Я сканую дві мережі (з яких одну я дуже добре знаю, а іншу керує хтось інший, а інформація є рідкою). Метою є перевірка відповідності (наявність AV-слухача на машинах) за допомогою nmap -sV -p9999 <network>(спрощена версія, повний налаштовує вихід XML тощо).
У мережі я знаю, що результати чисті: -sVповертає послідовну інформацію відповідно до того, що очікується (якщо AV є - заданий рядок, якщо його немає - інший рядок або закритий порт).
В іншій мережі, однак, вона дуже сильно відрізняється, оскільки більшість результатів вказують на відкритий порт 9999 (нормально поки що), але без <service>інформації.
АВ-сигнали (і, отже, служби) на всіх машинах повинні бути однаковими (таким чином, очікувана однакова відповідь на службовий зонд).
Чи маєте ви уявлення про те, що може заблокувати зонди (але не сканування SYN)? Порт не захищений (стан "відкритий"), тож, можливо, HIPS?
Дякую за будь-які підказки