Nmap có rất nhiều kiểu scan khác nhau. Hiểu về kiểu mặc định (SYN-scan) là một bước đệm để bắt đầu nghiên cứu việc scan hoạt động thế nào cũng như hiển thị kết quả ra sao.
3 way TCP handshake
Bắt đầu một kết nối với dịch vụ TCP, thì một kết nối với 3 bước sẽ được thiết lập (3-way handshake). Nó liên quan đến việc gói tin SYN gửi tới một port TCP đang mở với một dịch vụ nào đó đang chạy trên đó. Ví dụ như 80-HTTP, 25-SMTP, 110-POP3 ….
Phía server sẽ thấy một gói tin với cờ SYN đến và trả lời lại bằng gói tin với cờ SYN ACK. Sau đó, client lại trả lời lại gói SYN ACK đó bằng một gói ACK và kết thúc 3 bước. kể từ lúc này, kênh truyền đã được khởi tạo và sẵn sàng để truyền data.
Trong ví dụ này firewall đã cho các traffic tới máy chủ web (port 80-HTTP) đi qua, đồng thời nó cũng trả lời lại client bằng một gói tin SYN ACK
Trong thực tế, khái niệm firewall có thể là một thiết bị phần cứng tách biệt với host, cũng có thể là chính phần mềm tường lửa trên client, ví dụ Windows Firewall, Iptables….
Filtered ports hoặc khi Firewall drop packet
Nhiệm vụ của firewall là bảo vệ hệ thống khỏi các gói tin có thể gây tổn hại cho hệ thống. Trong ví dụ này, port scan tới port 81 mà không có dịch vụ nào chạy ở port này, có thể dùng firewall để block các truy cập đó
Trạng thái filtered port là kết quả của việc Nmap cho biết port không có phản hồi lại. Gói SYN đã bị drop bởi firewall. Có thể xem gói tin wireshark như phía dưới để thấy nó đã không có phản hồi
Closed ports hoặc khi Firewall fail
Các trường hợp closed port thường phổ biến là do không có dịch vụ nào trên port cả, nhưng firewall vẫn cho phép kết nối tới server. Điều này cũng đồng nghĩa là không có tường lửa nào đứng giữa cả.
Cũng cần chú ý rằng chúng ta đang nói đến các tình huống thông dụng. Trong thực tế có thể cấu hình một firewall từ chối gói tin thay vì drop nó. Firewall sẽ phản hồi lại bằng một gói tin RST ACK
Hình ảnh phía dưới cho thấy firewall cho phép gói tin trên port 81 đi qua mặc dù không có dịch vụ nào đang chạy trên port này. Nó giống như là một sự cùi bắp trong việc cấu hình vậy.
An Open Port (service) is found
Open port cũng thường được thấy khi sử dụng Nmap scan. Những dịch vụ đang mở có thể được truy cập một cách public. Nhưng cũng có thể là một dịch vụ back-end, không cần truy cập công khai, và do đó, nó bị block bởi firewall.
