Escaneos nmap que aguantan redes reales
Timing, UDP y trampas de detección de servicios en redes ruidosas durante pentests autorizados.
El cliente dijo que ICMP estaba bloqueado. Alguien lanzó nmap -Pn -p- 10.0.0.0/16 desde la VPN y se preguntó por qué el engagement se convirtió en ticket de firewall antes del almuerzo.
La cheat sheet de nmap es correcta. El scope y la tolerancia del red al ruido deciden qué líneas ejecutas.
El descubrimiento de hosts no es automático
-Pn sirve cuando el descubrimiento miente, no para sustituir leer el alcance. Con lista del cliente, validas alcance desde tu posición.
Primer pase razonable:
nmap -sn -PE -PP -PS443,80,22 --max-retries 2 -T3 -iL scope-hosts.txt -oA discovery
Si casi no responde, entonces -Pn en la misma lista. No en el /16 inferido de una captura de routing.
El timing importa de verdad
-T4 en VPN doméstica no es -T4 en VLAN con IDS agresivo. Yo uso -T3 en clientes y subo solo con permiso escrito o en lab aislado.
nmap -sS -p- --max-rate 500 -T3 -iL fragile-segment.txt -oA tcp-slow
Terminarás más tarde. También terminarás el engagement.
Cuando -sV miente
La detección es probabilística. Verás http donde no lo hay y tcpwrapped en servicios expuestos.
Trata -sV como hipótesis. Sigue con curl -k o openssl s_client. Detección de versión tras puertos abiertos:
nmap -sV -p $(cat open-ports.txt | tr '\n' , | sed 's/,$//') -T3 target.example -oA versions
UDP: elige batallas
UDP completo es un proyecto. Lista corta habitual: 53, 123, 161, 500. SNMP en 161/udp rinde más que un barrido total.
nmap -sU -p 53,123,161,500 --max-retries 1 -T3 target -oA udp-quick
Registro
-oA siempre. Guarda la línea de comando exacta en tus notas.
FAQ
¿Debo usar siempre nmap con -sV?
No. La detección de versión multiplica tráfico y ruido. Úsala en puertos abiertos confirmados o cuando necesites el nombre del servicio. En redes frágiles, -sV suele ser lo que dispara el correo enfadado del SOC.
¿Es seguro usar -Pn por defecto?
Depende del alcance. -Pn salta el descubrimiento y trata cada IP como activa, lo que puede escanear miles fuera de scope. Resérvalo cuando ICMP está bloqueado pero tienes lista cerrada.
¿Por qué mis UDP no muestran nada útil?
UDP es lento y muchos servicios solo responden a la sonda correcta. open|filtered es normal. Prioriza 53, 123, 161, 500 en lugar de -sU -p- salvo acuerdo con el cliente.
FAQ
- ¿Debo usar siempre nmap con -sV?
- No. La detección de versión multiplica tráfico y ruido. Úsala en puertos abiertos confirmados o cuando necesites el nombre del servicio. En redes frágiles, -sV suele ser lo que dispara el correo enfadado del SOC.
- ¿Es seguro usar -Pn por defecto?
- Depende del alcance. -Pn salta el descubrimiento y trata cada IP como activa, lo que puede escanear miles fuera de scope. Resérvalo cuando ICMP está bloqueado pero tienes lista cerrada.
- ¿Por qué mis UDP no muestran nada útil?
- UDP es lento y muchos servicios solo responden a la sonda correcta. open|filtered es normal. Prioriza 53, 123, 161, 500 en lugar de -sU -p- salvo acuerdo con el cliente.