Nmap — uma das ferramentas mais poderosas para escanear portas abertas, analisar serviços e diagnosticar redes. É utilizada tanto por administradores de sistemas para auditoria quanto por agentes mal-intencionados para reconhecimento. Neste guia veremos os comandos básicos, bem como métodos não convencionais e suspeitos de varredura que podem ser detectados por ferramentas de monitoramento.
Instalação do Nmap
Debian/Ubuntu:
sudo apt update && sudo apt install nmapCentOS/RHEL:
sudo yum install nmapmacOS (Homebrew):
brew install nmapWindows:
Baixe o instalador em nmap.org/download.html
Varredura TCP básica
Escanear as portas TCP (por padrão — 1000 portas mais populares):
nmap 192.168.1.1Para escanear todo o intervalo de portas TCP (0–65535):
nmap -p- 192.168.1.1Escaneamento de sub-rede
Para escanear toda a sub-rede /24:
nmap 192.168.1.0/24Com opção de aceleração:
nmap -T4 192.168.1.0/24Varredura de portas UDP
Portas UDP são menos visíveis, mas mais difíceis de escanear:
nmap -sU 192.168.1.1Para acelerar, pode-se limitar o intervalo:
nmap -sU -p 53,67,123 192.168.1.1Varredura agressiva e detalhada
Para obter informações sobre versões de serviços, SO e executar scripts:
nmap -A 192.168.1.1Essa combinação inclui:
- detecção de SO (OS detection);
- detecção de versão (Version detection);
- varredura por scripts (Script scanning);
- traceroute.
Para salvar os resultados:
nmap -oN result.txt 192.168.1.1Técnicas ativas e “stealth” de varredura
Alguns tipos de varredura são usados para tentar contornar sistemas de detecção de intrusão (IDS) ou firewalls. Abaixo estão as técnicas chave:
SYN-scan (“half-open”)
Método rápido e frequentemente utilizado:
nmap -sS 192.168.1.1Geralmente requer acesso root. Muitos sistemas IDS monitoram esse tipo de conexão.
TCP Null Scan
Envio de pacotes TCP sem flags — pode tentar contornar filtros:
nmap -sN 192.168.1.1Muitos sistemas interpretam isso como anomalia.
FIN Scan
Fechamento de conexão sem estabelecimento — funciona contra alguns sistemas operacionais:
nmap -sF 192.168.1.1Xmas Scan
Usa flags TCP “acesas” (FIN, PSH, URG):
nmap -sX 192.168.1.1Frequentemente empregado por agentes maliciosos. Pacotes desse tipo podem ser rastreados por ferramentas como iptables ou Snort.
Varredura com falsificação de origem
Para ocultar a identidade ou contornar filtros:
nmap -S -e eth0 192.168.1.1Em combinação com a opção -D (decoy), é possível mascarar-se como outros endereços:
nmap -D 192.168.1.5,192.168.1.10,ME 192.168.1.1ICMP Ping Sweep
Para verificar a disponibilidade de hosts:
nmap -sn 192.168.1.0/24Para múltiplos tipos ICMP:
nmap -PE -PP -PM 192.168.1.0/24- -PE: Echo request
- -PP: Timestamp
- -PM: Netmask
Um grande volume desses pedidos pode ser detectado pelo sistema de monitoramento como atividade suspeita.
Fragmentação de pacotes
Para tentar contornar filtros e firewalls:
nmap -f 192.168.1.1Divide os pacotes em pedaços menores — isso pode interferir no funcionamento de alguns IDS.
Como detectar esse tipo de varredura
- Use Snort ou Suricata para detectar combinações incomuns de flags TCP.
- Logs do iptables ou firewalld permitem rastrear floods de SYN e conexões estranhas.
- Para UDP, utilize contadores do sistema, já que respostas podem ser raras.
- Um grande número de ICMP/UDP/port probes em curto espaço de tempo deve gerar alerta.
Nmap é uma ferramenta poderosa para testar a segurança de redes. Entretanto, suas capacidades podem ser usadas tanto para fins legítimos quanto para fins nocivos. Se você protege uma rede — é importante não só saber como escanear, mas também como detectar potenciais atividades de reconhecimento vindas de fora.
