Nmap — uma das ferramentas mais poderosas para escanear portas abertas, analisar serviços e diagnosticar redes. É utilizada tanto por administradores de sistemas para auditoria quanto por agentes mal-intencionados para reconhecimento. Neste guia veremos os comandos básicos, bem como métodos não convencionais e suspeitos de varredura que podem ser detectados por ferramentas de monitoramento.
Instalação do Nmap
Debian/Ubuntu:
CentOS/RHEL:
macOS (Homebrew):
Windows:
Baixe o instalador em nmap.org/download.html
Varredura TCP básica
Escanear as portas TCP (por padrão — 1000 portas mais populares):
Para escanear todo o intervalo de portas TCP (0–65535):
Escaneamento de sub-rede
Para escanear toda a sub-rede /24:
Com opção de aceleração:
Varredura de portas UDP
Portas UDP são menos visíveis, mas mais difíceis de escanear:
Para acelerar, pode-se limitar o intervalo:
Varredura agressiva e detalhada
Para obter informações sobre versões de serviços, SO e executar scripts:
Essa combinação inclui:
- detecção de SO (OS detection);
- detecção de versão (Version detection);
- varredura por scripts (Script scanning);
- traceroute.
Para salvar os resultados:
Técnicas ativas e “stealth” de varredura
Alguns tipos de varredura são usados para tentar contornar sistemas de detecção de intrusão (IDS) ou firewalls. Abaixo estão as técnicas chave:
SYN-scan (“half-open”)
Método rápido e frequentemente utilizado:
Geralmente requer acesso root. Muitos sistemas IDS monitoram esse tipo de conexão.
TCP Null Scan
Envio de pacotes TCP sem flags — pode tentar contornar filtros:
Muitos sistemas interpretam isso como anomalia.
FIN Scan
Fechamento de conexão sem estabelecimento — funciona contra alguns sistemas operacionais:
Xmas Scan
Usa flags TCP “acesas” (FIN, PSH, URG):
Frequentemente empregado por agentes maliciosos. Pacotes desse tipo podem ser rastreados por ferramentas como iptables ou Snort.
Varredura com falsificação de origem
Para ocultar a identidade ou contornar filtros:
Em combinação com a opção -D (decoy), é possível mascarar-se como outros endereços:
ICMP Ping Sweep
Para verificar a disponibilidade de hosts:
Para múltiplos tipos ICMP:
- -PE: Echo request
- -PP: Timestamp
- -PM: Netmask
Um grande volume desses pedidos pode ser detectado pelo sistema de monitoramento como atividade suspeita.
Fragmentação de pacotes
Para tentar contornar filtros e firewalls:
Divide os pacotes em pedaços menores — isso pode interferir no funcionamento de alguns IDS.
Como detectar esse tipo de varredura
- Use Snort ou Suricata para detectar combinações incomuns de flags TCP.
- Logs do iptables ou firewalld permitem rastrear floods de SYN e conexões estranhas.
- Para UDP, utilize contadores do sistema, já que respostas podem ser raras.
- Um grande número de ICMP/UDP/port probes em curto espaço de tempo deve gerar alerta.
Nmap é uma ferramenta poderosa para testar a segurança de redes. Entretanto, suas capacidades podem ser usadas tanto para fins legítimos quanto para fins nocivos. Se você protege uma rede — é importante não só saber como escanear, mas também como detectar potenciais atividades de reconhecimento vindas de fora.