Non stai fornendo molte informazioni sull'host di destinazione. È un host che possiedi e ti sei configurato? Oppure si tratta di una scansione di un host di terze parti?
Supponendo che sia un host di terze parti, suggerirei che la ragione per cui osservi questo tipo di comportamento è perché questo host è dietro una sorta di Intrusion Prevetion System di rete o firewall stateful che implementa Port Knocking .
Quando si eseguono scansioni nmap senza specificare esplicitamente l'intervallo di porte, nmap esegue la scansione per impostazione predefinita delle 1000 porte più comuni. Durante questa scansione, nmap accidentalmente * si collega alla giusta sequenza di porte per innescare un "knock", il che comporta una modifica dinamica delle regole del firewall per consentire le connessioni alle porte che hai citato.
Quando specifichi esplicitamente l'intervallo di porte, l'"handshake segreto" di connessione a una specifica sequenza di porte non avviene mai e il firewall continua a far cadere il traffico destinato a quelle porte.
Dato il fatto che si osservi tale comportamento sia con le migliori 1000 porte comuni che con altri intervalli arbitrari di grandi dimensioni, suppongo che "knock" sia una collezione e non una sequenza di porte: in altre parole, l'ordine delle connessioni a tali porte non ha importanza.
[*] Questo potrebbe non essere del tutto casuale se questo host fa parte di una sfida di sicurezza della rete o di un honeypot. È altamente improbabile che qualcuno possa implementare questo meccanismo senza preoccuparsi di testarlo con strumenti di scansione di rete / sicurezza tradizionali.