NMAP的不同结果:过滤+NMAP包装

Question

什么原因可能是NMAP在扫描时给出了不同的结果：

1. 大容量域？
2. 启用服务检测？

第一个问题

当扫描域X是其中一部分的散列时，我得到的结果是：

PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   filtered     smtp
80/tcp   open     http

当单独扫描同一个域X时：

PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   open     smtp
80/tcp   open     http

那么，为什么它显示过滤作为状态扫描散装-当单独扫描时，它显示状态为打开？

第二个问题：

当我启用服务检测(-sV)时，这就是我单独获得的域X扫描的结果：

PORT     STATE    SERVICE      VERSION
21/tcp   open     tcpwrapped
22/tcp   open     tcpwrapped
25/tcp   open     smtp         Postfix smtpd
80/tcp   open     http         Apache httpd

为什么端口21和22的服务从突然的the包装中消失？

同样的行为存在于再次大容量扫描和服务检测时。

这是有道理的！

有没有人知道我如何扫描散装，而没有得到一个“how包装”或“过滤”的结果？

谢谢!

Answer 1

你对许多IPs的“大容量”扫描可能触发了防火墙或IPS来丢弃探针，而不是让它们通过。“尝试在同一端口上连接多个不同的is”的模式很容易被检测到。这很可能是filtered端口状态的原因。放慢你的扫描速度，直到你没有越过IPS认为是“很多”的阈值。

在第一次扫描中，Nmap没有试图探测服务，而只是确定端口的状态。因为它没有试图探测该服务，所以它列出了在这个nmap-services文件中查找该端口号时常用的服务名称。这是"ftp“和"ssh”标签的来源。

在第二次扫描中，-sV选项告诉Nmap继续并尝试从服务获得响应，以便对其进行分类。可能有人使用端口21来运行web服务器，而不是FTP服务器。当它试图这样做时，目标立即关闭连接。这种行为通常是一个名为TCP包装器的程序的证据，如果远程IP (您的IP)不在已批准的列表中，该程序就会挂断这样的连接。其他网络设备可能会导致类似的结果，但仍将显示tcpwrapped字符串。Nmap不再对这些端口使用" FTP“或" SSH”，因为简单的FTP或SSH服务器不会这样做。

我建议放慢扫描速度以避免检测，并添加-v --reason选项以查看原因，并接收每个端口的TTL字段值。通过比较这些信息，可以知道反应(或没有反应)是从哪里来的--你和目标之间的目标或东西。