如果我使用 nmap 扫描我的服务器,它会显示 21 端口已打开。但是当我登录到该服务器并运行 netstat 时,我什么也看不到。
$ nmap -sT 服务器 于 2009-06-24 11:54 MSD 启动 Nmap 4.76(http://nmap.org) 服务器上感兴趣的端口 (xxxx): 未显示:994 个已过滤端口 港口国服务 21/tcp 开启 ftp 22/tcp 开启 ssh ... Nmap 完成:7.97 秒内扫描了 1 个 IP 地址(1 个主机启动)
$ netstat --listen --tcp --numeric
怎么会这样?这会是一个安全问题吗?
UPD:使用 nmap 连接时,tcpdump 输出
13:13:02.982805 IP 10.19.10.2.51983 > server.ftp:S 767068541:767068541(0)win 5840 13:13:04.096705 IP 10.19.10.2.52000 > server.ftp:S 792080356:792080356(0)win 5840 13:13:04.131169 IP 服务器.ftp > 10.19.10.2.52000:S 3312178661:3312178661(0)ack 792080357 win 32768 13:13:04.131346 IP 10.19.10.2.52000 > server.ftp:.ack 1 win 46 13:13:04.131737 IP 10.19.10.2.52000 > server.ftp:R 1:1(0)确认 1 获胜 46
答案1
您与有问题的服务器是否在同一个网段?通过路由器进行端口扫描可能会产生错误的结果。
答案2
正如前面提到的,我在这里发帖是为了重申;如果您在 NAT 路由器后面进行 nmap,这种情况很常见。您是否在家用 ADSL 或电缆调制解调器后面运行 NMAP。我使用 Apple TimeCapsule 时总是看到这种情况。第一次看到它时,您可能会大吃一惊 :)
安德鲁
答案3
从 tcpdump 可以清楚看到有人正在响应您的请求。
你能试一下吗:
- 直接通过 FTP 连接到盒子?看看会发生什么?
- 如果中间有一个 NAT,它可能会重定向到另一个框。
- 你能在目标机器上运行 tcpdump 吗?看看是否有数据包通过。
另外,尝试 nc -l tcp 21 看看您是否可以监听端口 21。如果不能监听,并且 netstat 上没有显示任何内容,则您可能已受到威胁。尝试 rootcheck 看看它是否能找到某些东西(因为 chkrootkit 没有找到任何东西:http://www.ossec.net/rootcheck)。
答案4
奇怪的是,尝试在使用 nmap 连接时运行 tcpdump,这应该显示流量是否真正到达机器。