TTL для пакетов ICMP и TCP, или устройство фильтрации, которое искажает или перезаписывает информацию TTL. - Функция
- tracerouteпокажет информацию о переходах вдоль вашего маршрут, любой из которых может фильтровать ваш трафик. В некоторых случаях обратное DNS-имя для одного из переходов будет даже чем-то вроде "firewall1.example.com" - Сценарий
firewalkNSE будет отправлять пакеты с начальным TTL, время ожидания которых истекает в разные прыгает по маршруту, пытаясь найти, где пакеты блокируются. Это что-то вроде комбинации двух предыдущих методов и обычно работает довольно хорошо.
В настоящее время не выпущенная разрабатываемая версия Nmap также сообщает TTL для пакетов ответа в обычном текстовом выводе с помощью -v --reason вариантов. На данный момент, однако, вы должны использовать выходные данные XML для получения этой информации.
ИЗМЕНЕНО ДЛЯ ДОБАВЛЕНИЯ: Nmap 6.49BETA1 был первым выпуском, в котором TTL для ответных пакетов в текстовом выводе отображался с -v --reason или -vv , и был выпущен в июне 2015 года.
Краткий ответ - Нет, это невозможно увидеть.
Более длинный ответ:
От: https://nmap.org/book/man -port-scan-basics.html
"отфильтровано Nmap не может определить, открыт ли порт, потому что фильтрация пакетов не позволяет его зондам достигать порта. Фильтрация может осуществляться с помощью специального устройства межсетевого экрана, правил маршрутизатора или программного обеспечения межсетевого экрана на основе хоста. Эти порты расстраивают злоумышленников, потому что предоставляют очень мало информации. Иногда они отвечают сообщениями об ошибках ICMP, такими как код типа 3 13 (пункт назначения недоступен: связь запрещена административно), но гораздо более распространены фильтры, которые просто отбрасывают зонды без ответа. Это заставляет Nmap повторить попытку несколько раз на тот случай, если зонд был сброшен из-за перегрузки сети, а не из-за фильтрации. Это значительно замедляет сканирование. "
Вы можете попробовать обнаружить топологию сети с помощью таких инструментов, как traceroute. Обычно порты фильтруются на самом хосте (то есть в таблицах IP), граничном маршрутизаторе целевой сети, целевой сети основной маршрутизатор или верхняя часть коммутатора L3 в стойке.
Если вы находитесь в той же подсети, что и целевой хост, почти наверняка межсетевой экран установлен на целевой машине.
Попробуйте сравнить результат tcptrace с одним из отфильтрованных портов с tcptrace с открытым портом (или стандартным traceroute). Если tcptraces совпадают, это означает, что на конечном компьютере что-то фильтрует порты.
Обновление: Я имел ввиду tcptraceroute, у меня он псевдоним.