Cercherò di spiegare la mia domanda nel modo più semplice possibile.
Ho uno script che usa nmap per cercare porte aperte e salvare il risultato in un file. La prossima volta che esegue la scansione di un host, sposta il vecchio rapporto nmap salvato e ne crea uno nuovo, infine confronta questi 2 rapporti per vedere quali porte sono state modificate. Cioè, se una macchina avesse una porta dire (80 / tcp, 22tcp) aperta nel risultato della scansione precedente; e se il nuovo risultato della scansione è costituito solo da (80 / tcp), lo script notifica un canale allentato come:
CHANGE OCCURED FROM (80/tcp , 22tcp) ===> (80/tcp)
quindi ultimamente ho ricevuto troppe notifiche da alcune delle macchine, continua a cambiare porta da APRI a CHIUDI e CHIUDE a APRIRE. Ora questo script viene eseguito ogni 15 minuti e non sono davvero sicuro del perché per alcune delle macchine questo continua a verificarsi poiché ho visto che le porte non cambiano registrando manualmente le macchine.
Non ci sono IDS sulle macchine che mostrano questo comportamento. È possibile che le macchine interrompano il traffico NMAP?