← Сетевая разведка: почему он…Перехват трафика: почему от… →

Сканирование портов nmap (своей сети)

Урок про инструмент инвентаризации сети — что он показывает и как защитнику читать его вывод. Только на своей сети.

nmap — утилита для обнаружения хостов и открытых портов; администратор использует её для инвентаризации собственной сети.

Зачем nmap защитнику

Прежде чем защищать, нужно знать, что вообще открыто. nmap даёт честную картину: какие порты слушают, какие сервисы за ними и не торчит ли наружу что-то забытое. Это инвентаризация поверхности атаки — но только своей.

Важно: запускать nmap против чужих сетей без письменного разрешения незаконно (ст. 272 УК РФ). Все примеры — для адресов вашей сети.

Базовое сканирование своей сети

# какие хосты живы в своей подсети
nmap -sn 192.168.1.0/24

# какие порты открыты на своём хосте
nmap 192.168.1.10

# определить сервисы и версии (свой хост)
nmap -sV 192.168.1.10

Состояния портов

СостояниеЧто значит
openсервис принимает соединения
closedпорт доступен, но сервиса нет
filteredfirewall не даёт понять, открыт ли порт

Состояние filtered — хороший знак: значит, на периметре стоит фильтрация, и нарушителю не видно, что за портом.

Как работает под капотом

В основе — поведение TCP-рукопожатия. На попытку соединения открытый порт отвечает согласием, закрытый — отказом, а отфильтрованный молчит. По этим реакциям nmap и делает вывод. Понимая механику, вы понимаете и защиту: правильно настроенный firewall превращает картину в сплошной filtered, лишая разведку данных.

SYN  ----> open   : ответ = принимаю
SYN  ----> closed : ответ = отказ
SYN  ----> filtered: тишина (firewall)

Как обнаружить сканирование

  • Множество подключений с одного адреса к разным портам за короткое время — типичная сигнатура.
  • IDS (Snort/Suricata) умеют детектировать паттерны сканирования из коробки.
  • Анализ логов firewall на всплески отклонённых соединений.

Частые ошибки

  • Сканировать чужие адреса «для теста» — это правонарушение.
  • Делать выводы по одному прогону: сервис мог быть временно недоступен.
  • Не сопоставлять результат с тем, что должно быть открыто — иначе забытый порт останется незамеченным.

Итоги

  • nmap — инструмент инвентаризации своей поверхности атаки.
  • Состояние filtered означает, что фильтрация работает.
  • Сканирование легально только против своей сети или с письменного разрешения.
Проверьте себя
1. Что означает состояние порта filtered в выводе nmap?
AСервис точно запущен
BПорт закрыт и сервиса нет
CFirewall не даёт определить состояние порта
DХост выключен
2. При каких условиях запуск nmap легален?
AПротив любого адреса в интернете
BТолько против своей сети или с письменного разрешения
CЕсли сканировать ночью
DЕсли не сохранять результаты
3. Как защитнику заметить, что его сеть сканируют?
AНикак, сканирование незаметно
BПо всплеску подключений к множеству портов и сигнатурам IDS
CТолько по жалобам пользователей
DПо росту счёта за электричество