Назад | Перейти на главную страницу

Nmap сообщает о неверных результатах сканирования в режиме ожидания

У меня есть VPS, который я сканировал, чтобы убедиться, что все в порядке. Обычное сканирование SYN сообщает, что порты 25 и 80 открыты (как и должно быть). Когда я запускаю сканирование в режиме ожидания однако я возвращаюсь, что все 1000 просканированных портов закрыты | фильтруются. Я пробовал сканирование SYN и сканирование в режиме ожидания на нескольких других серверах, а также пробовал различных зомби при сканировании в режиме ожидания.

На другом сервере, на котором я тестировал это, было открыто около 9 портов, но, опять же, сканирование в режиме ожидания показало, что все 1000 портов были закрыты | отфильтрованы.

Есть идеи, почему это происходит? Я прочитал документацию о сканировании в режиме ожидания и понимаю, что он не может определить разницу между закрытым и отфильтрованным портом из-за того, как он работает, но поскольку на этих серверах есть порты, я не понимаю, почему сканирование в режиме ожидания выбирает их можно считать закрытыми или отфильтрованными.

Nmap Idle Scan - очень хрупкое существо. Из Информация о сканировании в режиме ожидания:

Первым шагом в выполнении сканирования IP ID в режиме ожидания является поиск подходящего зомби. Ему необходимо назначать пакеты IP-идентификатора постепенно на глобальной (а не для каждого хоста, с которым он взаимодействует) основе. Он должен быть свободен (отсюда и название сканирования), поскольку посторонний трафик будет увеличивать его последовательность IP-идентификаторов, запутывая логику сканирования. Чем меньше задержка между атакующим и зомби, а также между зомби и целью, тем быстрее будет выполняться сканирование.

Похоже, ваш зомби не подходит: либо он недостаточно простаивает, либо использует стратегию «случайного положительного увеличения» для идентификаторов IP (что также сбивает с толку логику сканирования), либо назначает идентификаторы IP на основе хоста, с которым он разговаривает, а не с использованием глобального счетчика (чтобы ваш IP-идентификатор не зависел от другого трафика, что полностью нарушает логику сканирования).