奇怪的 Nmap 扫描结果

网络工程 路由器 安全
2021-07-16 07:06:12

有时我会收到一些奇怪或不一致的端口扫描结果。考虑从我的命令外壳复制的以下两个摘录:

user@host:~$ nmap 10.1.1.0/24

Starting Nmap 6.47 ( http://nmap.org ) at 2015-10-15 13:47 AWST
Nmap scan report for (10.1.1.1)
Host is up (0.0073s latency).
Not shown: 979 closed ports
PORT      STATE    SERVICE
21/tcp    open     ftp
22/tcp    open     ssh
23/tcp    open     telnet
80/tcp    open     http
139/tcp   open     netbios-ssn
445/tcp   open     microsoft-ds
500/tcp   filtered isakmp
720/tcp   filtered unknown
1097/tcp  filtered sunclustermgr
1218/tcp  filtered aeroflight-ads
2191/tcp  filtered tvbus
3000/tcp  filtered ppp
3013/tcp  filtered gilatskysurfer
3283/tcp  filtered netassistant
5001/tcp  filtered commplex-link
5431/tcp  open     park-agent
7741/tcp  filtered scriptview
8000/tcp  open     http-alt
8008/tcp  filtered http
49176/tcp filtered unknown
55555/tcp filtered unknown

第一次扫描开始后不到十分钟:

user@host:~$ nmap 10.1.1.0/24

Starting Nmap 6.47 ( http://nmap.org ) at 2015-10-15 13:56 AWST
Nmap scan report for (10.1.1.1)
Host is up (0.0081s latency).
Not shown: 992 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
23/tcp   open  telnet
80/tcp   open  http
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
5431/tcp open  park-agent
8000/tcp open  http-alt

我在两次扫描之间没有做任何事情,也不明白什么会导致结果不同。大多数这些额外服务我都不知道,所以我只能推测这些结果是错误显示的;提出更多问题。这是经常发生的事情。造成这种情况的原因可能是什么?

提前致谢。

2个回答

两次扫描之间的主要区别在于第二次扫描中没有过滤端口。

在 nmap 术语中过滤意味着类似于“我不确定”,因此第二次扫描可能会更准确一些,因为 nmap 声称相关端口已关闭。

结果不同的可能原因有:

  • 计时 - 您可能会尝试减慢 nmap(计时 --scan-delay=2s 或 -T3),看看这是否会使结果更稳定
  • 具有速率限制的防火墙 - 路径中可能有防火墙/packtefilter 会在某些数据包之后更改阻止行为(DROP 而不是发送 icmp-port-unreachables 或 tcp-fin),以便端口扫描的结果不同

但是不要在该主题上花费太多时间,除非您想对此进行自我教育。对于日常使用,您可以假设过滤端口已关闭,并将两个结果视为相等。

您建立的任何 TCP/IP 连接都使用两个端口。您使用“众所周知的”端口号来启动与服务器的连接,并使用一个相当随机选择的端口作为返回路径。任何端口都可以合法地偶尔用于此目的。您可以使用 -p 参数运行 netstat 以发现正在侦听给定端口的程序。命令:netstat -p -a | 格雷普 55555

其中 55555 是有问题的端口。这将使您了解端口是否被正确使用或被木马等使用。

其它你可能感兴趣的问题
上一篇第 3 层上的 VLAN 间路由通过中继链路通过路由端口进行交换 下一篇本地切换时间对网络性能的影响