Nmap Port-Zustände

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Grundsätzliches

Nmap teilt jeden gescannten Port in einen von sechs Zuständen ein. Der Zustand ergibt sich aus der Antwort des Ziels - oder aus deren Ausbleiben. Gescannt wird von der kali-innen (10.0.10.101) gegen das Opfernetz 10.88.215.0/24.

Die sechs Zustände

open
  • Verbindung erfolgreich - das Ziel antwortet mit SYN-ACK
closed
  • Host erreichbar, aber kein Dienst aktiv - Antwort mit RST
filtered
  • Zustand nicht bestimmbar - keine Antwort oder Fehlercode - Firewall wahrscheinlich
unfiltered
  • Port erreichbar, Zustand unklar - nur beim ACK-Scan
open|filtered
  • Keine Antwort - Firewall oder Paketfilter vermutet - typisch bei UDP
closed|filtered
  • Nur bei IP-ID-Idle-Scans - Zustand nicht bestimmbar

Offene Ports finden

Auf der 10.88.215.61 sind mehrere Dienste offen

  • nmap 10.88.215.61 -Pn -n
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
23/tcp   open  telnet
25/tcp   open  smtp
80/tcp   open  http
139/tcp  open  netbios-ssn
389/tcp  open  ldap
443/tcp  open  https
445/tcp  open  microsoft-ds
3389/tcp open  ms-wbt-server

Offen und geschlossen unterscheiden

Auf der 10.88.215.61 ist Port 3000 geschlossen, Port 22 offen

  • nmap 10.88.215.61 -p 22,3000 -Pn -n --reason
PORT     STATE  SERVICE       REASON
22/tcp   open   ssh           syn-ack
3000/tcp closed ppp           reset
Erläuterung
  • Port 22 antwortet mit syn-ack - offen
  • Port 3000 antwortet mit reset - geschlossen
  • Beide Hosts sind also erreichbar, der Unterschied liegt nur am Dienst

Gefilterte Ports

Der Host 10.88.215.1 verwirft die meisten Ports still - nur 53 und 4444 antworten

  • nmap 10.88.215.1 -p 53,80,4444 -Pn -n --reason
PORT     STATE    SERVICE  REASON
53/tcp   open     domain   syn-ack
80/tcp   filtered http     no-response
4444/tcp open     krb524   syn-ack
Erläuterung
  • Port 53 und 4444 antworten mit syn-ack - offen
  • Port 80 gibt keine Antwort - no-response - die Firewall verwirft das Paket still
  • filtered bedeutet: nmap kann den Zustand nicht bestimmen

UDP und open|filtered

Bei UDP kann ohne Antwort nicht zwischen offen und gefiltert unterschieden werden

  • nmap 10.88.215.61 -sU -F -Pn -n
PORT    STATE         SERVICE
137/udp open          netbios-ns
138/udp open|filtered netbios-dgm
Erläuterung
  • Port 137 hat geantwortet - definitiv offen
  • Port 138 gab keine Antwort - open|filtered
  • Da UDP keine Bestätigung kennt, bleibt der Zustand mehrdeutig

unfiltered mit dem ACK-Scan

Der ACK-Scan zeigt, ob eine Firewall Pakete blockiert - nicht ob der Port offen ist

  • nmap 10.88.215.61 -p 22,80,443 -sA -Pn -n
PORT    STATE      SERVICE
22/tcp  unfiltered ssh
80/tcp  unfiltered http
443/tcp unfiltered https
Erläuterung
  • unfiltered bedeutet nicht offen oder geschlossen
  • Es bestätigt nur, dass keine Firewall die ACK-Pakete blockiert
  • Der ACK-Scan dient der Firewall-Analyse, nicht der Dienst-Erkennung