permalink

2

Nmap Grundlagen: Port-Zustände

Bei einem Scan klassifiziert Nmap die gescannten Ports in sechs verschiedene Zustände.

- offen (open)
Der Host bietet wartet auf diesem bestimmten Port auf eingehende TCP-Verbindungen oder UDP-Pakete. Offene Ports bieten viel Möglichkeiten für verschiedene Angriffe (z.B. exploits) und lassen oft Rückschlüsse auf den dort lauschenden Dienst zu z.B. (Port 80 – HTTP). Die Herausvorderung für Administratoren besteht darin, den Status des Ports zu verschleiern ohne eigentlichen Dienst / Programm zu behindern.

...
PORT   STATE SERVICE
80/tcp open  http
...

- geschlossen (closed)
Der Host ist grundsätzlich erreichbar, aber es läuft kein Service / Programm, das diesen Port abhört.
Administratoren sollten versuchen mittels einer Firewall den Zustand zu verschleiern, siehe: Port Zustand gefiltert

...
PORT   STATE  SERVICE
22/tcp closed ssh
...

- gefiltert (filtered)
Eine Firewall oder ein Router verwirft das Paket einfach und Nmap kann nicht festellten, ob der Port offen oder geschlossen ist. In seltenen Fällen gibt der Paketfilter einen ICMP-Fehlercode aus, ansonsten liefert dieser Zustand keine Ergebnisse. Da Nmap öfters versucht, das Testpaket zu verschicken, verlangsamt ein gefilterter Port den Scan deutlich.

...
PORT   STATE    SERVICE
22/tcp filtered ssh
...

- ungefiltert (unfiltered)

Der gescannte Port ist grundsätzlich erreichbar, Nmap kann jedoch nicht definieren ob der Port offen oder geschlossen ist.
Nur der ACK-Scan kann Ports in diesem Zustand klassifizieren, deshalb bringen hier eventuell andere Scan-Methoden wie zB. Window-Scan, SYN-Scan oder FIN-Scan mehr Erfolg.

- offen|gefiltert (open|filtered)

Dieser Status kommt, wenn Nmap nicht feststellen kann, ob der Port offen oder gefiltert ist. Das passiert, wenn ein offener Port kein Antwort-Paket schickt. Gründe dafür könnte z.B. eine Firewall / Paket-Filter sein, die das Paket von Nmap einfach verwirft.

- geschlossen|gefiltert (closed|filtered)

Nmap kann hier feststellen, ob der Port geschlossen oder gefilteret ist.

Quelle: nmap.org