Nmap Port-Zustände
Zur Navigation springen
Zur Suche springen
Grundsätzliches
Nmap teilt jeden gescannten Port in einen von sechs Zuständen ein. Der Zustand ergibt sich aus der Antwort des Ziels - oder aus deren Ausbleiben. Gescannt wird von der kali-innen (10.0.10.101) gegen das Opfernetz 10.88.215.0/24.
Die sechs Zustände
- open
- Verbindung erfolgreich - das Ziel antwortet mit SYN-ACK
- closed
- Host erreichbar, aber kein Dienst aktiv - Antwort mit RST
- filtered
- Zustand nicht bestimmbar - keine Antwort oder Fehlercode - Firewall wahrscheinlich
- unfiltered
- Port erreichbar, Zustand unklar - nur beim ACK-Scan
- open|filtered
- Keine Antwort - Firewall oder Paketfilter vermutet - typisch bei UDP
- closed|filtered
- Nur bei IP-ID-Idle-Scans - Zustand nicht bestimmbar
Offene Ports finden
Auf der 10.88.215.61 sind mehrere Dienste offen
- nmap 10.88.215.61 -Pn -n
PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp open smtp 80/tcp open http 139/tcp open netbios-ssn 389/tcp open ldap 443/tcp open https 445/tcp open microsoft-ds 3389/tcp open ms-wbt-server
Offen und geschlossen unterscheiden
Auf der 10.88.215.61 ist Port 3000 geschlossen, Port 22 offen
- nmap 10.88.215.61 -p 22,3000 -Pn -n --reason
PORT STATE SERVICE REASON 22/tcp open ssh syn-ack 3000/tcp closed ppp reset
- Erläuterung
- Port 22 antwortet mit syn-ack - offen
- Port 3000 antwortet mit reset - geschlossen
- Beide Hosts sind also erreichbar, der Unterschied liegt nur am Dienst
Gefilterte Ports
Der Host 10.88.215.1 verwirft die meisten Ports still - nur 53 und 4444 antworten
- nmap 10.88.215.1 -p 53,80,4444 -Pn -n --reason
PORT STATE SERVICE REASON 53/tcp open domain syn-ack 80/tcp filtered http no-response 4444/tcp open krb524 syn-ack
- Erläuterung
- Port 53 und 4444 antworten mit syn-ack - offen
- Port 80 gibt keine Antwort - no-response - die Firewall verwirft das Paket still
- filtered bedeutet: nmap kann den Zustand nicht bestimmen
UDP und open|filtered
Bei UDP kann ohne Antwort nicht zwischen offen und gefiltert unterschieden werden
- nmap 10.88.215.61 -sU -F -Pn -n
PORT STATE SERVICE 137/udp open netbios-ns 138/udp open|filtered netbios-dgm
- Erläuterung
- Port 137 hat geantwortet - definitiv offen
- Port 138 gab keine Antwort - open|filtered
- Da UDP keine Bestätigung kennt, bleibt der Zustand mehrdeutig
unfiltered mit dem ACK-Scan
Der ACK-Scan zeigt, ob eine Firewall Pakete blockiert - nicht ob der Port offen ist
- nmap 10.88.215.61 -p 22,80,443 -sA -Pn -n
PORT STATE SERVICE 22/tcp unfiltered ssh 80/tcp unfiltered http 443/tcp unfiltered https
- Erläuterung
- unfiltered bedeutet nicht offen oder geschlossen
- Es bestätigt nur, dass keine Firewall die ACK-Pakete blockiert
- Der ACK-Scan dient der Firewall-Analyse, nicht der Dienst-Erkennung