使用 nmap 进行奇怪的端口扫描结果

使用 nmap 进行奇怪的端口扫描结果

我正在使用 nmap 扫描我朋友的其中一个服务器并获取了这些端口详细信息。

PORT      STATE    SERVICE
22/tcp    open     ssh
42/tcp    filtered nameserver
80/tcp    open     http
111/tcp   open     rpcbind
135/tcp   filtered msrpc
139/tcp   filtered netbios-ssn
161/tcp   filtered snmp
179/tcp   filtered bgp
443/tcp   open     https
1028/tcp  filtered unknown
1080/tcp  filtered socks 
3128/tcp  filtered squid-http
6666/tcp  filtered irc
6667/tcp  filtered irc
6668/tcp  filtered irc
7402/tcp  open     unknown
10082/tcp open     amandaidx

当我使用 SSh 登录到机器并使用 nmap 再次扫描时,我得到了以下结果

PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
111/tcp   open  rpcbind
443/tcp   open  https
631/tcp   open  ipp
7402/tcp  open  rtps-dd-mt
10082/tcp open  amandaidx

问题是为什么它在第一次扫描时显示 IRC 端口和 Squid 端口?我们没有在其中安装任何东西。它是一个专用盒子,而不是在 VM 上运行。它有可能被入侵了吗?它上面也没有任何 IPtables。

答案1

差异是由于每个服务监听的接口以及您的 Internet 服务提供商 (ISP) 所做的过滤。当扫描主机和目标之间没有防火墙时,关闭的 TCP 端口会以 RST 数据包响应,并且可以合理地假设它确实已关闭。配置为阻止端口的防火墙将默默丢弃发往该端口的所有数据包,因此扫描主机看不到任何响应。Nmap 将此状态指示为filtered,因为无法判断端口实际上是打开还是关闭。

第一次扫描中未显示的 2 个服务(25/tcp 和 631/tcp)很可能只在环回接口上监听。您可以通过运行netstat -tln并查看“本地地址”列来检查这一点。如果本地地址为0.0.0.0:631,则它正在监听所有可用接口。如果为127.0.0.1:631,则它只在环回接口上监听,并且未向网络开放。

答案2

这些端口很可能被您朋友的互联网服务提供商过滤了。

相关内容