Como o nmap distingue portas fechadas de portas filtradas

Vamos supor que estamos fazendo uma verificação de conexão TCP.

uma varredura nmap no google retorna a seguinte saída:

SERVIÇO DO ESTADO DO PORTO

80 / tcp http aberto

Https aberto 443 / tcp

No entanto, se eu tentar abrir um soquete com o netcat ou o telnet no google.com na porta 12, por exemplo, o netcat ou o telnet trava indefinidamente.

O Nmap detecta a porta 12 (e outras que não sejam 80 ou 443) como fechada, mas iniciar uma conexão TCP com elas não fecha instantaneamente.

Como o nmap pode saber que essas portas não são filtradas, mas fechadas?

Com a varredura nmap, você geralmente obtém 3 estados:

• Aberto - o computador remoto respondeu com um SYN / ACK ao seu SYN
• Fechado - o computador remoto rejeitou sua tentativa de conexão com um pacote RST
• Filtrado - nada voltou, ocorreu o tempo limite

Abrir um netcat na porta 80 e aguardar não fará nada. Porta 80 (geralmente) significa que um servidor http está escutando do outro lado e está aguardando um comando HTTP (até seu próprio tempo limite). Depois de passar pela rede para a porta 80, tente sedinar a GET /para ver se você recebe uma resposta (provavelmente um erro http).

Uma porta fechada é uma porta que não tem nenhum software escutando, portanto, uma tentativa de fazer uma conexão com essa porta nesse sistema resultará no sistema enviando de volta um pacote TCP RST.

Uma porta filtrada, por outro lado, é tipicamente uma porta bloqueada por um firewall no caminho da rede; portanto, uma tentativa de fazer uma conexão com essa porta nesse sistema resultará em nada voltando ... nem mesmo um TCP RST ... para que uma tentativa de conexão fique lá até o TCP exceder o tempo limite da tentativa de conexão.