Voy a intentar explicar mi pregunta de la manera más sencilla posible.
Tengo un script que usa nmap para buscar puertos abiertos y guardar el resultado en un archivo. La próxima vez que escanee un host, mueve el antiguo informe de nmap guardado y crea uno nuevo, por último, compara estos 2 informes para ver qué puertos se han cambiado. Es decir, si una máquina tuviera un puerto, digamos (80 / tcp, 22tcp) abierto en el resultado del escaneo anterior; y si el nuevo resultado del escaneo consiste solo en (80 / tcp), entonces el script notifica a un canal inactivo como:
CHANGE OCCURED FROM (80/tcp , 22tcp) ===> (80/tcp)
últimamente, he estado recibiendo demasiadas notificaciones de algunas de las máquinas, sigue cambiando el puerto, es decir, de ABIERTO a CERRADO y CERRADO a ABIERTO. Ahora, esta secuencia de comandos se ejecuta cada 15 minutos y realmente no estoy seguro de por qué para algunas de las máquinas esto sigue sucediendo, ya que he visto que los puertos no cambian al iniciar sesión manualmente en las máquinas.
No hay IDS en las máquinas que muestran este comportamiento. ¿Es posible que las máquinas estén reduciendo el tráfico NMAP?