NMAP - Fermé vs filtré

Cela dépend en grande partie de l'analyse utilisée et la page des types d'analyse nmap explique l'état du port et les raisons de l'analyse.

Quelques exemples:

Scan TCP SYN (-sS)

 
 - Envoie un TCP avec indicateur SYN défini 
 - Si un SYN/ACK (ou SYN) est reçu -> Le port est Ouvert, TCP initiation acceptée 
 - Si un RST est reçu -> Le port est fermé 
 - Si aucune réponse n'est reçue -> Le port est considéré comme filtré 
 - Si un ICMP inaccessible est reçu -> Le port est considéré comme filtré 
 

Analyses UDP (-sU)

 
 - Nmap envoie un paquet UDP aux ports spécifiés 
 - Si un port ICMP inaccessible revient -> Le port est fermé 
 - Autres erreurs ICMP inaccessibles -> Le port est filtré 
 - Le serveur répond avec un paquet UDP -> Le port est ouvert 
 - Aucune réponse après la retransmission -> Le port est ouvert | Filtré 
 

Et un exemple de "contraste" qui pourrait produire des résultats différents de -sS:

Analyse TCP ACK (-sA)

 Cette analyse ne détermine jamais OUVERT ou OUVERT | Filtré: 
 
 - Un paquet est envoyé avec uniquement l'indicateur ACK 
 - Si un système n'est pas filtré, ouvert et ouvert Les ports fermés renverront tous les deux des paquets marqués RST 
 - Les ports qui ne répondent pas ou qui envoient des erreurs ICMP sont étiquetés filtrés. 
 

Fondamentalement, vos résultats seront influencés par les types de scan et les options supplémentaires que vous ajoutez. Il est important de comprendre comment les différents types d'analyses NMAP fonctionnent à un niveau supérieur afin d'effectuer une analyse correcte et concluante.

Plusieurs options peuvent être nécessaires pour obtenir une vue correcte de vos règles de pare-feu.

Également --reason flag peut vous donner plus d'informations sur les raisons pour lesquelles un port est affiché différemment que vous ne le pensez.