我正在使用nmap扫描我的一个朋友服务器,并获得了这些端口的详细信息。
PORT STATE SERVICE 22/tcp open ssh 42/tcp filtered nameserver 80/tcp open http 111/tcp open rpcbind 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 161/tcp filtered snmp 179/tcp filtered bgp 443/tcp open https 1028/tcp filtered unknown 1080/tcp filtered socks 3128/tcp filtered squid-http 6666/tcp filtered irc 6667/tcp filtered irc 6668/tcp filtered irc 7402/tcp open unknown 10082/tcp open amandaidx 而当我使用SSHlogin到机器并使用nmap再次扫描时,我得到了以下结果
PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 111/tcp open rpcbind 443/tcp open https 631/tcp open ipp 7402/tcp open rtps-dd-mt 10082/tcp open amandaidx
为什么问题是为什么在第一次扫描时显示IRC端口和Squid端口? 我们没有安装任何东西。 它是一个专用的盒子,不在虚拟机上运行。 有没有可能已经妥协? 它也没有任何IPtables。
这些差异是由于每个服务正在侦听的接口以及您的Internet服务提供商(ISP)所进行的筛选。 当扫描主机和目标之间没有防火墙时,封闭的TCP端口用RST数据包进行响应,可以合理地认为是真正closures的。 已configuration为阻止端口的防火墙将静默地将所有数据包丢弃到该端口,因此扫描主机看不到任何响应。 Nmap将此状态指示为filtered ,因为无法确定端口是否实际打开或closures。
在第一次扫描(25 / tcp和631 / tcp)中没有出现的2个服务最有可能仅在回送接口上进行监听。 您可以通过运行netstat -tln并查看“本地地址”列来检查。 如果本地地址是0.0.0.0:631 ,那么它正在监听所有可用的接口。 如果是127.0.0.1:631 ,则它只在回环接口上侦听,并且不对networking开放。
这些端口最有可能被您的朋友的Internet服务提供商过滤。