Вопрос или проблема
Мы используем версию NMAP 7.92.
Когда мы выполняем: nmap -sT XX.XX.XX
Он возвращает:
Nmap scan report for XX.XX.XX.XX Host is up (0.31s latency).
Все 1000 проверенных портов на XX.XX.XX.XX находятся в игнорируемых состояниях.
Не показано: 1000 отфильтрованных TCP портов (нет ответа)Nmap завершён: 1 IP адрес (1 активный хост) проверен за 318.39 секунд
Что означает “находятся в игнорируемых состояниях”? Означает ли это “закрытые”, как в старой версии? Мы немного растеряны по этому поводу.
Согласно книге с сайта NMAP.org:
Поле Ignored State
Пример: Ignored State: filtered (1658)
Чтобы сэкономить место, Nmap может пропустить порты в одном неоткрытом состоянии из списка
в поле Ports. Nmap делает это и в интерактивном выводе тоже. Регулярные
пользователи Nmap знакомы с такими строками, как “не показано: 993 закрытых
портов”. Для режима grepable это состояние указывается в поле Ignored State.
После названия состояния следует пробел, а затем в скобках указывается
количество портов, обнаруженных в этом состоянии.
Закрытые порты не предоставляют информацию, так что это должно ускорить процесс
нахождения полезных данных. Таким образом, никакой сервис не отвечает на запросы
от Nmap. Попробуйте использовать различные техники сканирования портов и
посмотрите, получите ли вы какую-либо полезную информацию (-sS -sU -sY -sN -sF -sX ….)
https://nmap.org/book/man-port-scanning-techniques.html
Дайте нам знать, если это помогло ответить на ваш вопрос.
.
Ответ или решение
Когда вы используете Nmap с версией 7.92 и получаете сообщение "All 1000 scanned ports on XX.XX.XX.XX are in ignored states", это может показать, что все 1000 сканируемых портов находятся в состоянии "игнорируется". Давайте разъясним, что это значит и как вы должны интерпретировать эту информацию в контексте вашей задачи.
Понимание термина "Ignored State"
-
Что такое "Ignored State"?
В Nmap "игнорируемое состояние" означает, что некоторые порты не показываются в выводе, так как они находятся в одном и том же закрытом или отфильтрованном состоянии. В вашем случае, когда вы видите "Not shown: 1000 filtered tcp ports (no-response)", это означает, что Nmap обнаружил, что все сканируемые порты отфильтрованы и никаких ответов от них не поступило. -
Отличия от состояния "Closed":
В старых версиях Nmap для подобных портов часто использовался термин "закрыто" (closed). Однако "отфильтрованное" (filtered) в данном контексте может означать, что пакеты либо блокируются фаерволом, либо они просто не проходят до целевого хоста по какой-то иной причине. Таким образом, отфильтрованные порты не пересылают сообщений обратно Nmap, в то время как закрытые порты отвечают о завершении соединения (TCP RST).
Возможные действия и рекомендации
-
Изменение методов сканирования: Поскольку ваши пакеты могут быть отфильтрованы, попробуйте различные методики сканирования с командой Nmap. Например, используйте
-sSдля полуоткрытого (SYN) сканирования или-sUдля сканирования UDP-портов. Это может выявить другие доступные элементы службы. -
Рассмотрите возможности обойти фаервол: Если вы подозреваете, что фаервол блокирует ваши сканы, можете попробовать техники для обхода (например,
-Pnдля отключения обнаружения хоста или использование других типов пакетов). -
Углубленное изучение методов обхода: В случае сложных сетевых политик следует рассмотреть специфичные методики, как описано в документации Nmap по адресам Nmap Techniques.
Вывод
Заявление "All 1000 scanned ports are in ignored states…" предоставляет вам полезную информацию о том, как сеть защищает себя. Это сигнал к тому, чтобы пересмотреть настройки сканирования и выбрать более подходящие методы изучения сети, учитывая наличие фаерволов и других средств защиты. Experiments со способами сканирования могут помочь найти открытые порты или скрытые службы.