我只是观察 NMAP 对它报告的 3 个开放端口所做的事情。
我知道半扫描攻击是什么,但是发生的事情却没有意义。
NMAP 报告端口 139 和 445 均已打开.....一切正常。
但是当我查看控制位时,NMAP 一旦发现端口已打开,就不会发送 RST,它对端口 135 执行此操作,但对 139 和 445 不执行此操作。发生的情况如下:
(我省略了受害者的回复)
发送 2(SYN)
发送 16 (ACK)
发送 24 (ACK + PST)
发送 16 (ACK)
发送 17 (ACK + FIN)
我不明白为什么 NMAP 不“RST”端口 139 和 445??
答案1
无需发送RST。FIN足以关闭连接;RST通常仅在发生错误时使用。我怀疑 nmapRST在其他情况下会发送 ,因为有时它会在有缺陷的 TCP 堆栈中引发响应,即使在 被SYN过滤的情况下也是如此;如果它成功打开连接,那么它已经知道端口是打开的……