In che modo nmap distingue le porte chiuse dalle porte filtrate

Supponiamo di fare una scansione di connessione TCP.

una scansione nmap su google restituisce il seguente output:

SERVIZIO DI STATO PORTUALE

80 / tcp apri http

443 / tcp https aperto

Tuttavia, se provo ad aprire un socket con netcat o telnet su google.com sulla porta 12, ad esempio, netcat o telnet si blocca indefinitamente.

Nmap rileva la porta 12 (e altre porte diverse da 80 o 443) come chiusa ma l'avvio di una connessione TCP ad esse non si chiude immediatamente.

Come può nmap sapere che quelle porte non sono filtrate ma chiuse?

Con nmap scan, di solito ottieni 3 stati:

• Apri: il computer remoto ha risposto con un SYN / ACK al tuo SYN
• Chiuso: il computer remoto ha rifiutato il tentativo di connessione con un pacchetto RST
• Filtrato: non è tornato nulla, si è verificato il timeout

L'apertura di un netcat alla porta 80 e l'attesa non farà nulla. La porta 80 (di solito) indica che un server http è in ascolto dall'altra parte e attende un comando HTTP (fino al suo timeout). Dopo aver effettuato il netcatting alla porta 80, prova a sedinng a GET /per vedere se ricevi una risposta (probabilmente un errore http).

Una porta chiusa è una porta che non ha alcun software in ascolto, quindi un tentativo di stabilire una connessione a quella porta su quel sistema comporterà l'invio del pacchetto TCP RST da parte del sistema.

Una porta filtrata, d'altra parte, è in genere una porta bloccata da un firewall nel percorso di rete, quindi un tentativo di stabilire una connessione a quella porta su quel sistema comporterà la non ritorno di nulla ... nemmeno un TCP RST ... quindi un tentativo di connessione rimarrà lì finché TCP non scade il tentativo di connettersi.