oktober 11, 2020
Articles
Geen reacties

Netwerkdetectie uitgeschakeld voor poort 5357, maar het wordt nog steeds weergegeven als open in NMap-scan

zoals vermeld in de titel Ik heb netwerkdetectie uitgeschakeld voor alle 3 de profielen maar als ik een NMap-scan draai, komt de poort open. Ik heb ook het commando netstat -a -b uitgevoerd om de services te vinden die op poorten worden uitgevoerd, maar poort 5357 wordt niet overal weergegeven.

Is er iets dat ik hier regelrecht mis? Kun je me alsjeblieft in de goede richting wijzen hoe ik kan voorkomen dat poort 5357 wordt weergegeven als open in plaats van het volledig te blokkeren.

Opmerkingen

  • Dat hangt echt af van uw omgeving. Is dit een samenwerkend netwerk of uw eigen thuisnetwerk?
  • Het ' is een klein bedrijfsnetwerk. Heeft dat invloed? Zo ja, kunt u uitleggen hoe?
  • Bedrijfsnetwerken kunnen filters bevatten die het verkeer van bepaalde poorten omleiden. Een ping naar 10.0.0.1:5357 kan bijvoorbeeld in stilte worden beantwoord door 10.5.5.5:5357. Dus zelfs als geen enkele toepassing op 10.0.0.1 naar poort 5357 zou luisteren, zou de poortscan voor 10.0.0.1 poort 5357 nog steeds als open weergeven, omdat nmap heeft een antwoord ontvangen voor deze poort.
  • Is er een manier om deze filters te controleren? Kan ik ook weten welke host in werkelijkheid antwoordt op de NMap-ping?
  • U kunt Wireshark gebruiken om een beter beeld te krijgen van wat er over de draad gaat.

Antwoord

Afhankelijk van uw netwerkconfiguratie, worden verzoeken niet altijd beantwoord door de host waarnaar het verzoek is verzonden. Een firewall, router of switch kan bijvoorbeeld worden geconfigureerd om al het verkeer naar TCP-poort 5357 door te sturen naar 203.0.113.1:5357.

Als resultaat, wanneer een poortscan wordt uitgevoerd voor elke host in dit netwerk lijkt TCP-poort 5357 “open” te zijn voor elke host, maar in werkelijkheid wordt elk verzoek slechts door één host beantwoord.

In uw scenario kan het heel goed zijn dat poort 5357 op één specifieke host (bijv. 203.0.113.29) is gesloten. nmap zou het nog steeds als “open” beschouwen, omdat een verzoek om 203.0.113.29:5357 een antwoord zou ontvangen.

nmap kan eenvoudigweg niet zeggen of het antwoord al dan niet kwam van de host of niet.

Hoe kan ik ervoor zorgen dat dit is wat er gebeurt?

U kunt Wireshark of soortgelijke tools gebruiken op 203.0.113.29 en kijk of pakketten die naar deze host op deze poort zijn verzonden, daar daadwerkelijk aankomen. Als ze dat niet doen, maar nmap de poort nog steeds als open beschouwt, dan communiceer je niet met deze host.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *