Вопрос про tcp

И еще такой вопрос. Если всё это происходит в локальной сети, запись в arp таблице же в любом случае появится? Не важно, открыт порт или нет

Гугл пробовал? https://superuser.com/questions/744848/tcp-vs-udp-sending-data-on-a-closed-port

reject vs drop

Ты близок к истине, traceroute дефолтно шлёт UDP, а с ключом -T - TCP (и только с ключом -I - настоящие пинги). Однако работоспособность этих методов зависит от разных обстоятельств. Если на том хосте в файрволе настроен дроп непонятных пакетов - никакого ответа не придёт.

ARP в локалке будет в любом случае, если хост вообще существует. По ARP тоже можно пинги делать, вообще без отсылки TCP/UDP/ICMP. И хотя теоретически ARP тоже можно закрыть персонально от тебя, но так обычно никто не делает, и даже не знаю можно ли в дефолтном линуксе такое.

nmap разве не решает все твои задачи?

Мне показалось что его задача - теоретическое изучение работы сети. По крайней мере никаких практических целей он не ставил.

Посмотри код nmap и rfc по tcp и udp. Например RFC1122 Section 4.1.3.1

Спасибо!

nmap — open source

Ну и что? Читать человеческие описания протоколов намного удобнее чем расшифровывать исходник. Хотя иногда бывает, что человеческого описания нет, но tcp/ip - явно не тот случай.

Я это недавно делал.

https://github.com/s3rgeym/stealth-port-scan/blob/main/stealth_port_scan.py

Отправляешь SYN-пакет, если порт закрыт, то ничего в ответ не приходит, иначе - SYN-ACK

можно ли по реакции понять есть такой хост

вроде ошибка должна быть

Мне показалось или ты изобрёл tcping?