Networking 端口80上存在nmap错误

首先，感谢您花时间阅读本文：）

我在一家公司工作，我正在开发一个自动端口扫描工具，基本上，它每天扫描我公司公共IP的一些端口，如果有什么奇怪的事情，就会发送电子邮件

命令行：

nmap -p1-1024 -sS host

问题： 我目前面临一个非常奇怪的问题，当我扫描公司的IP时，端口80打开，只要nmap扫描端口80（即，nmap发送一个SYN，然后接收一个SYN-ACK，因为端口80打开），它就会在其上循环，直到扫描结束。我的意思是，nmap将像往常一样扫描所有其他端口，但在扫描结束之前不会停止向端口80发送SYN。在tcpdump中，我们清楚地看到我们从服务器接收SYN-ACK。此外，nmap在扫描结束时显示打开的端口

网络： 我正在从外部互联网连接进行扫描，因此当我向服务器发送SYN时，它将进入我公司的F5负载平衡器，然后进入Cisco ASA防火墙，然后进入服务器

我所做的：

nmap -p1-1024 -sS host

• 查看其他端口，看它是否仅适用于端口80，是的，它仅适用于端口80，例如，在端口443打开的情况下，nmap只需执行SYN，然后接收SYN-ACK并停止向端口443发送SYN
• 使用TCP连接扫描而不是TCP SYN扫描检查，出现相同问题
• 尝试从我公司的内部网络扫描服务器的私有IP，没有问题，nmap在收到第一个SYN-ACK后停止发送SYN
• 检查了另一台服务器（我的私有服务器和scanme.nmap.org），端口80上没有问题，一旦收到SYN-ACK，nmap就会停止

因此，F5似乎正在修改TCP SYN-ACK数据包，但为什么即使Nmap收到SYN-ACK响应，他仍在检查此端口

---

谢谢。

Nmap具有内置的拥塞控制和其他时间优化功能，这些功能取决于在任何给定时间了解网络状况。出于这个原因，它会从第一个扫描的端口（通常是端口80）中选择一个获得响应的端口，并在整个扫描过程中轮询它。由此，它可以收集往返时间（RTT），用于确定可能不会给出响应的其他端口的超时。它还可以检测数据包何时被丢弃，并将减慢速度，直到网络状况改善

---

TL；Nmap博士知道它是开放的，并将它用作心跳。

是的，就是这样，非常感谢！