轉自:
nmap把端口定義為六種狀态的解讀 - CSDN部落格
https://blog.csdn.net/novicecoder/article/details/52177234
NMAP六種端口狀态解讀
Nmap是一種用來發現網絡中主機和服務的安全掃描工具,進而能夠産生一個網絡“地圖”,為了完成這個功能,nmap會向每個目标主機發送特定的封包,進而從目标主機傳回封包(或者無傳回封包)來判斷目标主機的屬性(如:開放的端口,所使用的作業系統,作業系統的類型等資訊)
本文主要讨論nmap對端口進行掃描中,當nmap向目标主機發送封包并根據傳回封包進而認定端口的6種狀态的含義(注意:這六種狀态隻是namp認為的端口狀态,例如:有些主機或者防火牆會傳回一些不可靠的封包進而妨礙nmap對端口開放問題的确認)。
Open:端口處于開放狀态,例如:當nmap使用TCP SYN對目标主機某一範圍的端口進行掃描時,我們知道 TCP SYN封包是TCP建立連接配接的第一步,是以,如果目标主機傳回SYN+ACK的封包,我們就認為此端口開放了并且使用了TCP服務。
Closed:端口處于關閉狀态。例如:TCP SYN類型的掃描,如果傳回RST類型的封包,則端口處于管理狀态。這裡我們值得注意的是關閉的端口也是可通路的,隻是沒有上層的服務在監聽這個端口,而且,隻是在我們掃描的這個時刻為關閉,當我們在另一個時間段進行掃描的時候,這些關閉的端口可能會處于open的狀态。
Filtered(過濾的):由于封包無法到達指定的端口,nmap不能夠決定端口的開放狀态,這主要是由于網絡或者主機安裝了一些防火牆所導緻的。當nmap收到icmp封包主機不可達封包(例如:type為3,code為13(communication administratively prohibit)封包)或者目标主機無應答,常常會将目标主機的狀态設定為filtered。
Unfiltered(未被過濾的),當nmap不能确定端口是否開放的時候所打上的狀态,這種狀态和filtered的差別在于:unfiltered的端口能被nmap通路,但是nmap根據傳回的封包無法确定端口的開放狀态,而filtered的端口直接就沒就沒能夠被nmap通路。端口被定義為Unfilterd隻會發生在TCP ack掃描類型時當傳回RST的封包。而端口被定義為filtered 狀态的原因是是封包被防火牆裝置,路由器規則,或者防火牆軟體攔截,無法送達到端口,這通常表現為發送NMAP的主機收到ICMP報錯封包,如:TYPE為3,code為13的封包(通信被認為的禁止 communication administratively prohibited),或者主機通過多次重複發送沒有收到任何回應)。
Open|filtered狀态,這種狀态主要是nmap無法差別端口處于open狀态還是filtered狀态。這種狀态隻會出現在open端口對封包不做回應的掃描類型中,如:udp,ip protocol ,TCP null,fin,和xmas掃描類型。
Closed|filtered狀态,這種狀态主要出現在nmap無法區分端口處于closed還是filtered時。此狀态隻會出現在IP ID idle scan(這個類型我現在也不太了解,過段時間進行總結一些)中。