# Descubrimiento de hosts
Encontrar hosts activos antes de escanear puertos. Por defecto Nmap envía ARP (local), ICMP echo + TCP SYN 443 + TCP ACK 80 (remoto).
nmap -sn 192.168.1.0/24Ping sweep — encontrar todos los hosts activos en la subred (sin escaneo de puertos)
nmap -sn -PR 192.168.1.0/24Descubrimiento solo ARP — más rápido en red local, evita firewalls de host
nmap -sn -PE -PP -PM TARGETDescubrimiento ICMP: Echo + Timestamp + Address Mask — evita filtros ICMP-echo-only
nmap -sn -PS22,80,443 -PA80,443 TARGETDescubrimiento TCP SYN+ACK en puertos comunes — funciona cuando ICMP está bloqueado
nmap -Pn TARGETOmitir descubrimiento — tratar todos los hosts como activos (cuando el ping está bloqueado)
nmap -sL 10.0.0.0/24List scan — solo resolución DNS inversa, ningún paquete enviado (recon pasivo)
# Tipos de escaneo
Diferentes técnicas de escaneo TCP/UDP. El escaneo SYN es el predeterminado y el más popular.
| Flag | Tipo de escaneo | Cuándo usarlo |
|---|---|---|
| -sS | TCP SYN (sigiloso) | Predeterminado, rápido, no completa el handshake |
| -sT | TCP Connect | Cuando no tienes privilegios de raw socket |
| -sU | UDP Scan | Descubrir DNS, SNMP, DHCP, TFTP |
| -sA | TCP ACK | Mapear reglas de firewall (filtrado vs no-filtrado) |
| -sN | TCP Null | Sin flags — evade algunos firewalls |
| -sF | FIN Scan | Solo flag FIN — sigiloso contra algunos IDS |
| -sX | Xmas Scan | FIN+PSH+URG — técnica de evasión |
| -sI | Idle/Zombie Scan | Máxima sigilo — usa un host zombie como proxy |
nmap -sS TARGETEscaneo SYN sigiloso — el tipo de escaneo más común y recomendado (requiere root)
nmap -sU --top-ports 200 TARGETEscaneo UDP en los 200 puertos más comunes — lento pero esencial (SNMP, DNS, TFTP son UDP)
nmap -sS -sU -p T:1-1000,U:53,111,161,500 TARGETEscaneo combinado TCP+UDP — escanear TCP top 1000 + puertos UDP específicos simultáneamente
nmap -sI zombie_ip TARGETIdle scan — escaneo completamente ciego vía host zombie (0 paquetes de tu IP)
# Especificación de puertos
Controlar exactamente qué puertos escanear. Por defecto Nmap escanea los top 1000 puertos.
nmap -p- TARGETEscanear los 65535 puertos TCP — nunca omitas esto en un pentest
nmap -p 80,443,8080,8443 TARGETEscanear solo puertos específicos
nmap -p 1-1024 TARGETEscanear un rango de puertos (todos los puertos privilegiados)
nmap --top-ports 100 TARGETEscanear solo los 100 puertos más comunes (recon rápida)
nmap -p- --min-rate=1000 TARGETEscaneo completo a 1000+ paquetes/seg — estrategia de escaneo rápido
# Detección de servicios y versiones
No te conformes con encontrar puertos abiertos — identifica qué corre y qué versión. Crítico para encontrar exploits.
nmap -sV TARGETDetección de versión — sondear puertos abiertos para identificar servicio y versión
nmap -sV --version-intensity 9 TARGETDetección máxima — intentar todas las sondas (más lento pero más preciso)
nmap -sC TARGETScripts por defecto — equivalente a --script=default (seguro, info útil)
nmap -sC -sV -p 22,80,443 TARGETEl combo clásico: detección de versión + scripts por defecto en puertos específicos
nmap -A TARGETEscaneo agresivo: -sV + -sC + -O + --traceroute (ruidoso pero completo)
# Detección de OS
Identificar el sistema operativo analizando el comportamiento del stack TCP/IP.
nmap -O TARGETDetección de OS — necesita al menos 1 puerto abierto + 1 cerrado para ser preciso
nmap -O --osscan-guess TARGETEstimación agresiva de OS — mostrar la mejor estimación incluso con incertidumbre
# Scripts NSE
El Nmap Scripting Engine es increíblemente poderoso. 600+ scripts para escaneo de vulnerabilidades, fuerza bruta, enumeración y más.
💡 Consejo: Listar todos los scripts disponibles:
ls /usr/share/nmap/scripts/ | wc -lCategorías de scripts
nmap --script=vuln TARGETTodos los scripts de detección de vulnerabilidades — encuentra CVEs, misconfigs
nmap --script=safe TARGETTodos los scripts marcados safe — no crashean servicios, no disparan IDS
Scripts más útiles
nmap -p 445 --script=smb-enum-shares,smb-enum-users,smb-os-discovery TARGETEnumeración SMB — compartidos, usuarios, versión OS
nmap -p 80,443 --script=http-enum,http-headers,http-methods,http-title TARGETEnumeración HTTP — directorios, headers, métodos permitidos, títulos de páginas
nmap -p 53 --script=dns-zone-transfer --script-args dns-zone-transfer.domain=DOMAIN TARGETIntento de transferencia de zona DNS
nmap -p 21 --script=ftp-anon,ftp-bounce,ftp-syst TARGETEnumeración FTP — login anónimo, ataque bounce, info del sistema
nmap -p 443 --script=ssl-enum-ciphers,ssl-cert,ssl-heartbleed TARGETAuditoría SSL/TLS — suites de cifrado, info certificado, verificación Heartbleed
nmap --script=smb-vuln-ms17-010 -p 445 TARGETVerificar EternalBlue (MS17-010) — aún se encuentra en la naturaleza
# Evasión de firewall e IDS
Técnicas para evadir firewalls, IDS/IPS y evitar la detección durante los escaneos.
nmap -f TARGETFragmentar paquetes — dividir en fragmentos de 8 bytes para evadir inspección
nmap -D RND:10 TARGETEscaneo con señuelos — generar 10 IPs aleatorias para ocultar tu fuente real
nmap -g 53 TARGETPuerto fuente 53 — algunos firewalls confían en tráfico del puerto DNS
nmap --data-length 25 TARGETAgregar datos aleatorios — evadir firmas basadas en tamaño de paquetes
nmap --scan-delay 5s TARGETEsperar 5 segundos entre sondas — evadir detección IDS basada en velocidad
nmap --badsum TARGETEnviar checksums erróneos — hosts reales rechazan, firewalls/proxies pueden responder
# Timing y rendimiento
Controlar la velocidad de escaneo. T0-T1 para sigilo, T3 predeterminado, T4-T5 para velocidad.
| Flag | Template | Uso |
|---|---|---|
| -T0 | Paranoico | Evasión IDS — 5 min entre sondas |
| -T1 | Sigiloso | Evasión IDS — 15 seg entre sondas |
| -T2 | Educado | Reducir uso de ancho de banda |
| -T3 | Normal | Predeterminado — velocidad equilibrada |
| -T4 | Agresivo | Escaneos rápidos en redes confiables |
| -T5 | Insano | Lo más rápido — puede perder puertos en redes lentas |
nmap -T4 --min-rate=1000 -p- TARGETEscaneo completo rápido — timing agresivo + mínimo 1000 paquetes/seg
nmap --max-retries 1 TARGETMáximo 1 retransmisión — más rápido pero podría perder puertos filtrados
# Formatos de salida
Guarda tus resultados. Usa siempre -oA para guardar los 3 formatos a la vez.
nmap -oN scan.txt TARGETSalida normal — archivo de texto legible
nmap -oX scan.xml TARGETSalida XML — para parsing, importar en herramientas (Metasploit, etc.)
nmap -oG scan.gnmap TARGETSalida grepable — fácil de parsear con grep/awk/cut
nmap -oA scan TARGETLos 3 formatos a la vez — crea scan.nmap, scan.xml, scan.gnmap
nmap -v --reason TARGETVerbose + reason — mostrar por qué cada puerto está abierto/cerrado/filtrado
# Combos reales
Combinaciones listas para copiar y pegar para escenarios comunes de pentest.
💡 Workflow pro: Paso 1: Descubrimiento rápido de puertos. Paso 2: Escaneo profundo dirigido solo a los puertos abiertos.
Recon inicial (Pentest / OSCP)
nmap -p- --min-rate=1000 -T4 TARGET -oN allports.txtPaso 1: Escaneo completo de puertos rápido
nmap -p OPEN_PORTS -sC -sV -oA detailed TARGETPaso 2: Escaneo profundo solo en puertos descubiertos (scripts + versión)
Auditoría servidor web
nmap -p 80,443,8080,8443 -sV --script="http-*" TARGETEnumeración HTTP completa — todos los scripts http-* en puertos web
Active Directory / Controlador de dominio
nmap -p 53,88,135,139,389,445,464,636,3268,3269 -sV -sC TARGETEscaneo de puertos DC — DNS, Kerberos, RPC, SMB, LDAP, Global Catalog
Escaneo sigiloso
nmap -sS -T1 -f -D RND:5 -g 53 --data-length 25 TARGETMáximo sigilo: SYN + timing lento + fragmentación + señuelos + puerto fuente 53 + padding
Barrido de red
nmap -sn 10.0.0.0/24 -oG - | grep "Up" | awk '{print $2}' > live_hosts.txtDescubrir hosts activos y guardar en un archivo
nmap -iL live_hosts.txt -p- --min-rate=1000 -oA full_scanEscaneo completo de puertos en todos los hosts activos descubiertos
¿Quieres los 11,600+ comandos?
Esta cheatsheet Nmap es solo una herramienta. Pentest Mindmap organiza 11,600+ comandos en 32 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.
Prueba gratis de 7 días →