端口80上带有nmap的Bug

Question

首先，感谢您抽出时间阅读以下内容:)。

我在一家公司工作，在那里我正在开发一个自动端口扫描工具，基本上，它每天扫描我公司公共if的一些端口，如果有什么奇怪的东西，它会发送电子邮件。

命令行：

nmap -p1-1024 -sS host

问题:我目前面临一个非常奇怪的问题，当我扫描我公司的ips (端口80打开)时，只要nmap扫描端口80 (即nmap发送一个SYN，然后接收一个SYN，因为端口80是打开的)，它就会循环到扫描结束。我的意思是，nmap会像往常一样扫描所有其他端口，但是在扫描结束之前不会停止发送SYN到端口80。在tcpdump中，我们清楚地看到我们从服务器接收SYN。更多，nmap显示端口打开在扫描结束。

网络：--我是通过外部互联网连接进行扫描的，所以当我向服务器发送SYN时，它会在我公司的F5负载均衡器上，然后在Cisco防火墙上，然后在服务器上进行。

我所做的：

• 查看其他端口，看看它是否仅用于端口80，是的，它仅在端口80上，例如端口443打开nmap只做一个SYN，然后接收一个SYN并停止发送SYN到端口443。
• 用扫描而不是TCP扫描检查，问题相同。
• 试图从我公司的内部网络扫描服务器的私有IP，没问题，nmap一旦收到第一个SYN就停止发送SYN。
• 检查另一台服务器(我的私有服务器和scanme.nmap.org)，当他收到SYN时，端口80，nmap stop没有问题。

因此，似乎F5正在修改TCP数据包，但是即使他收到了SYN响应，Nmap为什么仍然检查这个端口呢？

谢谢。

Answer 1

Nmap有内置的拥塞控制和其他定时优化，这些优化依赖于在任何给定时间了解网络的状况。由于这个原因，它选择了第一个被扫描的端口(通常是端口80)来获得响应，并在整个扫描过程中轮询它。由此，它可以收集往返时间(RTT)，用于确定其他可能没有响应的端口的超时时间。它还可以检测何时丢包，并将减慢，直到网络条件改善。

TL;DR - Nmap知道它是开放的，并使用它作为心跳。