Thiago Teixeira
EN | PT

Nmap

Nmap Project

O mapeador de rede padrão para descoberta de hosts, varredura de portas e detecção de serviços.

Reconhecimento e Monitoramento de Rede Gratuito e Open Source CLI Praticado em Lab Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Nmap ("Network Mapper") é a ferramenta de descoberta e auditoria de rede mais utilizada. Um analista CySA+ usa o Nmap para enumerar hosts ativos, portas abertas, serviços, fingerprint de SO e vulnerabilidades conhecidas via NSE. Defensores rodam Nmap na própria rede para encontrar serviços não autorizados, shadow IT e más configurações antes do atacante.

Recursos relevantes para a prova:

  • Descoberta de hosts com ICMP, ARP, TCP SYN (-sn, -PR, -PS).
  • Scans furtivos e completos (-sS SYN, -sT connect, -sU UDP).
  • Detecção de serviço/versão (-sV) e fingerprint de SO (-O).
  • NSE (--script vuln) o transforma em scanner leve.
  • Formatos de saída para SIEM: -oN, -oX, -oG, -oA.

Casos de uso

  • Inventário e validação de descoberta de rede autorizada
  • Detecção de hosts não autorizados na LAN
  • Captura de banner de serviço durante triagem
  • Validação de regras de firewall e segmentação
  • Varreduras leves de vulnerabilidades via NSE

Exemplo

# Aggressive scan: OS + services + version + scripts + traceroute
sudo nmap -A -T4 -p- 10.10.10.0/24 -oA scans/internal

# Vuln NSE sweep on common ports
sudo nmap --script "vuln" -p 22,80,443,445,3389 10.10.10.5