题 我的网络服务器上的nmap显示TCP端口554和7070打开


我有一个网络服务器,为我提供各种网站。可在外部访问的两个服务是SSH和Apache2。它们分别在非标准和标准端口上运行。所有其他端口都通过arno-iptables-firewall显式关闭。主机正在运行Debian Testing。

我注意到使用nmap扫描主机会产生不同PC的不同结果。从我的家庭网络上的笔记本电脑(在BT Homehub后面),我得到以下内容:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

而在使用nmap 5.00的美国服务器和挪威运行nmap 5.21的Linux机箱中进行扫描时,我得到以下信息:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

所以我 希望 这是我的内部网络或ISP正在播放,但我不能确定。

跑一个 netstat -l | grep 7070 什么都不产生同样适用于554端口。

任何人都可以解释我所看到的特点吗?


12
2017-11-13 18:21




两个结果是否都是同时进行的扫描。 - pradeepchhetri
您是否有机会在家庭网络中使用Apple机场极端或Apple时间胶囊? - faker
我有一个Buffalo NAS,它运行与我相信的DLNA兼容服务。 - Alex
这也发生在我身上 - 我落后于Apple Time Capsule。 :( - pawstrong


答案:


这很可能是在线,这两个端口(554/7070)是真正的玩家RealServers。

http://service.real.com/firewall/adminfw.html


1
2017-11-13 23:29



我同意你的看法。谢谢。我已经完成了Nickgrim的建议并证明了我仍然可以打开端口(假设没有rootkit替换netcat,netstat和其他相关的二进制文件来欺骗我!)。 - Alex
顺便说一下,我怎么能证明这种情况呢? - Alex
@atc: telnet 给你新听的 netcat,并检查它是否收到您键入的内容。 - nickgrim


我倾向于责怪你的ISP或你和你的服务器之间的东西。如果你只是想让自己确信这些端口真的是关闭的,你可以尝试监听这些端口,如果它成功,那么可以安全地假设没有任何东西已经在监听。这是我在我的机器上执行的操作(在端口80上有Apache,在端口81上没有任何内容):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

编辑:并确保这确实有效, telnet 从另一个盒子到它并检查 netcat 正在收到你发送的东西(你可能想要增加 --wait 超时)。


11
2017-11-13 19:58



这已经证明问题不在服务器上 - 扫描另一台主机列出了相同的端口,当它们没有打开时! - Alex
虽然这没有回答直接的问题,但我已经给你一个upvote,因为这是断言端口是否被使用的好方法。感谢您的输入。 - Alex


你的路由器可能是罪魁祸首。我只是想知道这是否是一个在OpenVZ主机上的问题,并发现这篇文章: 端口21,554和7070是打开还是关闭?答案是肯定的。

这对我来说很有意义,因为我目前正在使用蹩脚的FiOS Actiontec路由器。容器和主机节点上的nmap和netcat测试的任何组合都确认这些端口不是真正打开的。


8
2017-10-12 11:53



+1为 糟糕的FiOS Actiontec路由器。我知道你的盒子的私钥(其他人也是如此,多亏了 小黑匣子)。 - jww
我在丢失FiOS之前切换了,但现在我在AP模式下使用更好的安全路由器和无线“路由器”。阅读本文的任何人都应该查看该项目的链接。好博客也:) - lunistorvalds
只是抬头:Apple Airport Extreme现在仍然如此。在从家庭网络测试Amazon ec2实例的防火墙设置时,找到了困难的方法。 - jlapoutre


各种不同的路由器(Verizon FiOS,BT Home Hub,Apple Airport Extreme,...)显示端口 554 和 7070 由于某种原因对所有IP开放。

Hackerific»误报TCP端口!


4
2018-01-10 21:38



为优秀的Hackerific链接+1。 - codingoutloud


我同意nickgrim。您也可以尝试从框本身进行本地nmap扫描

比较这些的输出:

nmap 127.0.0.1

nmap 1.2.3.4

1.2.3.4是你的公共IP


0
2017-11-13 23:00





这可能是您的家庭集线器上的RTSP ALG(应用层网关)拦截流量并提供响应。


0
2018-04-21 07:40





您是否在ESXi Guest上使用VM? 当我将Kali linux VM从Workstation移动到ESXi时,我开始假冒554/7070结果。 您可以验证延迟:

nmap yourip --reason -p 7070 --traceroute

使用普通端口检查554和7070端口的不同跳数...


0
2017-10-24 03:10