Wir hatten ein Labor, in dem wir ein anfälliges System mit vielen geschlossenen Ports gescannt haben, sodass es wie erwartet viele ICMP-Nachrichten zurückgab und lange dauerte. Aber dann versuchte ich, mein eigenes Debian 10-System zu scannen, und erwartete dasselbe, da ich meines Wissens keine Firewall eingerichtet habe, aber es ging sehr schnell und empfing nur ICMP-Nachrichten von den offenen Ports. Ich überprüfte es zur Sicherheit mit Wireshark und ja, keine ICMP-Antworten.
Aber warum? Sollte ich nicht auch viele ICMP-Nachrichten erhalten? Gibt es etwas in meinem Betriebssystem, das einen Scan wie „nmap -sU XX.XX.XX.XX“ verhindert?
Antwort1
Das Standardverhalten des Linux-Kernels ist es, mit ICMP Typ 3 zu antworten. Sie können also entwederhabeEin Paketfilter, der Ihre Pakete stillschweigend irgendwo zwischen NMAP und dem Ziel ablegt, oder die antwortende Maschine leitet ICMP-Antworten an eine Schnittstelle weiter, von der aus sie Sie nicht erreichen können.