Se trata de una herramienta multipropósito que sirve desde para identificar aplicaciones en una red a través de sus puertos conocidos, tanto TCP como UDP, hasta para obtener una estimación del sistema operativo que puede estar ejecutando una máquina conectada a la red.
En nuestro caso podemos utilizarla para identificar el servicio de intercambio de claves ISAKMP, comprobando si el puerto 500 UDP se encuentra abierto. Podemos encontrar esta herramienta además de una excelente documentación en su sitio web: http://www.insecure.org/.
Por ejemplo, si utilizamos nmap desde una máquina en la que no confiamos (con una dirección IP de origen que no pertenezca a los rangos permitidos de la universidad) para comprobar los puertos TCP abiertos, obtendremos un resultado similar al este:
deadstar root # nmap -sS -O 193.147.184.193 Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-02-08 10:57 CET Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port All 1659 scanned ports on 193.147.184.193 are: filtered Too many fingerprints match this host to give specific OS details Nmap run completed -- 1 IP address (1 host up) scanned in 88.580 seconds
Si por contra lo utilizamos para buscar puertos UDP abiertos, obtendremos como resultado que todos los puertos UDP aparecen abiertos. Esto es debido a que los paquetes UDP son filtrados a la entrada en el terminador de túneles, y por tanto no provocan ningún paquete ICMP de destino no alcanzable. En tal caso, nmap asume que los puertos están abiertos, provocando falsos positivos.