Usar a opção traceroute do Nmap mostra apenas um salto e é extremamente rápido. Entendo que funciona de maneira diferente do traceroute, pois tenta adivinhar o TTL correto em vez de começar com 1. Mas por que o RTT é tão rápido? Repeti isso 10 vezes e o RTT está sempre na faixa de 0,02 a 0,03 ms.
# nmap -Pn -T4 --traceroute xxx.xxx.xxx.xxx
Starting Nmap 6.40 ( http://nmap.org ) at 2019-06-25 12:25 PDT
Nmap scan report for xxx.xxx.xxx.xxx
Host is up (0.00013s latency).
Not shown: 991 filtered ports
PORT STATE SERVICE
<redacted>
TRACEROUTE (using port 113/tcp)
HOP RTT ADDRESS
1 0.03 ms xxx.xxx.xxx.xxx
Nmap done: 1 IP address (1 host up) scanned in 4.74 seconds
Usar o padrão traceroute -Tmostra 8 saltos. Repetir isso 10 vezes mostra um intervalo RTT final entre 0,77 - 1,20 ms. Ambos os servidores estão em Internet rápida e dedicada, a menos de 16 quilômetros um do outro, mas o RTT de 0,03 ms parece irreal, considerando o tempo de processamento do roteador.
Responder1
Seus logs mostram que o traceroute do Nmap funciona enviando testes TCP para a porta 113 (serviço de identificação). Meu palpite é que o firewall do seu servidor, por algum motivo, bloqueia conexões de saída para essa porta – e faz isso falsificando um TCP RST, que o Nmap interpreta como uma resposta regular à investigação. (Porque de fato teria recebido um TCP RST do salto final, na maioria dos casos.)
Compare com traceroute --tcp=113.
Rejeitar conexões Ident de entrada é normal. Fazer o mesmo para conexões de saída, entretanto, é quase sempre completamente inútil. (Regras de firewall para culto de carga?)