Osnove skeniranja portova

Bez obzira na to što je vremenom Nmap porastao gledano s funkcionalne strane, počeo je kao efikasan port skener, te mu to i dalje ostaje osnovna namjena. Jednostavna naredba nmap <ciljani host> skenira više od 1660 TCP portova na navedenom računalu. Iako je većina port skenera grupirala portove u otvorene ili zatvorene, Nmap ima granularniji pristup, te dijeli portove na: otvorene, zatvorene, filtrirane, nefiltriran, otvorene|filtrirane i zatvorene|filtrirane.

Gore navedena stanja ne potiču od stvarnih stanja portova, već su opis onoga što Nmap u stvari vidi. Npr., ukoliko Nmap-om skenirate neku mrežu, dok ste fizički spojeni na nju, Nmap bi mogao reći da je port 135 otvoren, dok bi isti taj sken u slučaju da tu istu mrežu skenirate s interneta, najvjerovatnije rekao da je port filtriran (nalazi se iza vatrozida ili paket filtera).

Šest stanja portova kako ih Nmap prepoznaje

otvoren: Aplikacija aktivno prihvaća TCP konekcije ili UDP pakete na navedenom portu. To je ujedno i cilj skoro svakog skeniranja. Osobe koje se bave sigurnošću znaju da je svaki otvoreni port, potencijalno mjesto napada. Napadači i penetration testeri žele iskoristiti otvorene portove, dok ih administratori pokušavaju zatvoriti ili zaštititi vatrozidima, bez da zabrane pristup legitimnim korisnicima. Skeniranje otvorenih portova je zanimljivo ne samo za sigurnosne skenove, već i u slučaju kad želite saznati koji servisi i aplikacije su dostupni na mreži.
zatvoren: Zatvoreni port je dostupan (odgovorio je na Nmap-ov upit), ali na njemu ne sluša niti jedna aplikacija. Zatvoreni port nam govori da se na toj IP adresi nalazi host koji je upaljen, koji najvjerovatnije nije iza vatrozida ili paket filtera, a to nam može pomoći i i otkrivanju verzije OS-a. Kako su zatvoreni portovi dostupni (nitko nam nije zabranio pristup do njih), isplati se kasnije ponoviti sken, jer možda će kasnije biti otvoreni. Administratori se trude zabraniti pristup takvim portovima korištenjem vatrozida i paket filtera, u tom bi slučaju port bio filtriran, a ne zatvoren (što je objašnjeno u nastavku).
filtriran: Nmap ne može ustanoviti da li je port otvoren ili ne, jer neki uređaj (vatrozid, pravila na ruteru, paket filter) blokira upite prema tom portu. Ti su portovi frustrirajući za hakere, jer ne daju gotovo nikakve informacije. Ponekad odgovaraju s ICMP porukom o grešci poput tip 3 kod 13 (odredište je nedostupno - komunikacija administrativno zabranjena), ali filteri koji samo odbace paket i ne daju nikakav odgovor na njegu su najčešći. Zbog toga Nmap mora poslati upit više puta kako bi bio siguran da je paket odbačen zbog filtriranja, a ne zbog mrežnog zagušenja te samim tim usporava skeniranje.
nefiltriran: Ovo stanje znači da je port dostupan, ali Nmap ne može ustanoviti da li je otvoren ili zatvoren. Samo ACK sken (koji se koristi za otkrivanje pravila na vatrozidu može vratiti nefiltriran kao odgovor. Skeniranje nefiltriranih portova nekom drugom metodom (poput Windows skena, SYN skena ili FIN skena može dati odgovor na pitanje da li je port otvoren ili zatvoren.
otvoren|filtriran: Nmap okarakterizira port ovim stanjem kada nije u mogućnosti ustanoviti da li je port otvoren ili filtriran. To se dogodi u situacijama kada na upit ne dobije nikakav odgovor. Nedostatak odgovora može značiti da je paket filter odbacio paket i/ili bilo kakav odgovor koji je taj paket inicirao. Samim tim Nmap nije siguran da li je port otvoren ili filtriran. UDP, IP protokol, FIN Null i Xmas scan mogu klasificirati port ovim stanjem.
zatvoren|filtriran: U slučaju kad Nmap ne može ustanoviti da li je port zatvoren ili filtriran, okarakterizirat će ga ovim stanjem. IPID Idle Scan je jedina sken metoda koja može vratiti ovakav rezultat.