幾個端口列爲用nmap打開，但只有少數端口在服務器上偵聽。

Question

我試圖掃描使用nmap端口，我在同一個局域網中的服務器之一，我得到了許多端口打開：

Host is up (0.058s latency). 
Not shown: 993 closed ports 
PORT STATE SERVICE 
22/tcp open ssh 
80/tcp open http 
110/tcp open pop3 
143/tcp open imap 
993/tcp open imaps 
995/tcp open pop3s 
3306/tcp open mysql 

所以，我登錄到服務器，以查看服務正在聽什麼，只有少數其中：

netstat -plnt 
Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address   Foreign Address   State  PID/Program name 
tcp  0  0 0.0.0.0:3306   0.0.0.0:*    LISTEN  1205/mysqld 
tcp  0  0 0.0.0.0:22    0.0.0.0:*    LISTEN  32225/sshd 
tcp6  0  0 :::22     :::*     LISTEN  32225/sshd 
tcp6  0  0 :::4118     :::*     LISTEN  1264/ds_agent 

爲什麼然後，那些端口在nmap中列出，我如何關閉它們？

Answer 1

將--reason選項添加到Nmap掃描中以查看有關每個端口的信息。這可能有助於揭示響應來自與目標不同的來源。例如，如果您看到22/tcp open ssh syn-ack ttl 60，但110/tcp open pop3 syn-ack ttl 63則基於ttl的差異，這些響應可能來自不同的目標。你說你在一個局域網上，所以這是不太可能的。

當您掃描時，端口也可能處於打開狀態，但當您登錄進行檢查時，正在偵聽的進程已關閉。你能否確認相同的端口仍然打開？你可以檢查郵件服務器服務啓動和停止的日誌嗎？

還有一種可能性是rootkit。這是一種惡意軟件，可以從主機診斷工具（如netstat）中謹慎隱藏其行爲。這種可能性不太可能基於您列出的端口，而是與郵件服務器一致。惡意軟件不太可能在如此多的常用端口上進行監聽，但值得一提的是一般情況。