Як nmap відрізняє закриті порти від відфільтрованих портів

Припустимо, ми робимо сканування підключення TCP.

сканування nmap у google повертає такий вихід:

ПОСТАНОВА ДЕРЖАВНА СЛУЖБА

80 / tcp відкрити http

443 / tcp відкрити https

Однак, якщо я спробую відкрити сокет з netcat або telnet на google.com на порту 12, наприклад, netcat або telnet висить на невизначений термін.

Nmap визначає порт 12 (та інші порти, відмінні від 80 або 443) як закриті, але ініціювання TCP-з'єднання з ними не миттєво закривається.

Як nmap знати, що порти не фільтруються, а закриваються?

За допомогою сканування nmap зазвичай отримують 3 стани:

• Відкрити - віддалений комп'ютер відповів SYN / ACK на ваш SYN
• Закрито - віддалений комп'ютер відхилив вашу спробу з'єднання з пакетом RST
• Відфільтровано - нічого не повернулося, час вичерпався

Відкрити сітку до порту 80 і чекати нічого не призведе. Порт 80 (як правило) означає, що http-сервер прослуховує з іншого боку, і він чекає команди HTTP (до власного тайм-ауту). Після виведення мережі на порт 80, спробуйте встановити a, GET /щоб побачити, чи отримаєте ви відповідь (можливо, помилка http).

Закритий порт - це порт, який не слухає жодного програмного забезпечення, тому спроба встановити з'єднання з цим портом у цій системі призведе до того, що система відправить назад пакет TCP RST.

З іншого боку, відфільтрований порт, як правило, це порт, який блокується брандмауером в мережевому шляху, тому спроба встановити з'єднання з цим портом у цій системі не призведе до того, що взагалі нічого не повернеться ... навіть TCP RST ... тому спроба підключення буде сидіти там, поки TCP не вичерпає спробу з'єднання.