Почему nmap показывает Tor в Ubuntu

Question 1

Когда я запускаю nmap с моей рабочей станции Ubuntu, порты Tor отображаются (как закрытые) на нашем сервере.

Starting Nmap 5.21 ( http://nmap.org ) at 2013-03-12 10:22 CDT
Nmap scan report for xx.xx.xx.xx
Host is up (0.062s latency).
Not shown: 985 filtered ports
PORT     STATE  SERVICE
20/tcp   closed ftp-data
21/tcp   open   ftp
80/tcp   open   http
443/tcp  open   https
2020/tcp open   xinupageserver
3306/tcp open   mysql
9000/tcp closed cslistener
9001/tcp closed tor-orport
9002/tcp closed unknown
9003/tcp closed unknown
9009/tcp closed unknown
9010/tcp closed unknown
9011/tcp closed unknown
9040/tcp closed tor-trans
9050/tcp closed tor-socks

Эти порты не отображаются в nmap, происходящем из redhat:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-03-12 09:42 CDT
Interesting ports on mugglenet.com (xx.xx.xx.xx):
Not shown: 1674 filtered ports
PORT     STATE  SERVICE
20/tcp   closed ftp-data
21/tcp   open   ftp
80/tcp   open   http
443/tcp  open   https
2020/tcp open   xinupageserver
3306/tcp open   mysql

Я знаю, что системы работают под разными версиями Nmap, по умолчанию новые версии nmap сканируют общие порты Tor ?

Question 2

Tor является уникальной службой в своей работе - стандартная установка Tor не имеет портов, которые вы можете прослушивать при сканировании nmap из другой системы .

Предполагается, что у вас установлена установка Tor по умолчанию, без какой-либо дополнительной настройки, и она работает только для того, чтобы вы могли подключить ваш браузер и другие вещи к прокси-серверу SOCKS для входа в Tor и через Tor, тогда это единственный порт прослушивания для Tor: (это из netstat -tulpn)

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:9050          0.0.0.0:*               LISTEN      -

Если вы не сканируете свою систему локально, вы не увидите порт Tor, поскольку 9050 привязан только к localhost, что Доступ к нему возможен только с самой машины.

Таким образом, если вы не откроете привязку порта прокси-сервера Tor для привязки к одному из IP-адресов, назначенных системе, а НЕ к адресу 127.0.0.1 локального компьютера, вы не увидите ничего при сканировании nmap из внешняя система, которая не является системой, в которой работает сам Tor.

Единственный способ любого сканера портов, nmap или другого, увидеть это, если вы используете локальный портскан из вашей системы, а нет с другого IP-адреса в сети. Таким образом, независимо от версии nmap он не может сканировать не открытые порты. Что-то привязанное к вашему локальному хосту (127.0.0.1) просто не может быть отсканировано извне.

Question 3

Question 4

Nmap использует собственный файл « / etc / service » для ссылки на дополнительные порты. В Ubuntu он находится по адресу / usr / share / nmap / nmap-services . Поскольку этот вопрос устарел, и я не смог проверить версию Centos 4.11 - я считаю, что версия Nmap в Centos использует регулярные / etc / services для раскрытия порта.

Быстрый grep-ing / usr / share / nmap / nmap-services в окне Ubuntu предоставляют вышеуказанную информацию:

grep '^tor' /usr/share/nmap/nmap-services
tor-orport  9001/tcp    0.001216    # Tor ORPort
tor-trans   9040/tcp    0.000301    # Tor TransPort, www.torproject.org
tor-socks   9050/tcp    0.000703    # Tor SocksPort, www.torproject.org
tor-control 9051/tcp    0.000025    # Tor ControlPort, www.torproject.org

Thomas Ward · Answer 1 · 12 March 2013 в 19:40