我有一个VPS,我正在扫描,以确保一切都在检查。 定期的SYN扫描报告端口25和80是开放的(他们应该是)。 然而,当我运行一个空闲的扫描时,我发现所有扫描的1000个端口都被closures了。 我已经在其他几个服务器上尝试了SYN扫描和空闲扫描,并且在进行空闲扫描时尝试了不同的僵尸。
在另一台服务器上,我testing了这个服务器,它有大约9个端口打开,但空闲扫描显示所有1000个端口都被closures了。
任何想法,为什么发生这种情况? 我读过关于空闲扫描的文档,并了解它不能确定封闭和过滤端口之间的差异,因为它的工作方式,但由于这些服务器有端口打开,我不明白为什么空闲扫描select他们closures或过滤。
nmap空闲扫描是一个非常脆弱的生物。 从空闲扫描信息 :
执行IP ID空闲扫描的第一步是find合适的僵尸。 它需要在全局(而不是每个主机与之通信)的基础上增量分配IP ID数据包。 它应该是空闲的(因此扫描名称),因为多余的stream量会提高其IP ID序列,混淆扫描逻辑。 攻击者与僵尸之间以及僵尸与目标之间的延迟越低,扫描的进行速度越快。
这听起来像你的僵尸是不适合的:要么是没有足够的空闲,它对IP ID使用“随机正增量”策略(这也会使扫描逻辑混淆),或者根据它所在的主机分配IP ID,而不是使用全局计数器(所以你的IP ID是独立的其他stream量,这完全打破了扫描逻辑)。