传统意义上的端口状态只有 open 或 close 两种。网络发现扫描最常用的工具是Nmap,可以提供更细分的端口状态,共计六种,分别为open, closed, filtered, unfiltered, open|filtered, or closed|filtered。
1. 端口状态介绍
-
开放的(open):该端口在远程系统上已经开放,同时在该 端口上运行应用程序,可以接受连接请求;
-
关闭的(closed):该端口在远程系统可以访问,意味着防火墙允许访问该端口,但在该端口上没有运行接受连接请求的应用程序;
-
被过滤的(filtered):因为防火墙会干扰连接尝试,nmap无法确定端口是开放还是关闭。
-
未过滤的(unfiltered):端口是可以访问的,但Nmap无法确定端口是开放的还是关闭的。
只有ACK扫描,用于映射防火墙规则集,将端口分类为这种状态。使用其他扫描类型(如窗口扫描、SYN扫描或FIN扫描)扫描未过滤的端口,可能有助于解决端口是否开放的问题。
-
关闭的或被过滤的(closed|filtered):Nmap无法确定端口是关闭的还是被过滤。它仅用于IP ID空闲扫描。
-
开放的或被过滤的(open|filtered):这种状态主要是 Nmap 无法区别端口处于 open 状态还是 filtered 状态。这种状态是服务端对Nmap的请求不做任何回应,导致Nmap无法确认端口是那种状态。通常见于UDP端口。
2. 参考链接
- https://nmap.org/book/toc.html
- https://nmap.org/book/port-scanning.html
- https://nmap.org/book/synscan.html#scan-methods-ex-syn-scan
