oktober 11, 2020
Articles
Inga kommentarer

Disabled Network Discovery för port 5357 men det visas fortfarande som öppet i NMap-skanning

som nämns i titeln Jag har inaktiverat Network Discovery för alla de 3 profilerna ändå när jag kör en NMap-skanning kommer porten att vara öppen. Jag har också kört kommandot netstat -a -b för att hitta de tjänster som körs på portar, men port 5357 dyker inte upp i allt.

Finns det något jag saknar direkt här? Kan du snälla peka mig i rätt riktning om hur jag kan hindra port 5357 från att visas som öppen istället för att blockera den direkt.

Kommentarer

  • Det beror verkligen på din miljö. Är detta ett samarbetsnätverk eller ditt eget hemnätverk?
  • Det ' är ett litet företagsnätverk. Påverkar det? Om ja, kan du förklara hur?
  • Företagsnätverk kan innehålla filter som omdirigerar trafik för vissa portar. Till exempel kan en ping till 10.0.0.1:5357 tyst besvaras av 10.5.5.5:5357. Även om inget program på 10.0.0.1 skulle lyssna på port 5357, skulle portavsökningen för 10.0.0.1 fortfarande visa port 5357 som öppen, eftersom nmap fick svar för den här porten.
  • Finns det något sätt jag kan söka efter de här filtren? Kan jag också veta vilken värd i verkligheten svarar på NMap-pingen?
  • Du kan använda Wireshark för att få en bättre bild av vad som går över kabeln.

Svar

Beroende på din nätverkskonfiguration kanske begäranden inte alltid besvaras av värden som begäran skickades till. Till exempel kan en brandvägg, router eller switch konfigureras för att vidarebefordra all trafik till TCP-port 5357 till 203.0.113.1:5357.

Som ett resultat, när du utför en portavsökning för varje värd i detta nätverk verkar TCP-port 5357 vara ”öppen” för varje värd, men i verkligheten besvaras varje begäran bara av en värd.

I ditt scenario kan det mycket väl vara så att port 5357 på en specifik värd (t.ex. 203.0.113.29) är stängd. nmap skulle fortfarande betrakta det som ”öppet”, eftersom en begäran om 203.0.113.29:5357 skulle få ett svar.

nmap kan helt enkelt inte säga om svaret eller inte kom från värden eller inte.

Hur kan jag se till att det här är vad som händer?

Du kan använda Wireshark eller liknande verktyg på 203.0.113.29 och se om paket som skickas till den här värden i den här porten faktiskt kommer dit. Om de inte gör det, men nmap fortfarande ser porten som öppen, kommunicerar du inte med den här värden.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *