Probabilmente stai colpendo un dispositivo IDS / IPS ben configurato.
snort può facilmente rilevare la scansione delle porte in corso con sfPortscan filtro (il -sS è praticamente una firma" portscan in progress ") e oltre a registrare l'attacco, può essere configurato per eseguire un risposta attiva . Queste risposte possono essere semplici come l'invio di un RST o ricco come la regola " reagire ". Il comportamento predefinito della risposta "reazione" è di rispondere con un messaggio HTTP 403 Forbidden
, ma possono anche configurarlo per inviare qualsiasi dato arbitrario desiderato. Il comportamento di reazione non è limitato alle richieste della porta 80, neanche. snort invierà la risposta indipendentemente dal numero di porta .
Per testare questa teoria, mentre esegui un portscan del target, dalla stessa macchina che sta facendo la scansione, prova ad aprire qualsiasi vecchia porta su quel target con un browser o netcat. Se si riceve la risposta HTTP 403 Proibita da una porta non HTTP, è probabile che ciò accada.
Sto indovinando che nmap non interpreta la risposta, segnala solo che la connessione socket è stata stabilita, quindi la sta segnalando come porta aperta. Invece di indovinare, tuttavia, puoi impostare l'opzione --packet-trace
su nmap per vedere cosa stai effettivamente recuperando.
Puoi leggere il manuale di snort qui .