oktober 11, 2020
Articles
Ingen kommentarer

Disabled Network Discovery for port 5357 men det vises fremdeles som åpent i NMap scan

som nevnt i tittelen Jeg har deaktivert Network Discovery for alle de 3 profilene ennå når jeg kjører en NMap-skanning, kommer porten opp for å være åpen. Jeg har også kjørt kommandoen netstat -a -b for å finne tjenestene som kjører på porter, men port 5357 vises ikke i det hele.

Er det noe jeg savner direkte her? Kan du peke meg i riktig retning om hvordan jeg kan forhindre at port 5357 vises som åpen i stedet for å blokkere den direkte.

Kommentarer

  • Det kommer virkelig an på miljøet ditt. Er dette et samarbeidsnettverk eller ditt eget hjemmenettverk?
  • Det ' er et lite bedriftsnettverk. Påvirker det? Hvis ja, kan du forklare hvordan?
  • Bedriftsnettverk kan inneholde filtre som omdirigerer trafikken til visse porter. For eksempel kan en ping til 10.0.0.1:5357 stille besvares av 10.5.5.5:5357. Dermed, selv om ingen applikasjoner på 10.0.0.1 ville lytte til port 5357, vil portskanningen for 10.0.0.1 fremdeles vise port 5357 som åpen, fordi nmap mottok et svar for denne porten.
  • Er det en måte jeg kan se etter disse filtrene på? Kan jeg også vite hvilken vert i virkeligheten svarer på NMap-pingen?
  • Du kan bruke Wireshark for å få et bedre overblikk over hva som går over ledningen.

Svar

Avhengig av nettverkskonfigurasjonen, kan det hende at forespørsler ikke alltid blir besvart av verten forespørselen ble sendt til. For eksempel kan en brannmur, ruter eller bryter være konfigurert til å videresende all trafikk til TCP-port 5357 til 203.0.113.1:5357.

Som et resultat når du utfører en portskanning. for enhver vert i dette nettverket ser TCP-port 5357 ut til å være «åpen» for hver vert, men i virkeligheten blir alle forespørsler besvart av bare en vert.

I ditt scenario kan det veldig bra være port 5357 på en bestemt vert (f.eks. 203.0.113.29) er stengt. nmap vil fremdeles betrakte det som «åpent», fordi en forespørsel om 203.0.113.29:5357 vil motta et svar.

nmap er rett og slett ikke i stand til å fortelle om svaret eller ikke kom fra verten eller ikke.

Hvordan kan jeg sørge for at dette er hva som skjer?

Du kan bruke Wireshark eller lignende verktøy på 203.0.113.29 og se om pakker sendt til denne verten i denne porten faktisk kommer dit. Hvis de ikke gjør det, men nmap fremdeles anser porten som åpen, kommuniserer du ikke med denne verten.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *