Il port scanning è il “core business” di Nmap.

Esso è l’atto di testare da remoto numerose porte per determinarne lo stato in cui sono.

La semplice esecuzione del comando

nmap <target>

fa la scansione di tutte  le prime 1.000 porte TCP classificandole negli stati

open, closed, filtered, unfiltered, open|filtered o closed|filtered

Lo stato più interessante è ovviamente lo stato “open” che vuol dire che su quella porta vi è in ascolto una applicazione pronta ad accettare connessioni.

NMap fa una distinzione differente delle porte rispetto allo IANA (Internet Assigned Numbers Authority) in base al loro numero.

Per lo standard IANA (http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml) abbiamo

• well-known ports dalla 1 alla porta 1023
• registered ports dalla 1024 alla 49151 (gli utenti con accesso non privilegiato possono collegare i loro servizi a queste porte)
• dynamic e/o private ports dalla 49152 alla 65535 (numero massimo di porta: è un campo di 16bit)

Mentre NMap distigue le porte in

• well-known ports 1-1023
• ephemeral  ports il cui range dipende dal sistema operativo è su Linux va da 32768 a 61000 ed è configurabile (/proc/sys/net/ipv4/ip_local_port_range)
  

La porta numero 0 (zero) è invalida. Le API delle socket Berkeley, che definiscono come i programmi devono comportarsi per quanto riguarda le comunicazioni di rete, non permettono l’utilizzo della porta numero zero. Invece, interpretano una richiesta sulla porta zero come una wildcard a indicare che al programmatore non interessa quale porta verrà utilizzata per la comunicazione e sarà il sistema operativo a sceglierne una per lui.

Questo non significa che qualche software malevolo non voglia utilizzare proprio questa porta per comunicare esplicitandola nell’heder TCP/IP. Quindi possiamo con NMap scansionare questa porta esplicitamente (e.g. -p0-65535)

Secondo l’autore di NMap, dopo anni di scansioni, queste sono le liste delle Top-20 porte TCP e UDP

Top-20 TCP ports

1. 80 (HTTP)
2. 23 (TELNET)
3. 443 (HTTPS)
4. 21 (FTP)
5. 22 (SSH)
6. 25 (SMTP)
7. 3389 (ms-term-server) Microsoft Terminal Services Admin port
8. 110 (POP3)
9. 445 (Microsoft-DS) Microsoft SMB file/printer sharing
10. 139 (NetBIOS-SSN)
11. 143 (IMAP)
12. 53 (DNS)
13. 135 (MSRPC)
14. 3306 (MySQL)
15. 8080 (HTTP) di solito per fare del proxying
16. 1723 (PPTP) per VPN
17. 111 (RPCBind)
18. 995 (POP3S) pop3 + ssl
19. 993 (IMAPS) imap + ssl
20. 5900 (VNC)

Top-20 UDP ports

1. 631 (IPP) Internet Printing Protocol
2. 161 (SNMP)
3. 137 (NetBIOS-NS)
4. 123 (NTP)
5. 138 (NetBIOS-DGM)
6. 1434 (Microsoft-DS) Microsoft SQL Server
7. 445 (Microsoft-DS)
8. 135 (MSRPC)
9. 67 (DHCPS) dhcp + ssl
10. 53 (DNS)
11. 139 (NetBIOS-SSN)
12. 500 (ISAKMP) Internet Security Association and Key Management Protocol
13. 68 (DHCP client)
14. 520 (RIP) Routing Information Protocol
15. 1900 (UPNP)
16. 4500 (nat-t-ike)
17. 514 (syslog)
18. 49152 (Varies)
19. 162 (SNMPTrap)
20. 69 (TFTP)

Ad inizio capitolo abbiamo detto che una porta si può trovare in 6 stati differenti

1. open
   una applicazione è in ascolto e pronta ad accettare connessioni TCP o pacchetti UDP. Qui si può fare breccia.
2. close
   la porta è accessibile (riceve e risponde alle sonde di NMap) ma non vi è nessuna applicazione in ascolto su di essa. Utile per host discovery o OS detection.
3. filtered
   non sappiamo se la porta è aperta perché c’è una sorta di packet filtering che non ci permette di raggiungerla (firewall, regole di routing). Queste porte rallentano lo scan perché NMap cerca di ripetere lo scan in caso non abbia ricevuto risposte dovuto al fatto che si ha una rete congestionata. Ma di solito non è così.
4. unfiltered
   la porta è raggiungibile ma non si riesce a distinguere se è aperta o chiusa. Solo l’ACK scan classifica le porta in questo stato.
5. open|filtered
   NMap non riesce a capire se la porta è aperta o filtrata. Di solito succede per porte aperte che non danno risposte. La mancanza di risposta potrebbe dipendere anche da un filtro di pacchetto.
6. closed|filtered
   NMap non riesce a capire se la porta è chiusa o filtrata. Stato impostato solo se si utilizza l’IP ID Idle scan (-sI).

Fare un port scanning della rete non è solo un modo per avere la lista di tutti i servizi aperti per motivi di sicurezza. Alcuni utilizzano il port scanning anche per fare un inventario delle macchine e dei dispositivi di rete e dei loro servizi, per scoprire la topologia della loro rete o per controlli di verifica di politiche di vario genere.