Почему при SYN-сканировании портов отсутствует RST?

Question

[dnata]

При SYN-сканировании портов не отправляется RST после SYN+ACK. Подскажите, пожалуйста, в чем причина?

Answer 1

[Saenara]

По идее, этот RST должна генерировать операционная система сканера в ответ на левый (с её точки зрения) SYN/ACK, о котором она ничего не знает (ибо сканер отсылает самодельный IP пакет через raw сокет, мимо TCP/IP стека операционной системы). Однако на ОС сканера может быть настроен statefull firewall с политикой DROP, или режим blackhole, когда когда попытки соединения на неоткрытые порты или левые пакеты просто отбрасываются.

Comments

[dnata]

Spasibo!
A tut, pri polnom -T scan, port moey OS dostupen iz-vne, da?
V pravilax firewall ne ukazan konkretno etot port, mne trudno razobrat'sa s princypom ix vybora.

[Saenara]

При таком сканировании nmap открывает полноценный tcp сокет средствами операционной системы, поэтому она в курсе и принимает пакеты ответа.

Т.е. при SYN сканировании пакет проходит мимо TCP стэка операционки. Поэтому в ответ на продолжение хэндшейка со стороны сканируемой системы она либо посылает RST, либо просто отбрасывает пакет, если так настроен firewall (либо средствами ОС, где возможно).

При Connect сканировании nmap использует стэк операционной системы для отправки пакетов, поэтому ОС в курсе, что с порта 80 сканируемой системы придёт (или, возможно, не придёт) подтверждение хэндшейка на локальный порт 7216, firewall тоже об этом знает (от ОС) и пропускает пакет.

Локальные порты при сканировании (да и при любом исходящем соединении) выбираются псевдослучайным образом (у каждой ОС свой алгоритм) из имеющихся свободных в пределах сконфигурированного диапазона.

$ sysctl net.ipv4.ip_local_port_range
net.ipv4.ip_local_port_range = 32768	60999

Answer 2

[krosh]

Потому что так работает nmap. RST не отправляется специально:

Эту технику часто называют сканированием с использованием полуотрытых соединений, т.к. вы не открываете полного TCP соединения. Вы посылаете SYN пакет, как если бы вы хотели установить реальное соединение и ждете. Ответы SYN/ACK указывают на то, что порт прослушивается (открыт), а RST (сброс) на то, что не прослушивается. Если после нескольких запросов не приходит никакого ответа, то порт помечается как фильтруемый. Порт также помечается как фильтруемый, если в ответ приходит ICMP сообщение об ошибке недостижимости (тип 3, код 1,2, 3, 9, 10 или 13).

https://nmap.org/man/ru/man-port-scanning-techniqu...

Если запускать nmap с правами обычного пользователя, у него не будет доступа к сети в обход ОС и тогда сканирование пойдет CONNECT-методом. Это дольше по времени, заметнее на целевой системе и вот тогда RST-пакет отправляется.

Comments

[dnata]

Нет, с выключенным firewall ОС сканера действительно отправит RST.

[krosh]

dnata, Предполагаю, что это лишь потому, что Вы запускаете сканирование без прав администратора и nmap сканирует CONNECT'ом.

[dnata]

С опцией -sS нужны права, иначе - ошибка.

[krosh]

dnata, я тут повнимательней посмотрел на вопрос. Тут дело не в методе сканирования, а в настройках МЭ на хосте сканера, либо в неправильной установке npcap.