Quali sono i possibili motivi per cui una scansione nmap -sT
mostrerebbe "porte filtrate" ma una scansione nmap -sS
identica mostra "porte chiuse"? Comprendo che -sT
è un completo TCP Connect, che è più facile da rilevare (e da filtrare) rispetto alla scansione% open di -sS
. Ma perché?
Entrambi i tipi di scansione inviano un pacchetto SYN; entrambi i tipi di scansioni devono attendere un SYN | ACK o un RST. L'unica differenza che vedo è che la scansione semiaperta invierà un RST invece di terminare l'handshake della connessione.
Inoltre, ho eseguito il comando nmap -sT -P0
che indica a nmap di non inviare prima un ping (penso che sia in genere sia un ping TCP che un ping ICMP). Facendo questo comando, risponde con "porte chiuse" che è identica alla risposta di scansione -sS
. È perché -sT
viene normalmente bloccato a causa del ping prima?
Questa è la mia ipotesi, ma voglio alcune opinioni più esperte su quello che sto vedendo e su quali tipi di scansioni posso fare per approfondire. A proposito, sono ovviamente autorizzato a fare queste scansioni (lavoro in classe).