Die Verwendung der Traceroute-Option von Nmap zeigt nur einen Hop und ist extrem schnell. Ich verstehe, dass es anders als Traceroute funktioniert, da es versucht, den richtigen TTL zu erraten, anstatt mit 1 zu beginnen. Aber warum ist die RTT so schnell? Ich habe dies 10 Mal wiederholt und die RTT liegt immer im Bereich von 0,02 - 0,03 ms.
# nmap -Pn -T4 --traceroute xxx.xxx.xxx.xxx
Starting Nmap 6.40 ( http://nmap.org ) at 2019-06-25 12:25 PDT
Nmap scan report for xxx.xxx.xxx.xxx
Host is up (0.00013s latency).
Not shown: 991 filtered ports
PORT STATE SERVICE
<redacted>
TRACEROUTE (using port 113/tcp)
HOP RTT ADDRESS
1 0.03 ms xxx.xxx.xxx.xxx
Nmap done: 1 IP address (1 host up) scanned in 4.74 seconds
Bei Verwendung des Standards traceroute -Twerden 8 Hops angezeigt. Wenn dies 10 Mal wiederholt wird, ergibt sich ein endgültiger RTT-Bereich zwischen 0,77 und 1,20 ms. Beide Server sind über schnelles dediziertes Internet in einem Umkreis von 10 Meilen voneinander verbunden, aber 0,03 ms RTT erscheinen angesichts der Router-Verarbeitungszeit unrealistisch.
Antwort1
Ihre Protokolle zeigen, dass Nmaps Traceroute funktioniert, indem TCP-Probes an Port 113 (Ident-Dienst) gesendet werden. Ich vermute, dass die Firewall Ihres Servers aus irgendeinem Grund ausgehende Verbindungen zu diesem Port blockiert – und zwar indem sie ein TCP RST vortäuscht, das Nmap als reguläre Antwort auf die Probe interpretiert. (Denn in den meisten Fällen hätte es tatsächlich ein TCP RST vom letzten Hop erhalten.)
Vergleichen mit traceroute --tcp=113.
Das Ablehnen eingehender Ident-Verbindungen ist normal. Dasselbe für ausgehende Verbindungen zu tun ist jedoch fast immer völlig nutzlos. (Cargo-Culting-Firewall-Regeln?)