Nmap filtered vs closed 차이

Problem

포트 스캔이 기대했던 open이나 closed 대신 filtered로 나오는데, 서비스가 죽은 건지 막힌 건지 그냥 도달이 안 되는 건지 분간이 안 됩니다.

Symptoms

• 포트 점검이 확정 상태 대신 filtered(또는 open|filtered)로 표시됩니다.
• 일부 포트는 즉시 응답하는데 특정 포트에서 스캔이 느리게 멈칫합니다.
• 분명히 돌고 있는 서비스가 외부에서는 filtered로 보입니다.
• 스캔하는 위치에 따라 결과가 달라집니다.

The Difference

상태는 서비스 존재 여부가 아니라 호스트가 어떻게 응답하느냐에서 나옵니다:

1. closed - 호스트가 도달 가능하고 TCP 스택이 능동적으로 거부합니다. SYN에 RST(reset)로 답하죠. RFC 9293(구 RFC 793)이 예상치 못한 연결에 요구하는 동작입니다. 도달은 되는데 듣는 게 없을 뿐입니다.
2. filtered - 나와 호스트 사이의 무언가가 probe를 떨굽니다. 여러 번 재전송해도 응답이 없거나, ICMP unreachable(type 3, code 1·2·3·9·10·13)이 돌아옵니다. 방화벽이나 ACL이 조용히 패킷을 먹어서 Nmap이 열림/닫힘을 구분 못 합니다.
3. open - SYN에 SYN/ACK가 돌아옵니다. 서비스가 듣고 있고 핸드셰이크를 완료합니다.

요약하면: closed는 호스트의 명확한 “아니오”, filtered는 중간의 패킷 필터가 만든 “무응답”입니다.

Diagnose with DechoNet

• Port Check으로 외부 시점에서 포트가 응답하는지·거부하는지·침묵하는지 확인합니다.
• IP Lookup으로 오리진이 아니라 그 앞의 CDN 엣지·로드밸런서를 스캔하고 있는 건 아닌지, 의도한 IP가 맞는지 확인합니다.
• DNS Lookup으로 포트 상태를 해석하기 전에 도메인이 의도한 호스트로 해석되는지 검증합니다.

Resolution Checklist

• 대상 IP부터 확인합니다. CDN·프록시 IP에 대한 filtered 결과는 그 뒤 오리진에 대해 아무것도 말해주지 않습니다.
• filtered면: 방화벽이나 security group이 트래픽을 떨구고 있다고 보고, 해당 포트·출발지의 인바운드 규칙을 점검합니다.
• closed면: 경로는 정상이고 듣는 게 없는 것입니다 - 서비스를 기동/바인딩한 뒤 다시 스캔합니다.
• 다른 네트워크에서 스캔합니다. 한 곳에서는 filtered인데 다른 곳에서는 open이면 출발지 기반 방화벽 규칙을 가리킵니다.
• 변경할 때마다 포트 점검을 다시 돌려 상태가 filtered에서 open/closed로 바뀌는지 봅니다.

When to Escalate

• filtered가 계속되고 트래픽을 떨구는 방화벽·security group·ACL이 보이지 않으면 네트워크/클라우드 팀에 에스컬레이션합니다.
• 소유하지 않았거나 테스트 권한이 없는 호스트를 스캔 중이라면 멈춥니다 - 허가 없는 포트 스캔은 정책이나 법을 위반할 수 있습니다.