Nmap port scanning: Facile dire aperta e chiusa.

4 Aprile 202215 Gennaio 2024 Giovanni Popolizio Closed filtered Port, Closed Port, Cybersecurity, Filtered Port, hacking, NMAP port scanning, Open filtered Port, Open Port, penetration test, penetration testing, Penetration Testing Scanner, Unfiltered Port, vulnerability

NMAP port scanning.

Port scanning e interpretazione. Numerose domande mi sono arrivate sulla problematica del port scanning e dell’interpretazione dei risultati. A prima vista, si potrebbe pensare che una porta possa avere due stati: aperto e chiuso. Mentre questo è vero dal punto di vista del sistema operativo, Nmap può rilevare altri eventi che influenzano lo stato. Nmap rileva i seguenti sei stati delle porte:

Vediamo le porte come possono essere “viste”.

Stati delle porte Nmap

Open Port Le porte aperte hanno un’applicazione attiva che accetta connessioni TCP o pacchetti UDP.

Closed Port Le porte chiuse sono accessibili, ma non hanno un’applicazione in ascolto.

Filtered Port Le risposte sono bloccate da un fi ltro di pacchetti, quindi Nmap non può determinare se la porta è aperta.

Unfiltered Port Le porte Unfiltered sono accessibili, ma Nmap non è in grado di determinare se sono aperte o chiuse. (Solo scansione ACK)

Open filtered Port Nmap non è in grado di determinare se la porta è aperta o filtrata per i tipi di scansione in cui le porte aperte non rispondono. (UDP, IP Proto, FIN, Null, Xmas scansioni)

Closed filtered Port Nmap non è in grado di determinare se una porta è chiusa o protetta. (Solo scansioni IP ID idle)

Vediamo come

Per impostazione predefinita, Nmap esegue una scansione TCP SYN (-sS) contro l’obiettivo specificato, quando viene eseguito con privilegi di root o di amministratore. La scansione SYN è veloce e fornisce risultati affidabili per porte aperte, chiuse e bloccate. La scansione SYN una volta era considerata un metodo di scansione furtivo, tuttavia, la maggior parte dei sistemi di rilevamento delle intrusioni basati su host e rete possono ora rilevare le scansioni SYN.

Le porte sono considerate aperte se la porta risponde al pacchetto SYN con un pacchetto SYN/ACK e le porte sono chiuse se il sistema risponde con un pacchetto RST. Una porta chiusa indica un errore ICMP unreachable o nessuna risposta è stata ricevuta. Anche se Nmap esegue una scansione SYN per impostazione predefinita, è possibile eseguirla anche con la seguente opzione della riga di comando:

supponiamo il router di casa…

nmap -sS 192.168.1.1

Riproviamo con i parametri -sT

Quello che ci interessa qui è la tabella delle porte, che include il numero di porta e il protocollo, lo stato e il servizio. A meno che tu non stia usando il rilevamento della versione, il servizio che viene visualizzato è solo una supposizione poiché è estratto dal file nmap-services, una lista una lista di servizi ben conosciuti e le porte su cui girano.

Se un utente non ha i privilegi di root o di amministratore, Nmap eseguirà la scansione di connessione TCP (-sT ) per default. Questo perché Nmap usa il sistema operativo sottostante per stabilire una connessione con l’obiettivo invece di usare la sua capacità integrata di creare e inviare pacchetti grezzi.

Questo metodo di scansione tende ad essere meno efficace poiché Nmap ha meno controllo di quando crea pacchetti grezzi. Le scansioni con connessione TCP hanno maggiori probabilità di essere registrate poiché completano una connessione TCP completa. Gli amministratori di sistema dovrebbero monitorare i log per un gran numero di tentativi di connessione a più porte, poiché questa attività può indicare un port scan. Le scansioni di connessione TCP possono anche causare effetti indesiderati, come causare condizioni DoS per sistemi che non chiudono efficacemente le connessioni TCP.

Nel nostro esempio, l’esecuzione di un TCP connect scan contro lo stesso obiettivo rileva ulteriori porte aperte:

nmap -sT 192.168.1.1

Riuscite a vedere delle differenze nell’output rispetto la prima scansione ?

Andiamo di UDP

In questo caso, la scansione della porta UDP potrebbe essere protetta dal fi rewall basato sull’host, o potrebbe non esserci alcuna porta UDP aperta. Eseguiamo la scansione di un altro obiettivo e vediamo i risultati:

nmap -sU 192.168.1.1

La mia preferita per NMAP port scanning

Quando è possibile farla……

Nmap fornisce la possibilità di analizzare i protocolli IP con la scansione del protocollo IP (-sO). Questo non è tecnicamente un port scan, tuttavia, usa lo stesso motore di port scan sottostante motore di scansione delle porte e riporta i suoi risultati nella tabella delle porte. La scansione del protocollo IP permette di vedere quali protocolli IP sono supportati dal sistema di destinazione. La risposta a questa scansione è un ICMP protocol unreachable per protocolli non supportati. Altri ICMP causano che il protocollo sia segnalato come filtered, e nessuna risposta è segnalata come open filtered. Il seguente è un esempio di una scansione del protocollo IP :

nmap -sO 192.168.1.1

NMAP port scanning ? Un mondo……

Usare Nmap : tool potentissimo per il Penetration Testing Scanner.

Come Usare NMAP potrebbe sembrare semplice: Host Discovery.

Usare NMAP : Troviamo porte e servizi attivi sul nostro bersaglio.

NMAP VS Firewall : Si tenta sempre ! Vediamo come.

Nmap port scanning: Facile dire aperta e chiusa.

Sintassi nmap, volume 1 : possibili tipi di scansione.

Sintassi nmap volume 2 : possibili tipi di scansione.

Se ritieni questo articolo interessante, seguimi su Facebook o Twitter o Telegram per poter essere informato su i nuovi contenuti proposti.

Key : Penetration Testing Scanner, Ping UDP, sicurezza informatica, TCP Ping, tcp/ip, Usare Nmap, vulnerability, computer networking, Cybersecurity, cybersicurezza, hacking, Host Discovery, ICMP Address Mask Reques, ICMP ECHO, ICMP Timestamp, Inverse mapping, nmap, penetration test, penetration testing, Penetration Testing Scanner, Ping UDP, sicurezza informatica, TCP Ping, tcp/ip, Usare Nmap, vulnerability