NMAP - åpen port står som «filtrert» ved generelt -sS søk, men ved -p spesifisering er porten åpen?

[Anterialis]

Hei,

jeg leker litt mhp. å lære. Jeg har åpnet SSH på NAS på port 12345 (endret), i ruter setter jeg port forward med ekstern port 23456 (23456 -> 12345). Jeg logger inn på ekstern unix-server (Linode) og forsøker NMAP -sS (min eksterne IP). Resultatet er at 443 er åpen og 1935 er lukket, 998 porter er filtrert. Men dersom jeg spesifiserer -p 23456 så finner jeg at denne porten er åpen.

Hvorfor finner ikke -sS eler -sT port 23456 som åpen?

Har det noe med at nmap -sS / -sT kun søker etter de 1000(?) mest populære portene, og ikke alle portene?

Kommandoen jeg bruker er altså: sudo nmap -sS <min eksterne ip> og sudo nmap -sS -p 23456 <min eksterne ip>

 

EDIT: Ok, her har jeg kanskje funnet svaret selv. Et default NMAP-søk søker bare de mest populære portene (første tusen?). Ved å sette -p <port range> e.g. -p 1000-65500 søkes andre porter, og dette tar tid. Betyr dette at det å endre portene (eg. bygge plex sin standardport 32400 til noe annet, e.g. 47234) er en god sikkerhet? Er det hackere der ute som gidder å bruke en time på å søke igjennom alle porter på en vilkårlig IP-adresse?

 

Takk for hjelpen!

Endret 21. juni 2021 av Anterialis

[process]

Du har funnet ut av det, men du kan bruke -p - for alle porter.

[NULL]

Hackerne trenger nødvendigvis ikke å skanne alle portene dine. Det er flere tjenester som i større eller mindre omfang skanner hele internett og lager søkbare indekser. Noen tar kanskje et større antall porter enn andre. I tillegg til dem som er kjente, er det kanskje også andre som er mer ukjente, men omså skanner mer..

Tips er vel å leke litt med shodan.io, som blir en av de mer stuerene tjenestene på området....

Endret 21. juni 2021 av NULL

[Anterialis]

Takk for gode svar og tips!