Questo è tecnicamente falso: Nmap non invia un RST in nessun punto della scansione SYN semiaperta. Invece, si basa sul sistema operativo della macchina di scansione per inviare pacchetti RST in risposta a ciò che il kernel vede come pacchetti SYN-ACK non richiesti. Questo è lo stesso meccanismo esaminato dalla scansione ACK di Nmap ( -sA
) a mappare le regole del firewall. Ovviamente, questo significa che se il tuo sistema di scansione ha un firewall, è molto probabile che cada pacchetti SYN-ACK non richiesti anziché rispondere con RST, quindi potresti potenzialmente creare una condizione di alluvione SYN. È meglio disattivare tali regole o aggiungere una regola esplicita per consentire l'invio di RST in questo caso quando si eseguono scansioni di grandi dimensioni in modo da non sovraccaricare i target.
Riguardo alla furtività, è importante conoscere la tua storia. Nmap è stato rilasciato nel 1997, prima di BlackICE, Snort e Bro (tutti creati nel 1998). Nel momento in cui la "stealth SYN scan" era così denominata, un Intrusion Detection System era un programma per controllare i log per tentativi di connessione falliti. Poiché la scansione SYN non completa mai un handshake TCP, l'applicazione non viene mai notificata. L'evento muore nel kernel e non c'è nulla nel registro dell'applicazione per indicare che qualcosa è andato storto. In questi giorni, tuttavia, la situazione è quasi invertita; è molto più probabile che le organizzazioni abbiano un network IDS / IPS di una capacità di analisi SIEM / UTM / log configurata correttamente.