Linux

Nmap 報告空閒掃描的錯誤結果

  • September 8, 2011

我有一個正在掃描的 VPS,以確保一切都在檢查中。正常 SYN 掃描報告埠 25 和 80 是開放的(它們應該是開放的)。但是,當我執行空閒掃描時,我發現所有掃描的 1000 個埠都已關閉|過濾。我已經在其他幾台伺服器上嘗試了 SYN 掃描和空閒掃描,並且在進行空閒掃描時也嘗試了不同的殭屍。

在我測試的另一台伺服器上,它打開了大約 9 個埠,但空閒掃描再次顯示所有 1000 個埠都被關閉|過濾。

關於為什麼會發生這種情況的任何想法?我已閱讀有關空閒掃描的文件,並了解由於其工作方式,它無法確定關閉埠和過濾埠之間的區別,但由於這些伺服器有埠打開,我不明白為什麼空閒掃描正在挑選它們要麼關閉要麼過濾。

nmap 空閒掃描是一個非常脆弱的生物。從空閒掃描資訊

執行 IP ID 空閒掃描的第一步是找到合適的殭屍。它需要在全域(而不是與它通信的每個主機)的基礎上逐步分配 IP ID 數據包。它應該是空閒的(因此是掃描名稱),因為無關流量會增加其 IP ID 序列,從而混淆掃描邏輯。攻擊者和殭屍之間以及殭屍和目標之間的延遲越低,掃描進行得越快。

聽起來你的殭屍不合適:要麼它不夠空閒,要麼它對 IP ID 使用“隨機正增量”策略(這也會混淆掃描邏輯),要麼它根據它正在與之交談的主機分配 IP ID,而不是使用全域計數器(因此您的 IP ID 獨立於其他流量,這完全破壞了掃描邏輯)。

引用自:https://serverfault.com/questions/309438