为什么Nmap会在未使用的IP地址上显示端口开放？

我在工作中使用网络接入控制（NAC），我们注意到每个终端设备无论类型如何，都显示1720/TCP端口开放。当我在NAC设备的命令行界面执行nmap扫描时，确实发现1720/TCP端口以及其他预期开放的端口都处于开放状态。最奇怪的是，如果我对一个未使用的IP地址执行nmap -Pn [IP]，它仍然显示1720/TCP端口开放。

你认为问题可能出在哪里？是防火墙吗？我实在不知道从何入手。

答案

TCP端口1720用于H.323协议 - 显然有某个设备正在拦截这些连接尝试，并代表目标节点（无论是否存在）进行回复。运行数据包跟踪，你会看到每个SYN尝试都会返回SYN/ACK，让nmap认为存在监听/开放的端口。检查封装SYN/ACK段的帧的源MAC地址，以确定实际的源节点（对于该子网）。如果目标距离一跳或多跳，需要在每一跳上重复跟踪。