Назад | Перейти на главную страницу

Странные результаты сканирования портов с использованием nmap

Я сканировал один из серверов моих друзей с помощью nmap и получил эти данные о порте. 

PORT      STATE    SERVICE
22/tcp    open     ssh
42/tcp    filtered nameserver
80/tcp    open     http
111/tcp   open     rpcbind
135/tcp   filtered msrpc
139/tcp   filtered netbios-ssn
161/tcp   filtered snmp
179/tcp   filtered bgp
443/tcp   open     https
1028/tcp  filtered unknown
1080/tcp  filtered socks 
3128/tcp  filtered squid-http
6666/tcp  filtered irc
6667/tcp  filtered irc
6668/tcp  filtered irc
7402/tcp  open     unknown
10082/tcp open     amandaidx

И когда я вошел в систему с помощью SSh и снова просканировал ее с помощью nmap, я получил следующий результат

PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
111/tcp   open  rpcbind
443/tcp   open  https
631/tcp   open  ipp
7402/tcp  open  rtps-dd-mt
10082/tcp open  amandaidx

Почему вопрос в том, почему он показывает порты IRC и порты Squid при первом сканировании? У нас в нем ничего не установлено. Это выделенный ящик и не работает на виртуальной машине. Есть ли вероятность, что это могло быть скомпрометировано? На нем тоже нет IPtables.

Различия связаны с интерфейсом, который прослушивает каждая служба, и фильтрацией, выполняемой вашим интернет-провайдером (ISP). Когда между сканирующим хостом и целью нет брандмауэра, закрытые TCP-порты отвечают пакетом RST, и можно разумно предположить, что они действительно закрыты. Брандмауэр, настроенный на блокировку порта, автоматически отбрасывает все пакеты на этот порт, поэтому хост сканирования не видит ответа. Nmap указывает этот статус как filtered, поскольку невозможно определить, действительно ли порт открыт или закрыт.

Две службы, которые не отображаются при первом сканировании (25 / tcp и 631 / tcp), скорее всего, прослушивают только интерфейс обратной петли. Вы можете проверить это, запустив netstat -tln и глядя на столбец «Местный адрес». Если локальный адрес 0.0.0.0:631, то он прослушивает все доступные интерфейсы. Если это 127.0.0.1:631, то он прослушивает только интерфейс обратной петли и не открыт для сети.

Эти порты, скорее всего, фильтруются интернет-провайдером вашего друга.