Zaklady scanovania portov
Aj ked Nmap ziskal rokmi vacsiu funkcionalitu,
zacinal ako efektivny scanovac portov a to aj zostava jeho hlavnou funkciou.
Jednoduchy prikaz nmap
<target> scanuje viac ako 1660 TCP portov cielovej stanice
<target>. Zatial co mnoho scanovacov portov tradicne deli
vsetky porty na otvorene alebo zatvorene, Nmap pouziva granularnejsi pristup.
Deli porty do 6 stavov: otvoreny,
zatvoreny, filtrovany,
nefiltrovany,
otvoreny|filtrovany, alebo
zatvoreny|filtrovany.
Tieto stavy nie su pravymi vlastnostami samotneho portu, ale opisuju, ako ich vidi Nmap.
Napriklad ak scan z tej istej siete, v akej sa nachadza cielova stanica moze odhalit port 135/tcp ako otvoreny,
kym scan v rovnakom case a parametrami z internetu mozu odhalit, ze port je filtrovany.
- otvoreny
Aplikacia na tomto porte aktivne prijima TCP spojenia alebo UDP pakety. Zistenie tohoto faktu je casto hlavnym cielom scanovania portov. Ludia s bezpecnostou v mysli vedia, ze kazdy otvoreny port je pristupom pre utok. Utocnici a testeri preniknutia chcu vyuzivat otvorene porty, zatial co administratori sa pokusaju zatvorit ich alebo chranit ich firewallmi bez limitovania opravnenych pouzivatelov. Otvorene porty su zaujimave aj pre nebezpecnostne scany, pretoze ukazuju sluzby dostupne v sieti.
- zatvoreny
Zatvoreny port je pristupny (prijima a odpoveda na pakety testu vykonavaneho Nmapom), ale ziadna aplikacia na nom nepocuva. Mozu sa zist pri zistovani ci je hostitelska stanica aktivna na IP adrese (zistenie hostitelskej stanice alebo ping scan) a ako cast detekcie OS. Pretoze zatvorene porty su dosiahnutelne, moze byt uzitocne vykonat neskorsi scan a niektore mozu byt neskor otvorene. Administratori mozu uvazovat o blokovani takychto portov prostrednictvom firewallu. Tie by sa potom objavili vo filtrovanom stave, ktory je rozobrany nizsie.
- filtrovany
Nmap nedokaze urcite, ci je port otvoreny, pretoze filtrovanie paketov zabranuje testom dosiahnut tento port. Filtrovanie moze pochadzat z osobitneho firewalloveho zariadenia, pravidiel routera alebo hostitelskeho softwaroveho firewallu. Tieto porty frustruju utocnikov, pretoze poskytuju malo informacii. Niekedy odpovedia chybovou spravou ICMP ako napriklad typ 3, kod 13 (destination unreachable: communication administratively prohibited), ale filtre, ktore jednoducho zahodia test bez odpovede su ovela beznejsie. Tento jav prinuti Nmap zopakovat pokus niekolkokrat kvoli moznemu pripadu, ze test bol zahodeny kvoli zahlteniu siete. Toto dramaticky spomaluje scan.
- nefiltrovany
Nefiltrovany stav znamena, ze port je pristupny, ale Nmap nedokaze urcite, ci je otvoreny alebo zatvoreny. Len ACK scan, pouzivany na zmapovanie pravidiel firewallu, klasifikuje porty do tohoto stavu. Scanovanie nefiltrovanych portov inymi typmi scanu ako napr. Window scan, SYN scan alebo FIN scan, moze pomoct rozlustit, ci je port otvoreny.
- otvoreny|filtrovany
Nmap charakterizuje porty tymto stavom, ak nedokaze urcit, ci je port otvoreny alebo filtrovany. K tomu dochadza pri typoch scanov portov, kde otvorene porty neposkytuju odpoved, co moze tiez znamenat, ze paketovy filter zahodil test alebo vyvolanu odpoved, takze Nmap nedokaze naisto urcit, ci je port otvoreny alebo filtrovany. Protokoly UDP,IP a scany FIN, Null a Xmas vykonavaju takuto klasifikaciu portov.
- zatvoreny|filtrovany
Tento stav je pouzity, ked Nmap nedokaze urcit ci je port zatvoreny alebo filtrovany. Pouziva sa len pri scane typu IPID Idle.