# Découverte d'hôtes
Trouver les hôtes actifs avant de scanner les ports. Par défaut Nmap envoie ARP (local), ICMP echo + TCP SYN 443 + TCP ACK 80 (distant).
nmap -sn 192.168.1.0/24Ping sweep — trouver tous les hôtes actifs du sous-réseau (pas de scan de ports)
nmap -sn -PR 192.168.1.0/24Découverte ARP uniquement — plus rapide sur réseau local, contourne les pare-feu d'hôte
nmap -sn -PE -PP -PM TARGETDécouverte ICMP : Echo + Timestamp + Address Mask — contourne les filtres ICMP-echo-only
nmap -sn -PS22,80,443 -PA80,443 TARGETDécouverte TCP SYN+ACK sur ports courants — fonctionne quand ICMP est bloqué
nmap -Pn TARGETIgnorer la découverte — considérer tous les hôtes comme actifs (quand le ping est bloqué)
nmap -sL 10.0.0.0/24List scan — résolution DNS inverse uniquement, aucun paquet envoyé (recon passive)
# Types de scans
Différentes techniques de scan TCP/UDP. Le scan SYN est le défaut et le plus populaire.
| Flag | Type de scan | Quand l'utiliser |
|---|---|---|
| -sS | TCP SYN (furtif) | Par défaut, rapide, ne complète pas le handshake |
| -sT | TCP Connect | Quand vous n'avez pas les privilèges raw socket |
| -sU | UDP Scan | Découvrir DNS, SNMP, DHCP, TFTP |
| -sA | TCP ACK | Cartographier les règles pare-feu (filtré vs non-filtré) |
| -sN | TCP Null | Aucun flag — évade certains pare-feu |
| -sF | FIN Scan | Flag FIN seul — furtif contre certains IDS |
| -sX | Xmas Scan | FIN+PSH+URG — technique d'évasion |
| -sI | Idle/Zombie Scan | Furtivité ultime — utilise un hôte zombie comme proxy |
nmap -sS TARGETScan SYN furtif — le type de scan le plus courant et recommandé (nécessite root)
nmap -sU --top-ports 200 TARGETScan UDP sur les 200 ports les plus courants — lent mais essentiel (SNMP, DNS, TFTP sont UDP)
nmap -sS -sU -p T:1-1000,U:53,111,161,500 TARGETScan combiné TCP+UDP — scanner TCP top 1000 + ports UDP spécifiques simultanément
nmap -sI zombie_ip TARGETIdle scan — scan complètement aveugle via un hôte zombie (0 paquet de votre IP)
# Spécification des ports
Contrôler exactement quels ports scanner. Par défaut Nmap scanne les top 1000 ports.
nmap -p- TARGETScanner les 65535 ports TCP — ne jamais sauter ça en pentest
nmap -p 80,443,8080,8443 TARGETScanner des ports spécifiques uniquement
nmap -p 1-1024 TARGETScanner une plage de ports (tous les ports privilégiés)
nmap --top-ports 100 TARGETScanner uniquement les 100 ports les plus courants (recon rapide)
nmap -p- --min-rate=1000 TARGETScan complet à 1000+ paquets/sec — stratégie de scan rapide
# Détection de services & versions
Ne vous contentez pas de trouver les ports ouverts — identifiez ce qui tourne et quelle version. Critique pour trouver des exploits.
nmap -sV TARGETDétection de version — sonder les ports ouverts pour identifier service et version
nmap -sV --version-intensity 9 TARGETDétection maximale — essayer toutes les sondes (plus lent mais plus précis)
nmap -sC TARGETScripts par défaut — équivalent à --script=default (sûr, infos utiles)
nmap -sC -sV -p 22,80,443 TARGETLe combo classique : détection de version + scripts par défaut sur des ports spécifiques
nmap -A TARGETScan agressif : -sV + -sC + -O + --traceroute (bruyant mais complet)
# Détection d'OS
Identifier le système d'exploitation en analysant le comportement de la pile TCP/IP.
nmap -O TARGETDétection d'OS — nécessite au moins 1 port ouvert + 1 fermé pour être précis
nmap -O --osscan-guess TARGETEstimation aggressive d'OS — afficher la meilleure estimation même en cas d'incertitude
# Scripts NSE
Le Nmap Scripting Engine est incroyablement puissant. 600+ scripts pour le scan de vulnérabilités, brute-force, énumération, et plus.
💡 Astuce : Lister tous les scripts disponibles :
ls /usr/share/nmap/scripts/ | wc -lCatégories de scripts
nmap --script=vuln TARGETTous les scripts de détection de vulnérabilités — trouve CVEs, misconfigs
nmap --script=safe TARGETTous les scripts marqués safe — ne crashent pas les services, ne déclenchent pas l'IDS
Scripts les plus utiles
nmap -p 445 --script=smb-enum-shares,smb-enum-users,smb-os-discovery TARGETÉnumération SMB — partages, utilisateurs, version OS
nmap -p 80,443 --script=http-enum,http-headers,http-methods,http-title TARGETÉnumération HTTP — répertoires, en-têtes, méthodes autorisées, titres de pages
nmap -p 53 --script=dns-zone-transfer --script-args dns-zone-transfer.domain=DOMAIN TARGETTentative de transfert de zone DNS
nmap -p 21 --script=ftp-anon,ftp-bounce,ftp-syst TARGETÉnumération FTP — login anonyme, attaque bounce, info système
nmap -p 443 --script=ssl-enum-ciphers,ssl-cert,ssl-heartbleed TARGETAudit SSL/TLS — suites de chiffrement, info certificat, vérification Heartbleed
nmap --script=smb-vuln-ms17-010 -p 445 TARGETVérifier EternalBlue (MS17-010) — encore trouvé dans la nature
# Évasion de pare-feu & IDS
Techniques pour contourner les pare-feu, IDS/IPS et éviter la détection pendant les scans.
nmap -f TARGETFragmenter les paquets — diviser en fragments de 8 octets pour évader l'inspection
nmap -D RND:10 TARGETScan avec leurres — générer 10 IP aléatoires pour masquer votre source réelle
nmap -g 53 TARGETPort source 53 — certains pare-feu font confiance au trafic venant du port DNS
nmap --data-length 25 TARGETAjouter des données aléatoires — contourner les signatures basées sur la taille des paquets
nmap --scan-delay 5s TARGETAttendre 5 secondes entre les sondes — évader la détection IDS basée sur le débit
nmap --badsum TARGETEnvoyer des checksums erronés — les vrais hôtes rejettent, les pare-feu/proxies peuvent répondre
# Timing & Performance
Contrôler la vitesse de scan. T0-T1 pour la furtivité, T3 par défaut, T4-T5 pour la vitesse.
| Flag | Template | Usage |
|---|---|---|
| -T0 | Paranoïaque | Évasion IDS — 5 min entre les sondes |
| -T1 | Furtif | Évasion IDS — 15 sec entre les sondes |
| -T2 | Poli | Réduire l'utilisation de bande passante |
| -T3 | Normal | Par défaut — vitesse équilibrée |
| -T4 | Agressif | Scans rapides sur réseaux fiables |
| -T5 | Insensé | Le plus rapide — peut manquer des ports sur réseaux lents |
nmap -T4 --min-rate=1000 -p- TARGETScan complet rapide — timing agressif + minimum 1000 paquets/sec
nmap --max-retries 1 TARGETMaximum 1 retransmission — plus rapide mais pourrait manquer des ports filtrés
# Formats de sortie
Enregistrez vos résultats. Utilisez toujours -oA pour sauvegarder les 3 formats d'un coup.
nmap -oN scan.txt TARGETSortie normale — fichier texte lisible
nmap -oX scan.xml TARGETSortie XML — pour parsing, import dans des outils (Metasploit, etc.)
nmap -oG scan.gnmap TARGETSortie grepable — facile à parser avec grep/awk/cut
nmap -oA scan TARGETLes 3 formats d'un coup — crée scan.nmap, scan.xml, scan.gnmap
nmap -v --reason TARGETVerbose + reason — montrer pourquoi chaque port est ouvert/fermé/filtré
# Combos réels
Combinaisons prêtes à copier-coller pour les scénarios courants de pentest.
💡 Workflow pro : Étape 1 : Découverte rapide des ports. Étape 2 : Scan profond ciblé sur les ports ouverts uniquement.
Recon initiale (Pentest / OSCP)
nmap -p- --min-rate=1000 -T4 TARGET -oN allports.txtÉtape 1 : Scan complet des ports rapide
nmap -p OPEN_PORTS -sC -sV -oA detailed TARGETÉtape 2 : Scan profond sur les ports découverts uniquement (scripts + version)
Audit serveur web
nmap -p 80,443,8080,8443 -sV --script="http-*" TARGETÉnumération HTTP complète — tous les scripts http-* sur les ports web
Active Directory / Contrôleur de domaine
nmap -p 53,88,135,139,389,445,464,636,3268,3269 -sV -sC TARGETScan de ports DC — DNS, Kerberos, RPC, SMB, LDAP, Global Catalog
Scan furtif
nmap -sS -T1 -f -D RND:5 -g 53 --data-length 25 TARGETFurtivité maximale : SYN + timing lent + fragmentation + leurres + port source 53 + padding
Balayage réseau
nmap -sn 10.0.0.0/24 -oG - | grep "Up" | awk '{print $2}' > live_hosts.txtDécouvrir les hôtes actifs et sauvegarder dans un fichier
nmap -iL live_hosts.txt -p- --min-rate=1000 -oA full_scanScan complet des ports sur tous les hôtes actifs découverts
Vous voulez les 11 600+ commandes ?
Cette cheatsheet Nmap n'est qu'un outil. Pentest Mindmap organise 11 600+ commandes dans 32 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.
Essai gratuit de 7 jours →