# Descubrimiento de hosts
Encontrar hosts activos antes de escanear puertos. Por defecto Nmap envía ARP (local), ICMP echo + TCP SYN 443 + TCP ACK 80 (remoto).
nmap -sn 192.168.1.0/24nmap -sn -PR 192.168.1.0/24nmap -sn -PE -PP -PM TARGETnmap -sn -PS22,80,443 -PA80,443 TARGETnmap -Pn TARGETnmap -sL 10.0.0.0/24# Tipos de escaneo
Diferentes técnicas de escaneo TCP/UDP. El escaneo SYN es el predeterminado y el más popular.
| Flag | Tipo de escaneo | Cuándo usarlo |
|---|---|---|
| -sS | TCP SYN (sigiloso) | Predeterminado, rápido, no completa el handshake |
| -sT | TCP Connect | Cuando no tienes privilegios de raw socket |
| -sU | UDP Scan | Descubrir DNS, SNMP, DHCP, TFTP |
| -sA | TCP ACK | Mapear reglas de firewall (filtrado vs no-filtrado) |
| -sN | TCP Null | Sin flags — evade algunos firewalls |
| -sF | FIN Scan | Solo flag FIN — sigiloso contra algunos IDS |
| -sX | Xmas Scan | FIN+PSH+URG — técnica de evasión |
| -sI | Idle/Zombie Scan | Máxima sigilo — usa un host zombie como proxy |
nmap -sS TARGETnmap -sU --top-ports 200 TARGETnmap -sS -sU -p T:1-1000,U:53,111,161,500 TARGETnmap -sI zombie_ip TARGET# Especificación de puertos
Controlar exactamente qué puertos escanear. Por defecto Nmap escanea los top 1000 puertos.
nmap -p- TARGETnmap -p 80,443,8080,8443 TARGETnmap -p 1-1024 TARGETnmap --top-ports 100 TARGETnmap -p- --min-rate=1000 TARGET# Detección de servicios y versiones
No te conformes con encontrar puertos abiertos — identifica qué corre y qué versión. Crítico para encontrar exploits.
nmap -sV TARGETnmap -sV --version-intensity 9 TARGETnmap -sC TARGETnmap -sC -sV -p 22,80,443 TARGETnmap -A TARGET# Detección de OS
Identificar el sistema operativo analizando el comportamiento del stack TCP/IP.
nmap -O TARGETnmap -O --osscan-guess TARGET# Scripts NSE
El Nmap Scripting Engine es increíblemente poderoso. 600+ scripts para escaneo de vulnerabilidades, fuerza bruta, enumeración y más.
ls /usr/share/nmap/scripts/ | wc -lCategorías de scripts
nmap --script=vuln TARGETnmap --script=safe TARGETScripts más útiles
nmap -p 445 --script=smb-enum-shares,smb-enum-users,smb-os-discovery TARGETnmap -p 80,443 --script=http-enum,http-headers,http-methods,http-title TARGETnmap -p 53 --script=dns-zone-transfer --script-args dns-zone-transfer.domain=DOMAIN TARGETnmap -p 21 --script=ftp-anon,ftp-bounce,ftp-syst TARGETnmap -p 443 --script=ssl-enum-ciphers,ssl-cert,ssl-heartbleed TARGETnmap --script=smb-vuln-ms17-010 -p 445 TARGET# Evasión de firewall e IDS
Técnicas para evadir firewalls, IDS/IPS y evitar la detección durante los escaneos.
nmap -f TARGETnmap -D RND:10 TARGETnmap -g 53 TARGETnmap --data-length 25 TARGETnmap --scan-delay 5s TARGETnmap --badsum TARGET# Timing y rendimiento
Controlar la velocidad de escaneo. T0-T1 para sigilo, T3 predeterminado, T4-T5 para velocidad.
| Flag | Template | Uso |
|---|---|---|
| -T0 | Paranoico | Evasión IDS — 5 min entre sondas |
| -T1 | Sigiloso | Evasión IDS — 15 seg entre sondas |
| -T2 | Educado | Reducir uso de ancho de banda |
| -T3 | Normal | Predeterminado — velocidad equilibrada |
| -T4 | Agresivo | Escaneos rápidos en redes confiables |
| -T5 | Insano | Lo más rápido — puede perder puertos en redes lentas |
nmap -T4 --min-rate=1000 -p- TARGETnmap --max-retries 1 TARGET# Formatos de salida
Guarda tus resultados. Usa siempre -oA para guardar los 3 formatos a la vez.
nmap -oN scan.txt TARGETnmap -oX scan.xml TARGETnmap -oG scan.gnmap TARGETnmap -oA scan TARGETnmap -v --reason TARGET# Combos reales
Combinaciones listas para copiar y pegar para escenarios comunes de pentest.
Recon inicial (Pentest / OSCP)
nmap -p- --min-rate=1000 -T4 TARGET -oN allports.txtnmap -p OPEN_PORTS -sC -sV -oA detailed TARGETAuditoría servidor web
nmap -p 80,443,8080,8443 -sV --script="http-*" TARGETActive Directory / Controlador de dominio
nmap -p 53,88,135,139,389,445,464,636,3268,3269 -sV -sC TARGETEscaneo sigiloso
nmap -sS -T1 -f -D RND:5 -g 53 --data-length 25 TARGETBarrido de red
nmap -sn 10.0.0.0/24 -oG - | grep "Up" | awk '{print $2}' > live_hosts.txtnmap -iL live_hosts.txt -p- --min-rate=1000 -oA full_scan❓ Preguntas frecuentes sobre Nmap
-sS (escaneo SYN) envía un SYN sin completar el handshake — más rápido y sigiloso, requiere root. -sT (TCP Connect) completa el handshake completo y deja registros de conexión en el objetivo. Usa -sS siempre que tengas privilegios root.
Usa nmap -p- TARGET. Para mayor velocidad, añade flags de timing: nmap -p- --min-rate=1000 -T4 TARGET. Suele completarse en menos de 2 minutos en un host receptivo y garantiza no perder servicios en puertos no estándar.
-A activa el modo agresivo: detección de SO (-O), detección de versión (-sV), scripts por defecto (-sC) y traceroute. Completo pero muy ruidoso. Úsalo para CTF y laboratorios — evítalo en auditorías de producción donde importa el sigilo.
Combina -T4 --min-rate=1000 --max-retries=1 para máxima velocidad. En redes grandes, añade --min-parallelism=100. Evita -T5 en redes poco fiables o de alta latencia — puede perder puertos abiertos por timeouts agresivos.
NSE (Nmap Scripting Engine) es un framework basado en Lua con 600+ scripts para detección de vulnerabilidades, enumeración y fuerza bruta. Usa --script=vuln para todos los scripts de vulnerabilidad, --script=safe para scripts no intrusivos, o --script=smb-* para todos los scripts SMB.
Usa nmap -sU TARGET. UDP es mucho más lento que el escaneo TCP. Usa --top-ports 200 para un equilibrio práctico. Nunca omitas UDP — SNMP (161), DNS (53), DHCP (67/68) y TFTP (69) solo funcionan sobre UDP y suelen ser explotables.
Por defecto, nmap realiza un escaneo TCP SYN (-sS con root, -sT sin él) sobre los 1000 puertos más comunes, precedido de descubrimiento de hosts (ICMP echo + TCP SYN 443 + TCP ACK 80). Ejecuta con -v para ver exactamente qué hace nmap en cada paso.
Usa el flag --script=vuln para ejecutar todos los scripts de vulnerabilidad NSE: nmap -sV --script=vuln TARGET. Para CVE específicas, usa scripts dirigidos como --script=smb-vuln-ms17-010 (EternalBlue) o --script=http-shellshock. Ejecuta siempre la detección de versión (-sV) primero para que los scripts NSE tengan datos de versión precisos.
-sV sondea los puertos abiertos y compara las respuestas con más de 11 000 firmas de servicio. La precisión suele ser del 90-95 % para servicios comunes. Usa --version-intensity 9 para sondeo máximo (más lento). Los datos de versión alimentan directamente los scripts NSE y la correlación de vulnerabilidades, inclúyelos siempre en tus escaneos iniciales.
Varias técnicas: -f para fragmentar paquetes, --mtu 24 para fragmentación personalizada, -D RND:10 para añadir IP señuelo, --source-port 53 para falsificar el puerto de origen (DNS suele estar permitido). Para firewalls con estado, -sA (escaneo ACK) mapea las reglas sin activar la detección stateful. Confirma siempre con --reason para ver por qué se determinó cada estado de puerto.
📚 Recursos Relacionados
- Cheatsheet OSCP — Comandos para reconocimiento, escalada de privilegios y post-explotación
- Cheatsheet Pentesting — 200+ comandos esenciales para cada fase del pentest
- Cómo Empezar en Pentesting — Guía completa para principiantes en pruebas de penetración
- Glosario de Pentesting — 60+ términos de ciberseguridad para hackers éticos
Transforma tus hallazgos en un informe PDF profesional. La IA rellena CVE, CVSS y severidad automáticamente.
¿Quieres los 12,020+ comandos?
Esta cheatsheet Nmap es solo una herramienta. Pentest Mindmap organiza 12,020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.
Crear una cuenta gratis →