2.1.2 – Características do Nmap

Conforme o site https://nmap.org/man/pt_BR/, o Nmap normalmente é utilizado para auditorias de segurança. É uma ferramenta de código aberto para exploração de rede e foi desenhada para escanear rapidamente redes amplas, mas funciona muito bem contra hosts individuais.

O Nmap utiliza pacotes IP para determinar:

quais hosts estão disponíveis na rede,
quais serviços (nome da aplicação e versão) os hosts oferecem,
quais sistemas operacionais (e versões de SO) eles estão executando,
que tipos de filtro de pacotes/firewalls estão em uso, e dezenas de outras características.

A saída do Nmap é uma lista de alvos escaneados, com informações adicionais de cada um dependendo das opções utilizadas. Uma informação chave é a “tabela de portas interessantes”. Essa tabela lista o número da porta e o protocolo, o nome do serviço e o estado. O estado pode ser:

O Nmap reporta as combinações aberta|filtrada (open|filtered) e fechada|filtrada (closed|filtered) quando não consegue determinar qual dos dois estados descreve melhor a porta. A tabela de portas também pode incluir detalhes de versão de software quando a detecção de versão for solicitada.

Quando um scan do protocolo IP é solicitado (-sO), o Nmap fornece informações dos protocolos IP suportados ao invés de portas que estejam abertas.

Aberto (open)

Significa que uma aplicação na máquina-alvo está escutando as conexões/pacotes naquela porta.

Filtrado (filtered)

Significa que o firewall, filtro ou outro obstáculo de rede está bloqueando a porta de forma que o Nmap não consegue dizer se ela está aberta (open) ou fechada (closed).

Fechado (closed)

Não possuem uma aplicação escutando nelas, embora possam abrir a qualquer instante.

Não-filtrado (unfiltered)

Quando elas respondem às sondagens do Nmap, mas o Nmap não consegue determinar se as portas estão abertas ou fechadas.