¿Por qué un escaneo nmap -sT muestra los puertos filtrados pero -sS muestra los puertos cerrados?

Si guardó la salida XML de Nmap, hay un atributo de la etiqueta <state> llamada reason , que le dará la razón por la que Nmap eligió etiquetar un puerto cerrado, abierto o filtrado. Por lo general, esto es algo como "restablecer", "rechazar con conexión", "acuse de recibo" o "desconexión de puerto", según el tipo de escaneo y el estado del puerto. Esta información también se puede ver en la salida "normal" usando la marca --reason o configurando -d para la depuración.

Un error común es que la exploración SYN ( -sS ) es "más sigilosa" que la exploración TCP Connect ( -sT ). En un momento, y desde un punto de vista, esto era cierto: es decir, desde la perspectiva de la aplicación que se ejecuta en el host. En el pasado, antes de IDS y los firewalls de estado, su mejor indicación de un escaneo de puertos eran los registros de aplicaciones que mostraban las conexiones que se abrieron y cerraron de inmediato. El escaneo SYN, porque destruye la conexión antes de salir del kernel, nunca se cruza en la aplicación, por lo que estos registros no se escriben. Sin embargo, desde el punto de vista de la red, el comportamiento de un escaneo SYN semiabierto (SYN, SYN-ACK, RST) es bastante inusual y puede ser un indicador significativo de un escaneo de puertos, incluso si solo hay uno abierto. el puerto está escaneado. En este caso (al escanear una pequeña cantidad de puertos que probablemente estén abiertos, protegidos por IDS), el escaneo de TCP Connect puede ser "más sigiloso".

-Pn (anteriormente conocido como -P0 y -PN ) le indica a Nmap que se salte la fase de descubrimiento del host, y en su lugar asuma que todos los hosts están activos. Los detalles del descubrimiento del host están bien documentados, pero es posible que este comportamiento esté activando un servidor de seguridad adaptable. en el host. Los cortafuegos adaptativos pueden ser complicados, ya que obtiene una variedad de respuestas según su comportamiento y la velocidad del escaneo. Recomendaría reducir la exploración con cualquiera de las opciones de temporización y reducir la cantidad de puertos escaneados a unos pocos, hasta que obtienes resultados consistentes.

Si desea investigar más a fondo, habilite el indicador --packet-trace . Esto le permitirá rastrear los paquetes nmap enviados y recibidos para determinar el estado exacto del puerto.

Puede haber una variedad de factores que conducen a la diferencia en los resultados. Es difícil determinar la causa exacta sin más información.

Esto es casi seguramente debido a la pérdida de paquetes. Los tiempos funcionan de forma un poco diferente entre conectar y escanear SYN. Intente escanear un número menor de puertos con tiempos menos intensos. Además, si no estás en el último nmap, intenta actualizarlo, ya que están modificando continuamente los algoritmos de sincronización.