nmap é exponencialmente lento ao varrer mais portas

Você pode adicionar a opção -T5 para aumentar a velocidade da digitalização. De acordo com o nmap Tempo e desempenho , recomenda-se usar a opção -T4 :

I would recommend always using -T4. Some people love -T5 though it is too aggressive for my taste. People sometimes specify -T2 because they think it is less likely to crash hosts or because they consider themselves to be polite in general. They often don't realize just how slow -T polite really is. Their scan may take ten times longer than a default scan. Machine crashes and bandwidth problems are rare with the default timing options (-T3) and so I normally recommend that for cautious scanners. Omitting version detection is far more effective than playing with timing values at reducing these problems.

O Nmap faz o possível para encontrar a velocidade na qual pode encontrar com precisão o estado (aberto, fechado ou filtrado) de cada porta. O sistema de cronometragem é complexo e possui alguns piores cenários que podem levar a varreduras muito lentas. Um desses casos é quando o destino é a redefinição de conexão TCP (RST) limitadora de taxa, que são as respostas que o Nmap recebe quando uma porta é fechada. A maioria das portas em um sistema geralmente é fechada e, para economizar recursos ou, talvez, impedir as tentativas de varredura, o SO do destino pode escolher apenas emitir um RST uma vez por segundo.

Quando o Nmap detecta a limitação de taxa de RST, ele deve desacelerar seus testes para corresponder a essa taxa, caso contrário, uma porta que está fechada pode ser marcada como "filtrada" porque nenhuma resposta foi recebida, consistente com o tráfego descartando essa porta. Esse comportamento de desaceleração ocorre gradualmente, portanto, as primeiras poucas portas não são tão afetadas quanto as posteriores. Além disso, afeta somente portas fechadas, portanto, as portas comumente usadas entre 1 e 1000 têm menor probabilidade de contribuir para a lentidão.

Há uma solução alternativa para esse problema, mas ela apresenta uma perda de precisão. Se você não se importa em saber a diferença entre portas filtradas e portas fechadas, você pode usar a opção --defeat-rst-ratelimit para não deixar que os RSTs com taxa limitada afetem o tempo do Nmap. O Nmap continuará enviando a uma taxa apropriada para a rede, detectando pacotes descartados e reduzindo a velocidade quando necessário, mas ficando perfeitamente feliz em marcar as portas fechadas como filtradas. O conjunto de portas abertas deve ser exatamente o mesmo, que é tudo o que a maioria das pessoas deseja. Na verdade, você pode até adicionar --open para evitar informações de impressão sobre portas fechadas e filtradas.

Tente executar o nmap com -v (detalhado) para ajudar você a descobrir por que há uma lentidão.

A execução de nmap -sS -Pn -v -p 1-9999 myserver.com em um dos meus servidores gera o seguinte em algum lugar após 3000 portas em:

Increasing send delay for (ip address) from 0 to 5 due to max_successful_tryno increase to 4
Increasing send delay for (ip address) from 5 to 10 due to 17 out of 55 dropped probes since last increase.
[...]
Increasing send delay for (ip address) from 160 to 320 due to 11 out of 31 dropped probes since last increase.
SYN Stealth Scan Timing: About 17.08% done; ETC: 13:17 (0:02:30 remaining)

Estas mensagens parecem não aparecer para mim abaixo da porta 1024.