Моя машина имеет IP-адрес 192.168.1.50. Когда я выполняю следующее nmap-сканирование nmap -p- -sT -Pn 192.168.1.50 с той же машины, я получаю при каждом сканировании несколько случайных открытых портов. И эти случайные открытые порты отличаются с каждым сканированием.

Что происходит, кто-то взломал меня и оставил задний порт или что-то в этом роде (хотя, думаю, нужно исправить задний порт), если это не так, может кто-нибудь объяснить мне это таинственное поведение

PS: когда я сканирую ту же машину с другого, с тем же сканированием, nmap говорит мне, что все порты закрыты.

PS: я пользуюсь Ubuntu 15.10.

2 ответа2

1

Это "особенность" ядра Linux, которая позволяет сокету соединяться с самим собой, когда порт назначения совпадает с эфемерным портом, который ядро выбирает для сокета. В версиях Nmap с 6.40 по 6.47 отсутствовала проверка для этого конкретного случая, поэтому самостоятельные соединения отображаются случайным образом в портах с большим номером. Обновите его до новой версии Nmap (версия 7.01 была выпущена в декабре 2016 года), чтобы решить эту проблему и воспользоваться множеством новых функций.

(Ранее отвечал на StackExchange: https://stackoverflow.com/questions/28506699/nmap-shows-random-open-ports-on-localhost-for-a-fraction-of-a-second)

0

Ваша машина использует временные порты для подключения к другим машинам в модели клиент-сервер. Например, если вы используете Stack Exchange, вы будете подключаться к серверу через порт 80, но порт, который использует ваш компьютер, будет случайным высоким портом.

Если вы действительно хотите увидеть, как nmap интерпретирует данные, запустите netstat в окне терминала вместе со сканированием nmap.

Кроме того, один из способов узнать, что вас взломали, - закрыть браузер, чтобы у вас было как можно меньше установленных соединений, запустить netstat и выполнить whois-запрос по внешним адресам.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .