Я просто наблюдаю, что NMAP делает для трех открытых портов.
Я понимаю, что такое атака с половинным сканированием, но то, что происходит, не имеет смысла.
NMAP сообщает, что порты 139 и 445 открыты… все в порядке.
Но когда я смотрю на контрольные биты, NMAP никогда не отправляет RST после того, как обнаруживает, что порт открыт. Он делает это для порта 135, но не для 139 и 445. Вот что происходит:
(Я ПРОПУСТИЛ ответы жертвы)
Посылает 2 (SYN)
Отправляет 16 (ACK)
Отправляет 24 (ACK + PST)
Отправляет 16 (ACK)
Отправляет 17 (ACK + FIN)
Я не понимаю, почему у NMAP нет портов 139 и 445 RST ??
Нет необходимости отправлять RST. В FIN достаточно, чтобы закрыть соединение; RST обычно используется только при возникновении ошибки. Я подозреваю, что Nmap отправляет RST в других случаях, потому что иногда он может спровоцировать ответ в ошибочных стеках TCP даже там, где SYN фильтруется; если ему удалось открыть соединение, значит, он уже знает, что порт открыт ...