El uso de la opción traceroute de Nmap muestra solo un salto y es extremadamente rápido. Entiendo que funciona de manera diferente a traceroute porque intenta adivinar el TTL correcto en lugar de comenzar con 1. Pero, ¿por qué el RTT es tan rápido? He repetido esto 10 veces y el RTT siempre está en el rango de 0,02 a 0,03 ms.
# nmap -Pn -T4 --traceroute xxx.xxx.xxx.xxx
Starting Nmap 6.40 ( http://nmap.org ) at 2019-06-25 12:25 PDT
Nmap scan report for xxx.xxx.xxx.xxx
Host is up (0.00013s latency).
Not shown: 991 filtered ports
PORT STATE SERVICE
<redacted>
TRACEROUTE (using port 113/tcp)
HOP RTT ADDRESS
1 0.03 ms xxx.xxx.xxx.xxx
Nmap done: 1 IP address (1 host up) scanned in 4.74 seconds
El uso estándar traceroute -Tmuestra 8 saltos. Repetir esto 10 veces muestra un rango de RTT final entre 0,77 y 1,20 ms. Ambos servidores tienen una conexión a Internet rápida y dedicada a una distancia de 10 millas entre sí, pero un RTT de 0,03 ms parece poco realista teniendo en cuenta el tiempo de procesamiento del enrutador.
Respuesta1
Sus registros muestran que el traceroute de Nmap funciona enviando sondas TCP al puerto 113 (servicio de identificación). Supongo que el firewall de su servidor, por alguna razón, bloquea las conexiones salientes a ese puerto – y lo hace falsificando un TCP RST, que Nmap interpreta como una respuesta regular a la sonda. (Porque, de hecho, habría recibido un TCP RST del salto final, en la mayoría de los casos).
Comparar con traceroute --tcp=113.
Rechazar conexiones Ident entrantes es normal. Sin embargo, hacer lo mismo con las conexiones salientes casi siempre es completamente inútil. (¿Reglas de cortafuegos de culto a la carga?)