Nmap 外部扫描显示端口打开，ASA 表示端口未打开，但确实获得了套接字

Question

Nmap 外部扫描显示端口打开，ASA 表示端口未打开，但确实获得了套接字

use*_*304 5 firewall socket nmap cisco-asa

各位，有一个奇怪的问题，需要您的专家帮助。对于我们在审计中频繁使用的面向外部的服务器之一，nmap -Pn 扫描显示以下内容：

    Starting Nmap 5.51 ...
    Host pub.ip is up (0.0032s latency).
    Not shown: 993 filtered ports
    PORT     STATE  SERVICE
    21/tcp   open   ftp
    22/tcp   open   ssh
    80/tcp   open   http
    113/tcp  closed auth
    119/tcp  open   nntp
    8008/tcp open   http
    8010/tcp open   xmpp

Run Code Online (Sandbox Code Playgroud)

现在，这是一个公共 FTP/SFTP 服务器，物理主机上的 netstat /lsof 确认只有端口 21 (ftp)、22 (ssh) 和 25（内部 smtp）正在侦听。

ASA FW 配置显示它仅允许从 pub ip 到 ftp/ssh 上的内部 IP 的 NAT：

 static (dmz3,pub1) pub.ip internalftp.ip netmask 255.255.255.255
 access-list pub1_access_in extended permit tcp any host pub.ip eq ftp
 access-list pub1_access_in extended permit tcp any host pub.ip eq ssh

Run Code Online (Sandbox Code Playgroud)

就是这样。整个固件配置中没有 8010 或端口 8008 的条目。

但这是令人困惑的部分：

当我尝试在端口 8008 上打开套接字（使用 telnet）时，我确实得到了一个套接字，当我键入 HEAD / 或 GET / 时，我得到以下重定向到安全端口 8010 的信息：

HTTP/1.1 302 Found
Location: https://:8010
Connection: close

Connection to host lost.

Run Code Online (Sandbox Code Playgroud)

我也可以在端口 8010 上打开一个套接字，但什么也没有产生，通过浏览器或wireshark什么也没有产生。

变得有趣，在物理 ftp/sftp 服务器上，快速

#tcpdump -nni eth0 port 80 or port 8008 or port 8010

Run Code Online (Sandbox Code Playgroud)

当我在客户端上获得套接字时，不会产生任何流量。所以肯定。正在其他地方建立连接。

那么这里来了 - 套接字上的列表/服务器端的连接是什么！？

一个论坛/线程建议混合使用可能的智能路由器/固件来试图欺骗/误导黑客。真的！？

无论哪种方式，如何准确地找到建立连接的位置。

ps：我只读过ASA端的priv。因此将无法在那里运行任何故障排除。必须将其传递给 ASA/NW 管理员。

预先感谢您的宝贵时间和宝贵帮助。

按要求输出“netstat -taulpn | grep LISTEN”：

tcp        0      0 10.x.x.x:427            0.0.0.0:*               LISTEN      3779/slpd
tcp        0      0 127.0.0.1:427           0.0.0.0:*               LISTEN      3779/slpd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      3843/portmap
tcp        0      0 127.0.0.1:2544          0.0.0.0:*               LISTEN      4081/zmd
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      4042/xinetd
tcp        0      0 10.x.x.x:22             0.0.0.0:*               LISTEN      4190/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      4282/master
tcp        0      0 ::1:25                  :::*                    LISTEN      4282/master

Run Code Online (Sandbox Code Playgroud)

更新：抱歉，各位，请进一步对每个跃点进行故障排除，只有当我们从内部网络扫描外部 IP 时，上述情况才成立。所以我们并没有真正出去。在我离开时，边缘路由器的内部接口将其直接路由到 ASA。事实证明，这个内部接口正在监听这些端口，我们不确定为什么。它的配置中没有任何内容，我们已向提供商提出了问题。也许是 Cisco 7200 的默认行为。

因此，使用 DSL 线路进行的实际测试仅显示端口 21/22 在外部开放。对边缘路由器（外部接口）进行扫描显示没有端口打开。

所以我们现在还好。还是需要从内部弄清楚“为什么”。我们发现后将发布最后一次更新。

感谢大家。珍惜您的时间和帮助。

Answer 1

Cha*_*ith 1

我会检查的输出

netstat -an

Run Code Online (Sandbox Code Playgroud)

查看 8008 和 8080 的侦听器位于哪个接口。它们可能仅侦听环回接口，在这种情况下，必须从本地主机发起流量。

归档时间：	10 年，4 月前
查看次数：	5332 次
最近记录：	6 年，11 月前