Home page logo
/
Intro Reference Guide Book Install Guide
Download Changelog Zenmap GUI Docs
Bug Reports OS Detection Propaganda Related Projects
In the Movies In the News

Nmap Network Scanning

Fondamenti di port scanning

Nonostante Nmap nel corso degli anni abbia ampliato le proprie funzionalita`, inizio` come un port scanner e tale resta la sua funzione di base. Il semplice comando nmap <target> effettua una scansione si piu` di 1660 porte TCP sull'host <target>. Mentre molti port scanner considerano tutte le porte chiuse o aperte, Nmap e` molto piu` preciso. Divide le porte in sei categorie o stati: open (aperta), closed (chiusa), filtered (filtrata), unfiltered (non filtrata), open|filtered (aperta|filtrata), o closed|filtered (chiusa|filtrata).

Questi stati non sono proprieta` intrinseche delle porte stesse, ma descrivono come Nmap le vede. Ad esempio, uno scan Nmap proveniente dalla stessa rete nella quale risiede l'obbiettivo puo` mostrare la porta 135/tcp come aperta, mentre una scansione nello stesso momento con gli stessi parametri ma proveniente da Internet puo` mostrare quella stessa porta come filtered.

I sei stati nei quali Nmap classifica le porte

open

Un'applicazione accetta attivamente su questa porta connessioni TCP o UDP. La ricerca di questo tipo di porte e` spesso l'obbiettivo primario del port scanning. Chi si dedica alla sicurezza sa che ogni porta aperta e` una strada verso un attacco. Gli attaccanti e i tester di sicurezza (penetration testers, conosciuti anche come "pen-testers", NdT) hanno come obbiettivo quello di trovare e trarre vantaggio dalle porte aperte, mentre d'altro canto gli amministratori di rete e i sistemisti provano a chiuderle o a proteggerle con firewall senza limitare gli utenti autorizzati al loro uso. Le porte aperte sono anche interessanti per le tutta una serie di scansioni non indirizzate unicamente alla sicurezza, perche` mostrano che servizi sono disponibili in una rete.

closed

Una porta chiusa e` accessibile (riceve e risponde ai pacchetti di probe di Nmap) ma non vi e` alcuna applicazione in ascolto su di essa. Esse possono rendersi utili nel mostrare che un host e` attivo su un indirizzo IP (durante l'host discovery o il ping scanning) o in quanto parte integrante dell'Operating System discovery. Poiche` una porta chiusa e` raggiungibile, puo` essere interessante effettuare una scansione piu` tardi nel caso alcune vengano aperte. Chi amministra una macchina o una rete puo` voler bloccare tali porte con un firewall - ed in questo caso esse apparirebero come filtrate, come mostrato in seguito.

filtered

In questo caso Nmap non puo` determinare con esattezza se la porta sia aperta o meno, perche` un filtro di pacchetti impedisce ai probe di raggiungere la porta. Questo filtro puo` esser dovuto a un firewall dedicato, alle regole di un router, o a un firewall software installato sulla macchina stessa. Queste porte forniscono poche informazioni e rendono frustrante il lavoro dell'attaccante. A volte esse rispondono con un messaggio ICMP del tipo 3, codice 13 ("destination unreachable: communication administratively prohibited", ovvero "destinazione non raggiungibile: comunicazione impedita da regole di gestione"), ma in genere sono molto piu` comuni i filtri di pacchetti che semplicemente ignorano i tentativi di connessione senza rispondere. Questo obbliga Nmap a riprovare diverse volte, semplicemente per essere sicuri che il pacchetto non sia stato perduto a causa di una congestione di rete o di problemi simili piuttosto che dal firewall o dal filtro stesso. Questo riduce drammaticamente la velocita` della scansione.

unfiltered

Lo stato "unfiltered" indica che una porta e` accessibile, ma che Nmap non e` in grado di determinare se sia aperta o chiusa. Solo la scansione di tipo ACK, usata per trovare e classificare le regole di un firewall, posiziona una porta in questo stato. Una scansione di porte in questo stato ("non filtrate") mediante altri tipi di scansione come il Window scan (scan per finestre di connessione), il SYN scan o il FIN scan aiuta a determinare se la porta sia aperta o chiusa.

open|filtered

Nmap posiziona le porte in questo stato quando non e` in grado di determinare se una porta sia aperta o filtrata. Questo accade in quelle scansioni per le quali una porta aperta non risponde in alcun modo. La mancanza di informazioni puo` significare inoltre che un filtro di pacchetti ha lasciato cadere ("drop") il probe o qualsiasi risposta sia stata generata in seguito a questo. Scansioni che classificano porte in questo stato sono le scansioni IP, UDP, FIN, Null, e Xmas.

closed|filtered

Questo stato e` usato quando Nmap non e` in grado di determinare se una porta sia chiusa o filtrata. Esso viene usato solo per l'IPID Idle scan.

[ Nmap | Sec Tools | Mailing Lists | Site News | About/Contact | Advertising | Privacy ]