Mengapa beberapa port dilaporkan oleh nmap difilter dan bukan yang lain?

Saya memindai server yang harus memiliki sederhana cukup firewall menggunakan iptables : secara default segala dijatuhkan selain RELATEDdan ESTABLISHEDpaket. Satu-satunya jenis NEWpaket yang diperbolehkan adalah paket TCP pada port 22 dan 80 dan hanya itu (tidak ada HTTPS di server itu).

Hasil nmap pada 2048 port pertama memberi 22 dan 80 sebagai terbuka, seperti yang saya harapkan. Namun beberapa port muncul sebagai "difilter".

Pertanyaan saya adalah: mengapa port 21, 25 dan 1863 muncul sebagai "difilter" dan 2043 port lainnya tidak muncul sebagai yang difilter?

Saya berharap melihat hanya 22 dan 80 sebagai "terbuka".

Jika normal untuk melihat 21,25 dan 1863 sebagai "difilter", maka mengapa tidak semua port lain muncul sebagai "difilter" juga !?

Inilah output nmap :

# nmap -PN 94.xx.yy.zz -p1-2048

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
1863/tcp filtered msnp

Saya benar-benar tidak mengerti mengapa saya memiliki 2043 port yang ditutup:

Not shown: 2043 closed ports

dan bukan 2046 port yang ditutup.

Ini adalah lsof yang diluncurkan di server:

# lsof -i -n
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
named    3789 bind   20u  IPv4     7802       TCP 127.0.0.1:domain (LISTEN)
named    3789 bind   21u  IPv4     7803       TCP 127.0.0.1:953 (LISTEN)
named    3789 bind  512u  IPv4     7801       UDP 127.0.0.1:domain 
sshd     3804 root    3u  IPv4     7830       TCP *:ssh (LISTEN)
sshd     5408 root    3r  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd     5411    b    3u  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java    16589    t   42u  IPv4 88842753       TCP *:http-alt (LISTEN)
java    16589    t   50u  IPv4 88842759       TCP *:8009 (LISTEN)
java    16589    t   51u  IPv4 88842762       TCP 127.0.0.1:8005 (LISTEN)

(perhatikan bahwa Java / Tomcat mendengarkan pada port 8009 tetapi port tersebut DIHENTIKAN oleh firewall)

Pernyataan 'port yang difilter' dari nmap berbeda menurut metode pemindaian Anda.

Pemindaian standar (Pemindaian TCP jika pengguna tidak berkepentingan, atau Pemindaian Setengah Terbuka -sS jika superuser) mengandalkan protokol TCP. (bernama hanshake 3 arah)

• Klien (Anda) mengeluarkan SYN, jika server membalas SYN / ACK: itu berarti port terbuka !

• Anda mengeluarkan SYN, jika server membalas RST: itu berarti portnya dekat !

• Anda mengeluarkan SYN, jika server tidak membalas, atau membalas dengan kesalahan ICMP: itu berarti bahwa port tersebut difilter . Kemungkinan firewall IDS / statefull memblokir permintaan Anda)

Untuk mengetahui status port sebenarnya, Anda dapat:

• gunakan opsi -sV , atau -A (deteksi versi, ini akan membantu Anda menentukan apa status port ini.
• gunakan --tcp-flags SYN, FIN untuk mencoba melewati fw.
• gunakan jenis pemindaian lain ( http://nmap.org/book/man-port-scanning-techniques.html )

Buku " Nmap Network Discovery " yang sangat bagus, yang ditulis oleh penciptanya Fyodor menjelaskan hal ini dengan sangat baik. Saya mengutip

difilter: Nmap tidak dapat menentukan apakah port terbuka karena packet filtering mencegah probe-nya mencapai port. Pemfilteran bisa dari perangkat firewall khusus, aturan router, atau perangkat lunak firewall berbasis host. Port-port ini membuat penyerang frustrasi karena mereka memberikan informasi yang sangat sedikit. Kadang-kadang mereka merespons dengan pesan kesalahan ICMP seperti tipe 3 kode 13 (tujuan tidak terjangkau: komunikasi secara administratif dilarang), tetapi filter yang hanya membuang probe tanpa merespons jauh lebih umum. Ini memaksa Nmap untuk mencoba beberapa kali untuk berjaga-jaga seandainya probe dijatuhkan karena kemacetan jaringan daripada penyaringan. Pemfilteran seperti ini memperlambat pemindaian secara dramatis.

open | filtered: Nmap menempatkan port dalam keadaan ini ketika tidak dapat menentukan apakah port terbuka atau difilter. Ini terjadi untuk jenis pemindaian di mana port terbuka tidak memberikan respons. Kurangnya respons juga bisa berarti bahwa filter paket menjatuhkan probe atau respons apa pun yang ditimbulkannya. Jadi Nmap tidak tahu pasti apakah port terbuka atau sedang difilter. Pemindaian UDP, protokol IP, FIN, NULL, dan Xmas mengklasifikasikan port dengan cara ini.

closed | filtered: Keadaan ini digunakan ketika Nmap tidak dapat menentukan apakah port ditutup atau difilter. Ini hanya digunakan untuk pemindaian Idle IP ID yang dibahas dalam Bagian 5.10, "TCP Idle Scan (-sl)

mengapa port 21, 25 dan 1863 muncul sebagai "difilter" dan 2043 port lainnya tidak muncul sebagai yang difilter?

Karena di ISP, router, administrator jaringan Anda, apa pun di antara mereka, atau diri Anda memfilternya. Port-port ini memiliki sejarah yang sangat buruk, tahun 1863 adalah port yang digunakan oleh protokol pesan instan Microsoft (alias MSN dan teman-teman) yang saya yakin Anda mungkin (atau mungkin tidak) telah menetapkan aturan tertentu. Yang SMTP sepertinya ISP Anda adalah pelakunya dan FTP membuat saya benar-benar terperangah, karena saya tidak tahu apa yang bisa terjadi pada mereka.

Secara default, Nmap hanya memindai 1.000 port yang paling umum untuk setiap protokol (tcp, udp). Jika port Anda di luar itu maka tidak akan memindai dan karenanya tidak akan melaporkannya. Namun, Anda dapat menentukan port yang ingin Anda pindai dengan opsi -p.