Zaklady scanovania portov Aj ked Nmap ziskal rokmi vacsiu funkcionalitu,
zacinal ako efektivny scanovac portov a to aj zostava jeho hlavnou funkciou.
Jednoduchy prikaz nmap
<target> scanuje viac ako 1660 TCP portov cielovej stanice
<target>. Zatial co mnoho scanovacov portov tradicne deli
vsetky porty na otvorene alebo zatvorene, Nmap pouziva granularnejsi pristup.
Deli porty do 6 stavov: otvoreny,
zatvoreny, filtrovany,
nefiltrovany,
otvoreny|filtrovany, alebo
zatvoreny|filtrovany. Tieto stavy nie su pravymi vlastnostami samotneho portu, ale opisuju, ako ich vidi Nmap.
Napriklad ak scan z tej istej siete, v akej sa nachadza cielova stanica moze odhalit port 135/tcp ako otvoreny,
kym scan v rovnakom case a parametrami z internetu mozu odhalit, ze port je filtrovany. Sest stavov portov rozpoznavanych Nmapom - otvoreny
Aplikacia na tomto porte aktivne prijima TCP spojenia alebo UDP pakety.
Zistenie tohoto faktu je casto hlavnym cielom scanovania portov. Ludia s bezpecnostou
v mysli vedia, ze kazdy otvoreny port je pristupom pre utok. Utocnici a testeri preniknutia
chcu vyuzivat otvorene porty, zatial co administratori sa pokusaju
zatvorit ich alebo chranit ich firewallmi bez limitovania opravnenych pouzivatelov.
Otvorene porty su zaujimave aj pre nebezpecnostne scany, pretoze ukazuju sluzby dostupne v sieti.
- zatvoreny
Zatvoreny port je pristupny (prijima a odpoveda na pakety testu vykonavaneho Nmapom),
ale ziadna aplikacia na nom nepocuva. Mozu sa zist pri zistovani ci je hostitelska stanica
aktivna na IP adrese (zistenie hostitelskej stanice alebo ping scan) a ako cast detekcie OS.
Pretoze zatvorene porty su dosiahnutelne, moze byt uzitocne vykonat neskorsi scan a niektore mozu byt
neskor otvorene. Administratori mozu uvazovat o blokovani takychto portov prostrednictvom firewallu.
Tie by sa potom objavili vo filtrovanom stave, ktory je rozobrany nizsie.
- filtrovany
Nmap nedokaze urcite, ci je port otvoreny, pretoze filtrovanie paketov zabranuje testom
dosiahnut tento port.
Filtrovanie moze pochadzat z osobitneho firewalloveho zariadenia, pravidiel routera alebo
hostitelskeho softwaroveho firewallu.
Tieto porty frustruju utocnikov, pretoze poskytuju malo informacii.
Niekedy odpovedia chybovou spravou ICMP ako napriklad typ 3, kod 13
(destination unreachable: communication administratively
prohibited), ale filtre, ktore jednoducho zahodia test bez odpovede su ovela beznejsie.
Tento jav prinuti Nmap zopakovat pokus niekolkokrat kvoli moznemu pripadu, ze test bol zahodeny
kvoli zahlteniu siete. Toto dramaticky spomaluje scan. - nefiltrovany
Nefiltrovany stav znamena, ze port je pristupny, ale
Nmap nedokaze urcite, ci je otvoreny alebo zatvoreny. Len ACK scan, pouzivany na
zmapovanie pravidiel firewallu, klasifikuje porty do tohoto stavu.
Scanovanie nefiltrovanych portov inymi typmi scanu ako napr. Window scan, SYN scan alebo FIN scan, moze pomoct
rozlustit, ci je port otvoreny.
- otvoreny|filtrovany
Nmap charakterizuje porty tymto stavom, ak nedokaze urcit,
ci je port otvoreny alebo filtrovany. K tomu dochadza pri typoch scanov portov, kde
otvorene porty neposkytuju odpoved, co moze tiez znamenat, ze paketovy filter
zahodil test alebo vyvolanu odpoved, takze Nmap nedokaze naisto urcit,
ci je port otvoreny alebo filtrovany. Protokoly UDP,IP a scany FIN, Null a Xmas vykonavaju
takuto klasifikaciu portov. - zatvoreny|filtrovany
Tento stav je pouzity, ked Nmap nedokaze urcit ci je
port zatvoreny alebo filtrovany. Pouziva sa len pri scane typu IPID Idle.
|
|
