No está proporcionando mucha información sobre el host de destino. ¿Es un host propio y configurado? ¿O es esto una exploración de un host de terceros?
Suponiendo que sea un host de terceros, sugeriría que la razón por la que observa este tipo de comportamiento es porque este host está detrás de algún tipo de sistema de prevención de intrusos en la red o firewall con estado que implementa Golpeo del puerto .
Cuando realiza exploraciones de nmap sin especificar explícitamente el rango de puertos, las exploraciones de nmap por defecto son los 1000 puertos más comunes. Durante esta exploración, nmap accidentalmente * se conecta a la secuencia correcta de puertos para desencadenar un "golpe", lo que resulta en una modificación dinámica de las reglas del firewall para permitir conexiones a los puertos que mencionó.
Cuando especifique explícitamente el rango de puertos, el "protocolo secreto" de conectarse a una secuencia de puertos específica nunca ocurre y el firewall continúa eliminando el tráfico destinado a esos puertos.
Dado el hecho de que observa este comportamiento tanto con los 1000 puertos principales como con otros rangos grandes arbitrarios, supondría que el "knock" es una colección y no una secuencia de puertos, en otras palabras, el orden de las conexiones a esos puertos no importa.
[*] Esto podría no ser completamente accidental si este host es parte de algún desafío de seguridad de la red o un honeypot. Es muy improbable que alguien despliegue dicho mecanismo sin molestarse en probarlo con las herramientas de escaneo de seguridad / red convencionales.