我正在使用 nmap 扫描我朋友的其中一个服务器并获取了这些端口详细信息。
PORT STATE SERVICE
22/tcp open ssh
42/tcp filtered nameserver
80/tcp open http
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
161/tcp filtered snmp
179/tcp filtered bgp
443/tcp open https
1028/tcp filtered unknown
1080/tcp filtered socks
3128/tcp filtered squid-http
6666/tcp filtered irc
6667/tcp filtered irc
6668/tcp filtered irc
7402/tcp open unknown
10082/tcp open amandaidx
当我使用 SSh 登录到机器并使用 nmap 再次扫描时,我得到了以下结果
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
631/tcp open ipp
7402/tcp open rtps-dd-mt
10082/tcp open amandaidx
问题是为什么它在第一次扫描时显示 IRC 端口和 Squid 端口?我们没有在其中安装任何东西。它是一个专用盒子,而不是在 VM 上运行。它有可能被入侵了吗?它上面也没有任何 IPtables。
答案1
差异是由于每个服务监听的接口以及您的 Internet 服务提供商 (ISP) 所做的过滤。当扫描主机和目标之间没有防火墙时,关闭的 TCP 端口会以 RST 数据包响应,并且可以合理地假设它确实已关闭。配置为阻止端口的防火墙将默默丢弃发往该端口的所有数据包,因此扫描主机看不到任何响应。Nmap 将此状态指示为filtered
,因为无法判断端口实际上是打开还是关闭。
第一次扫描中未显示的 2 个服务(25/tcp 和 631/tcp)很可能只在环回接口上监听。您可以通过运行netstat -tln
并查看“本地地址”列来检查这一点。如果本地地址为0.0.0.0:631
,则它正在监听所有可用接口。如果为127.0.0.1:631
,则它只在环回接口上监听,并且未向网络开放。
答案2
这些端口很可能被您朋友的互联网服务提供商过滤了。