Tipos de Scan
# SYN Scan (padrão, stealth, requer root)
nmap -sS alvo.com
# TCP Connect (sem root, mais detectável)
nmap -sT alvo.com
# UDP Scan (mais lento, serviços críticos)
nmap -sU alvo.com
# ACK Scan (mapear regras de firewall)
nmap -sA alvo.com
# Window Scan (detectar estado de filtragem)
nmap -sW alvo.com
# FIN/NULL/Xmas (bypass de firewalls stateless)
nmap -sF alvo.com
nmap -sN alvo.com
nmap -sX alvo.com
# SCTP Scans
nmap -sY alvo.com # SCTP INIT
nmap -sZ alvo.com # SCTP COOKIE-ECHO
# Ping scan (descobrir hosts ativos sem port scan)
nmap -sn 192.168.1.0/24Especificando Alvos e Portas
# Alvo único
nmap 192.168.1.1
nmap alvo.com
# Faixa de IPs
nmap 192.168.1.1-254
nmap 192.168.1.0/24
nmap 10.0.0.0/8
# Múltiplos alvos
nmap 192.168.1.1 192.168.1.2 192.168.1.3
nmap -iL targets.txt
# Excluir alvos
nmap 192.168.1.0/24 --exclude 192.168.1.1
nmap 192.168.1.0/24 --excludefile exclude.txt
# Portas específicas
nmap -p 80 alvo.com
nmap -p 80,443,8080 alvo.com
nmap -p 1-1000 alvo.com
nmap -p- alvo.com # todas as 65535 portas
nmap -p U:53,T:80,443 alvo.com # UDP e TCP
nmap --top-ports 100 alvo.com
nmap --top-ports 1000 alvo.comDetecção de Versão e OS
# Detecção de versão de serviço
nmap -sV alvo.com
nmap -sV --version-intensity 9 alvo.com # mais agressivo
# Detecção de sistema operacional
nmap -O alvo.com
nmap -O --osscan-guess alvo.com
# Combinação completa de detecção
nmap -A alvo.com # OS + versão + traceroute + NSE padrão
# Script scan padrão + versões
nmap -sC -sV alvo.comVelocidade e Timing
# Templates de timing (-T0 a -T5)
-T0 paranoid (5 min entre probes — IDS evasion)
-T1 sneaky (15s entre probes)
-T2 polite (0.4s entre probes)
-T3 normal (padrão)
-T4 aggressive (redes rápidas confiáveis)
-T5 insane (muito rápido, perda de pacotes)
# Controle manual de taxa
nmap --min-rate 1000 alvo.com # mínimo 1000 pkts/s
nmap --max-rate 100 alvo.com # máximo 100 pkts/s
nmap --min-parallelism 100 alvo.com
nmap --max-parallelism 10 alvo.com
# Paralelismo de hosts
nmap --min-hostgroup 50 192.168.1.0/24NSE — Nmap Scripting Engine
# Scripts padrão
nmap -sC alvo.com
# Script específico
nmap --script=http-title alvo.com
nmap --script=banner alvo.com
# Categoria de scripts
nmap --script=vuln alvo.com # vulnerabilidades
nmap --script=auth alvo.com # autenticação
nmap --script=brute alvo.com # brute force
nmap --script=discovery alvo.com # descoberta
nmap --script=safe alvo.com # scripts seguros
# Múltiplos scripts
nmap --script=http-title,http-headers,http-methods alvo.com
# Scripts de vulnerabilidades específicas
nmap --script=smb-vuln-ms17-010 alvo.com # EternalBlue
nmap --script=smb-vuln-ms08-067 alvo.com # Conficker
nmap --script=ssl-heartbleed alvo.com # Heartbleed
nmap --script=ftp-anon alvo.com # FTP anônimo
nmap --script=http-sql-injection alvo.com # SQLi básico
nmap --script=http-shellshock alvo.com # Shellshock
nmap --script=rdp-vuln-ms12-020 alvo.com # MS12-020
# HTTP
nmap --script=http-enum alvo.com # diretórios comuns
nmap --script=http-robots.txt alvo.com
nmap --script=http-sitemap-generator alvo.com
nmap --script=http-wordpress-enum alvo.com
nmap --script=http-joomla-brute alvo.com
# DNS
nmap --script=dns-brute alvo.com
nmap --script=dns-zone-transfer alvo.com
# SMB
nmap --script=smb-enum-shares alvo.com
nmap --script=smb-enum-users alvo.com
nmap --script=smb-os-discovery alvo.com
# SNMP
nmap --script=snmp-info -sU -p 161 alvo.com
nmap --script=snmp-sysdescr alvo.com
# Argumentos para scripts
nmap --script=http-brute --script-args userdb=users.txt,passdb=pass.txt alvo.comEvasão de Firewall e IDS
# Fragmentação de pacotes
nmap -f alvo.com # fragmentar em 8 bytes
nmap -ff alvo.com # fragmentar em 16 bytes
nmap --mtu 24 alvo.com # tamanho personalizado
# Decoys — mascarar origem com IPs falsos
nmap -D 10.0.0.1,10.0.0.2,ME alvo.com
nmap -D RND:10 alvo.com # 10 IPs aleatórios
# Source port spoofing
nmap --source-port 53 alvo.com # simular DNS
nmap --source-port 80 alvo.com # simular HTTP
# IP de origem diferente
nmap -S 1.2.3.4 alvo.com
# Velocidade lenta para evitar IDS
nmap -T1 alvo.com
# MAC spoofing
nmap --spoof-mac 0 alvo.com # MAC aleatório
nmap --spoof-mac Apple alvo.com # MAC de vendor
# Proxychains
proxychains nmap -sT -Pn alvo.com
# Scan via host intermediário
nmap -sI zumbi.host alvo.com # Idle/Zombie scanOutput e Relatórios
# Formatos de output
nmap -oN scan.txt alvo.com # Normal (legível)
nmap -oX scan.xml alvo.com # XML (para importar)
nmap -oG scan.gnmap alvo.com # Grepable
nmap -oA scan alvo.com # Todos os formatos
# Verbose e debug
nmap -v alvo.com
nmap -vv alvo.com
nmap -d alvo.com # debug
# Converter XML para HTML
xsltproc scan.xml -o scan.html
# Grepando resultados
grep "open" scan.gnmap
grep "22/open" scan.gnmapScans Completos para Pentest
# Descoberta rápida de hosts
nmap -sn 192.168.1.0/24 -oG hosts.txt
grep "Up" hosts.txt | awk '{print $2}' > alive.txt
# Scan completo de portas + versões + NSE
nmap -p- -sV -sC -O --open -T4 -oA fullscan alvo.com
# Top portas com scripts de vuln
nmap --top-ports 1000 -sV --script=vuln alvo.com
# UDP top portas críticas
nmap -sU -p 53,69,111,123,161,500,514,1900 alvo.com
# Scan massivo de rede interna
masscan 10.0.0.0/8 -p 80,443,22,3389 --rate=10000 -oX masscan.xml
nmap -iL alive.txt -sV -sC -p 80,443,22,3389 -oA internal_scan
# Web servers
nmap -p 80,443,8080,8443,8000 --script=http-title,http-headers alvo.comAlternativas e Complementos
- Masscan — escaneia toda internet em 6 minutos; taxa de 100.000 pkt/s; use para descoberta rápida, depois Nmap para análise
- RustScan — scan de portas extremamente rápido em Rust; passa para o Nmap automaticamente
- ZMap — scan de internet em single port muito rápido
- Shodan CLI — reconhecimento passivo (sem enviar pacotes)
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista