Esto es técnicamente falso: Nmap no envía un RST en ningún punto del escaneo SYN medio abierto. En cambio, se basa en el sistema operativo de la máquina de escaneo para enviar paquetes RST en respuesta a lo que el kernel ve como paquetes SYN-ACK no solicitados. Este es el mismo mecanismo que prueba exploración ACK de Nmap ( -sA
) para trazar las reglas del firewall. Por supuesto, esto significa que si su sistema de escaneo tiene un firewall, es muy probable que descarte paquetes SYN-ACK no solicitados en lugar de responder con RST, por lo que posiblemente podría crear una condición de inundación SYN. Es mejor desactivar tales reglas o agregar una regla explícita para permitir el envío de RST en este caso cuando se realizan grandes escaneos para que no cargue a sus objetivos.
Con respecto al sigilo, es importante conocer tu historial. Nmap fue lanzado en 1997, precediendo a BlackICE, Snort y Bro (todos creados en 1998). En el momento en que se denominó el "escaneo SYN oculto", un sistema de detección de intrusiones era un programa para verificar sus registros en busca de intentos fallidos de conexión. Como SYN scan nunca completa un protocolo de enlace TCP, la aplicación nunca recibe notificación. El evento muere en el kernel y no hay nada en el registro de la aplicación que indique que algo salió mal. En estos días, sin embargo, la situación está casi invertida; es mucho más probable que las organizaciones tengan una red IDS / IPS que una capacidad de análisis SIEM / UTM / log correctamente configurada.