Bazele scanarii de porturiCu toate ca functiile Nmap au crescut ca numar in timp, el a
inceput ca un scaner de porturi eficient si acesasta ramane fuctia lui de
baza. Simpla comanda
nmap
<tinta>scaneaza mai mult de 1660 de
porturi TCP ale
<tintei>. In timp ce multe scanere de porturi
traditionale catalogheaza porturile in deschise si inchise, Nmap este
mult mai avansat. El imparte porturile in sase stari:
open (deschis),
closed (inchis),
filtered (filtrat),
unfiltered (nefiltrat),
open|filtered (deschis|filtrat), or
closed|filtered
(inchis|filtrat). Aceste stari nu sunt proprietati intrinsece ale porturilor, dar
descriu modul in care sunt vazute de Nmap. De exemplu, o scanare Nmap din
aceeasi retea ca si tinta poate arata portul tcp 135 ca deschis, in timp
ce o scanare realizata simultan din Internet cu aceleasi optiuni poate
arata portul ca
filtered (filtrat). Cele sase stari ale porturilor recunoscute de Nmap - open (deschis)
O aplicatie accepta in mod activ conexiuni TCP sau pachete
UDP la respectivul port. Gasirea acestora este adesea scopul
principal al scanarii de porturi. Oamenii preocupati de securitate
stiu ca fiecare port deschis reprezinta o cale de acces pentru un
atac. Atacatorii si pen-testerii doresc exploatarea porturilor
deschise, in timp ce administratorii incearca sa le inchida sau sa
le protejeze prin firewalluri fara a incurca planurile
utilizatorilor legitimi. Porturile deschise sunt interesante si
pentru scanarile ce nu urmaresc stabilirea securitatii deoarece ele
arata serviciile disponibile pentru retea de la respectivul
host. - closed (inchis)
Un port inchis este accesibil (primeste si raspunde la un
pachet de proba trimis de Nmap), dar nu exista nici o aplicatie
care sa asculte la el. Pot fi folositoare in dezvaluirea starii
hostului sau ca parte a detectiei sistemului de operare. Deoarece
cu porturile inchise se pote comunica, ele merita scanate si mai
tarziu in caz ca vreunul dintre ele se deschide. Administratorii
pot lua in considerare blocarea unor astfel de porturi cu ajutorul
unui firewall. Astfel ele vor aparea avand starea filtrat,
discutata mai departe - filtered (filtrat)
Nmap nu poate determina daca portul este deschis datorita
unui filtru de pachete care impiedica pachetele sa ajunga la portul
destinatie. Filtrarea poate proveni de la un firewall dedicat, din
regulile unui router sau dintr-un firewall software al tintei.
Aceste porturi frustreaza atacatorii deoarece furnizeaza foarte
putine informatii. Uneori raspund cu un mesaj de eroare ICMP cum ar
fi tipul 3 codul 13 (destinatie care nu a putu fi atinsa:
comunicatia interzisa administrativ), dar filtrele care executa
operatia drop (ignora pachetul) fara sa raspunda sunt mult mai
comune. Acest lucru forteaza Nmap sa retrimita de cateva ori
probele pentru cazul in care pachetul s-a pierdut din cauza
congestionarii retelei si nu din cauza filtrarii. Acest lucru
incetineste viteza de scanare dramatic. - unfiltered (nefiltrat)
Starea nefiltrata inseamna ca portul este accesibil, dar Nmap
nu poate determina daca portul este inchis sau deschis. Numai
scanarea ACK, folosita pentru maparea regulilor din firewall,
clasifica portul in aceasta stare. Scanarea porturilor nefiltrate
cu alte tipuri de optiuni cum ar fi scanarea Window(fereastra),
scanarea SYN sau scanarea FIN poate stabili daca portul este
deschis. - open|filtered (deschis|filtrat)
Nmap plaseaza porturi in aceasta categorie cand nu poate
determina daca portul este deschis sau filtrat. Acestea apar pentru
tipurile de scanari in care porturile deschise nu ofera nici un
raspuns. Lipsa raspunsului poate sa mai insemne si ca un filtru de
pachete a ignorat pachetul de proba sau orice raspuns aferent.
Asadar Nmap nu poate stii sigur daca portul este deschis sau
filtrat. Scanarile UDP, IP, FIN, Null sau Xmas clasifica porturile
in aceasta stare. - closed|filtered (inchis|filtrat)
Aceasta stare este folosita cand Nmap este in imposibilitatea
de a determina daca portul este inchis sau filtrat. Este folosit
doar de scanarea IPID Idle.
|
|
