有没有一种方法可以查看什么是过滤TCP端口通信呢？

Question

nmap -p 7000-7020 10.1.1.1

将输出所有过滤的端口。

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT     STATE    SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds

有什么方法可以让我看到过滤这些端口的确切内容吗？

Answer 1

这是nmap文档对filtered状态的描述。

过滤后的Nmap无法确定端口是否打开，因为数据包过滤阻止其探测到达端口。过滤可以来自专用防火墙设备、路由器规则或基于主机的防火墙软件.

找出过滤的唯一方法是知道你和远程目标之间有什么‘机器’。

这可以使用路由跟踪实用程序来实现，它试图使用特殊的TCP数据包在您和目标之间确定主机。在您的示例中，该命令看起来可能如下所示：

traceroute 10.1.1.1

一旦你知道了你和目标之间的机器，你就调查每台机器的配置，看看它是否是过滤的，如果是的话，如何过滤。

Answer 2

简短的回答--不，你不可能看到它。

较长的答覆：

来自：https://nmap.org/book/man-port-scanning-basics.html

“过滤后的Nmap无法确定端口是否打开，因为数据包过滤阻止它的探测到达端口。这种过滤可能来自专用防火墙设备、路由器规则或基于主机的防火墙软件。这些端口使攻击者感到沮丧，因为它们提供的信息太少。有时它们使用ICMP错误消息响应，比如类型3代码13 (目的地无法到达:禁止通信)，但简单地丢弃探测而没有响应的过滤器则要常见得多。这迫使Nmap在网络拥塞而不是过滤的情况下重试几次。这大大减缓了扫描速度。”

您可以尝试使用像traceroute这样的工具来发现网络拓扑。通常，端口被过滤在主机本身(即ip表)、目标网络边缘路由器、目标网络核心路由器或机架L3交换机顶部。

如果您与目标主机位于同一子网中，几乎可以肯定防火墙在目标计算机上。

Answer 3

尝试将tcptrace的结果与过滤后的端口之一进行比较，并将tcptrace与开放端口(或标准的traceroute)进行比较。如果tcptrace是相同的，这意味着目标机器上有一些东西在过滤端口。

更新:我是说tcptraceroute，我把它化名了。