我的机器的 IP 地址是 192.168.1.50 。当我nmap -p- -sT -Pn 192.168.1.50
从同一台机器执行以下 nmap 扫描时,每次扫描都会得到一些随机打开的端口。并且这些随机打开的端口每次扫描都不同。
发生了什么事,是不是有人黑了我,然后留下了一个后端口或类似的东西(不过,我猜后端口需要修复),如果不是这样,有人可以向我解释一下这种神秘的行为吗
PS:当我从另一台机器扫描同一台机器时,使用相同的扫描,nmap 告诉我所有端口都已关闭。
注:我用的是Ubuntu 15.10。
答案1
这是 Linux 内核的一项“功能”,当目标端口与内核为套接字选择的临时端口相同时,该功能允许套接字连接到自身。Nmap 版本 6.40 至 6.47 缺少针对这种特定情况的检查,因此自连接会随机出现在高编号端口中。升级到较新的 Nmap 版本(7.01 于 2016 年 12 月发布)可解决此问题并受益于许多新功能。
(之前在 StackExchange 上回答过:https://stackoverflow.com/questions/28506699/nmap-shows-random-open-ports-on-localhost-for-a-fraction-of-a-second)
答案2
您的计算机使用临时端口以客户端-服务器模型连接到其他计算机。例如,如果您在 Stack Exchange 上,您将通过端口 80 连接到服务器,但您的计算机使用的端口将是随机的高端口。
如果您真的想了解 nmap 如何解释数据,请在 nmap 扫描的同时在终端窗口中运行 netstat。
还,单程要知道您是否遭到黑客攻击,请关闭浏览器,以便尽可能少地建立连接,运行 netstat,并对外部地址执行 whois 查询。