我们有一个实验室,我们扫描了一个存在漏洞的系统,其中很多端口都关闭了,所以它按预期返回了很多 ICMP 消息,而且花了很长时间。但后来我尝试扫描我自己的 Debian 10 系统,我预计会看到同样的结果,因为据我所知,我还没有设置防火墙,但它运行得非常快,只收到来自开放端口的 ICMP 消息。我用 wireshark 检查了一下,确定没有 ICMP 响应。
但为什么?我不应该收到很多 ICMP 消息吗?我的操作系统是否有某些内容阻止像“nmap -sU XX.XX.XX.XX”这样的扫描?
答案1
默认的 Linux 内核行为是使用 ICMP 类型 3 进行响应,因此您可以确实有数据包过滤器默默地在 nmap 和目标之间的某个位置丢弃数据包,或者响应机器将 icmp 响应路由到接口,从该接口它们无法到达您。