我有一个 VPS,我正在扫描它以确保一切都在检查之中。常规 SYN 扫描报告端口 25 和 80 已打开(它们应该是打开的)。当我运行空闲扫描但是,我得到的结果是,所有扫描的 1000 个端口均已关闭|过滤。我在其他几台服务器上尝试了 SYN 扫描和空闲扫描,还在执行空闲扫描时尝试了不同的僵尸。
在另一台服务器上,我正在对此进行测试,它打开了大约 9 个端口,但空闲扫描再次显示所有 1000 个端口都已关闭|过滤。
知道为什么会发生这种情况吗?我已阅读有关空闲扫描的文档,并了解到由于其工作方式,它无法确定已关闭端口和已过滤端口之间的区别,但由于这些服务器的端口是开放的,我不明白为什么空闲扫描会将它们选为已关闭或已过滤。
答案1
nmap Idle Scan 非常脆弱。从空闲扫描信息:
执行 IP ID 空闲扫描的第一步是找到合适的僵尸。它需要以全局(而不是与其通信的每个主机)为基础逐渐分配 IP ID 数据包。它应该是空闲的(因此得名扫描),因为无关的流量会破坏其 IP ID 序列,从而混淆扫描逻辑。攻击者与僵尸之间以及僵尸与目标之间的延迟越低,扫描进行得越快。
听起来你的僵尸不太合适:要么它不够空闲,要么它对 IP ID 使用“随机正增量”策略(这也会混淆扫描逻辑),要么它根据它正在交谈的主机分配 IP ID 而不是使用全局计数器(因此你的 IP ID 独立于其他流量,这完全破坏了扫描逻辑)。