Lo más probable es que esté golpeando un dispositivo IDS / IPS bien configurado.
snort puede detectar fácilmente el escaneo de su puerto en progreso con el sfPortscan filter (el -sS es prácticamente una firma de" portscan in progress "), y además de registrar su ataque, puede configurarse para realizar una respuesta activa . Estas respuestas pueden ser tan simples como enviarle un RST, o tan rico como la regla " reaccionar ". El comportamiento predeterminado de la respuesta "reaccionar" es responder con un mensaje HTTP 403 Forbidden
, pero también pueden configurarlo para enviar cualquier dato arbitrario que se desee. El comportamiento de reacción no se limita a las solicitudes del puerto 80, tampoco. snort enviará la respuesta independientemente del número de puerto .
Para probar esta teoría, mientras realiza un escaneo de puertos del objetivo, desde la misma máquina que realiza el escaneo, intente abrir cualquier puerto antiguo en ese objetivo con un navegador o netcat. Si recibe la respuesta prohibida de HTTP 403 de un puerto no HTTP, es probable que eso esté sucediendo.
Supongo que nmap no interpreta la respuesta, solo informa que se estableció la conexión de socket, por lo tanto, le informa a usted como un puerto abierto. Sin embargo, en lugar de adivinar, puedes configurar la opción --packet-trace
en nmap para ver lo que realmente estás recuperando.
Puede leer el manual de snort aquí .