nmap -协议发现不适用于分段数据包。

Question

使用nmap进行协议发现，(nmap myhost -sO)可以在我的目标上识别以下内容。注原因开关也被使用。

 PROTOCOL STATE SERVICE REASON
1        open  icmp    echo-reply ttl 255
6        open  tcp     proto-response ttl 255

如果我然后添加-f来分割数据包以规避ids /防火墙(nmap myhost -sO -f)

扫描不再将TCP报告为协议，而只报告ICMP。

PROTOCOL STATE SERVICE REASON
1        open  icmp    echo-reply ttl 255

为什么分割数据包会停止对TCP的检测，防火墙是在主动丢弃这些数据包，还是它不理解它们呢？

更新：

我尝试以8的增量手动设置mtu，直到再次发现TCP，这发生在mtu 24上。所以nmap myhost -sO -mtu 24

又回到了

PROTOCOL STATE SERVICE
1        open  icmp
6        open  tcp

Answer 1

最有可能的情况是，您有一个防火墙，它正在丢弃无法确定策略的数据包。一个24的MTU足够完整的IP报头加上TCP报头的源端口和目标端口。下一个最低的有效MTU是16，这不足以包括目标IP地址。防火墙可能不会重新组装数据包，因此如果没有足够的确定，它就会丢弃入站数据包。另一方面，对于ICMP来说，所需要的可能只是协议号。