信息安全 - nmap 扫描显示端口被过滤，但 nessus 扫描显示没有结果 - 吾爱随笔录

nmap 扫描显示端口被过滤，但 nessus 扫描显示没有结果

信息安全漏洞扫描器网络扫描仪

2021-08-29 22:09:55

我正在对我们远程站点上的一系列 IP 执行端口扫描。我尝试在该 IP 范围上运行 nmap 扫描，并且某些 IP 结果显示为已过滤

当我对盒子执行 nessus 扫描时，某些 IP 根本没有结果。

因此，假设某些远程服务器上没有开放端口是否安全？

2个回答

除非您已将 nmap 配置为不执行主机发现（-PN或-PN --send-ip在 LAN 上），否则如果它指示所有端口都已过滤，则主机已启动，但该主机上的防火墙正在丢弃所有扫描端口的流量。

请注意，默认的 nmap 扫描不会探测所有端口。它只扫描 1000 个 TCP 端口。如果要检查任何服务，则需要检查所有 65535 个 TCP 端口和所有 65535 个 UDP 端口。

另外，准确地说，但是当端口扫描显示端口被过滤时，这并不意味着该端口上没有运行任何服务。主机的防火墙可能具有拒绝访问您正在运行扫描的 IP 的规则，但可能还有其他 IP 允许访问该服务。

如果端口扫描报告某个端口已关闭，则更确定的是该端口上没有侦听服务。

我无法评论 nessus 缺乏结果，我已经有一段时间没有使用它了。

关闭与过滤与主机关闭的示例

例如，在我的网络上，此主机已启动，没有运行任何服务，也没有防火墙，请注意端口报告为关闭（这意味着主机响应了该端口上的探测）：

% sudo nmap -T4 -n 192.168.1.24

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 7.70 seconds

此主机已启动，在端口 100-1000 上没有运行任何服务，并且有防火墙。请注意，端口被报告为已过滤（这意味着主机丢弃了对这些端口的探测）：

% sudo nmap -T4 -n -p 100-1000 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 20.03 seconds

只是为了说明，我在防火墙上为最后一个主机的 443 端口打了一个临时洞，然后重新运行扫描。（那里的 443 上没有运行任何东西。）注意 998 端口是如何报告为过滤的，但端口 443 报告为关闭；防火墙允许 443 通过，操作系统以 RST 响应。

% sudo nmap -T4 -n 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 5.67 seconds

此地址没有主机（主机关闭）：

% sudo nmap -T4 -n 192.168.1.199

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds

如果我重新扫描-PN --send-ip（需要后者，因为我正在扫描 LAN，并且我不想使用 ARP 探测），我看到：

% sudo nmap -T4 -n -PN --send-ip 192.168.1.199 

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered

Nmap done: 1 IP address (1 host up) scanned in 101.44 seconds

nmap 结果“已过滤”意味着（如果您知道有具有该 IP 地址的主机）对该端口的访问已被防火墙或类似设备阻止，从而丢弃了流量。这与“关闭”结果相反，“关闭”结果表明该 IP 上有一个主机，但没有响应 nmaps 探测的活动服务。

如果主机上的所有端口都作为过滤后返回，则要么那里什么都没有，要么配置了防火墙以丢弃所有指向它的流量。

其它你可能感兴趣的问题

上一篇如何保护我的 U 盘免受病毒侵害下一篇开放端口的安全问题是什么？