Phan Anh Buổi Sáng

Nmap là công cụ quyét cổng hàng đầu, được các hacker, các nhà đánh giá an ninh mạng, các nhà quản trị mạng hay sử dụng cho công việc của mình. Sau đây là bài lược dịch về Nmap từ Nmap reference guide, nằm trong trang web chính thức của Nmap (Nmap.org):
Phần 1:Các trạng thái cổng được Nmap nhận dạng:
- Cổng mở (open):
Trong trường hợp này, ứng dụng web chủ động chấp nhận kết nối TCP, và 1 số giao thức khác như UDP datagram,SCTP association trên cổng được thăm dò. Tìm cổng mở là mục tiêu hàng đầu của quyét cổng. Một người hiểu biết về an ninh mạng hiểu rằng mỗi một cổng mở là lối vào cho cuộc tấn công. Những kẻ tấn công, những nhà đánh giá an ninh mạng đều muốn khai thác cổng mở, trong khi các nhà quản trị lại cố gắng đóng hoặc bảo vệ chúng bằng tường lửa mà không ngăn cản những người dùng hợp pháp. Các cổng mở cũng là mối quan tâm của các loại quyét cổng không liên quan đến an ninh mạng vì chúng cho thấy dịch vụ nào đang sẵn sàng cho sử dụng trên mạng.
- Cổng đóng (closed):
Một cổng đóng là cổng vẫn có thể vào được ( nó nhận và trả lời với các gói dữ liệu thăm dò của Nmap), nhưng không một chương trình ứng dụng nào "lắng nghe" (listening) ở cổng đó. Các cổng đóng có thể hữu dụng trong việc cho thấy 1 host đang hoạt động trên 1 địa chỉ IP ( thăm dò host hoặc quyét ping) hoặc khi là một phần của công việc phát hiện hệ điều hành. Vì một cổng đóng có thể đến được, nó có thể có ích cho những lần quyét sau trong trường hợp nó được mở. Các nhà quản trị có thể muốn xem xét khoá những cổng như vậy bằng tường lửa.
- Cổng có lọc ( filtered):
Trong trường hợp này, Nmap không thể quyết định xem một cổng có phải là đang mở hay không vì bộ phận lọc dữ liệu ngăn chặn sự do thám của nó đến cổng. Bộ phận lọc này có thể từ một thiết bị tường lửa, một router có định chế, hay một phần mềm tường lửa nằm trên host .Những cổng loại này làm thất vọng những kẻ tấn công vì chúng cung cấp quá ít thông tin. Đôi khi chúng trả lời với một thông báo lỗi ICMP như dạng 3 ,code 13( cổng đích không thể đến được hay trao đổi thông tin bị quản trị ngăn chặn), nhưng thường thì bộ phận lọc dữ liệu sẽ bỏ qua các gói dữ liệu thăm dò mà không trả lời bất cứ điều gì. Điều này bắt buộc Nmap phải quyét thử lại vài lần để xem xem gói dữ liệu thăm dò bị bỏ qua là do nghẽn mạng hay là do có lọc (filtered). Việc trên làm giảm tốc độ quyét mạnh mẽ.
- Cổng có thể vào được (unfiltered):
Trạng thái "unfiltered" có nghĩa là cổng có thể vào được. Nhưng Nmap không thể quyết định xem nó mở hay đóng .Chỉ có quyét dạng ACK , cái thăm dò các định chế của tường lửa mới phân chia port ra loại này. Quyét cổng loại này với các dạng quyét như quyét Window, quyét Syn, hay quét Fin, sẽ có thể giải quyết là cổng có mở hay không.
- Open/filtered:
Nmap đặt các cổng vào trạng thái này khi nó không thể quyết định xem một cổng là mở hay là có lọc. Điều này xảy ra cho dạng quyét trong đó cổng mở không trả lời. Không có câu trả lời cũng có nghĩa là bộ phận lọc dữ liệu đã bỏ qua gói dữ liệu thăm dò của Nmap hoặc bất cứ câu trả lời nào mà Nmap khai thác được. Vì vậy Nmap sẽ không thể biết được cổng là mở hay là có lọc. Quyét UDP, IP protocol, Fin,và Xmas sẽ phân cổng vào trạng thái này.
- Closed/filtered:
Trạng thái này được sử dụng khi Nmap không thể quyết định xem một cổng là đóng hay là có lọc. Nó chỉ được sử dụng cho dạng quyét IP ID

About NMap