NMAP - NETWORK MAPPER

Perspectiva Blue Team para Detecção e Análise

🎯 OBJETIVO DA PRIMEIRA PARTE

• Compreender a importância do scanning em pentests e operações de reconhecimento
• Dominar as principais funcionalidades do Nmap
• Identificar diferentes tipos de scan e suas características
• Desenvolver capacidade de detecção de atividades de scanning (perspectiva Blue Team)

📍 1. INTRODUÇÃO AO SCANNING EM PENTESTS

O que é Network Scanning?

Importância do Scanning em Pentests

🔍 Reconhecimento (Reconnaissance)

• Mapeamento da superfície de ataque: Identifica todos os pontos de entrada possíveis
• Inventário de ativos: Descobre dispositivos e serviços não documentados
• Identificação de vulnerabilidades: Localiza serviços desatualizados ou mal configurados

📊 Fases do Scanning no Cyber Kill Chain

1. Reconnaissance → 2. Scanning → 3. Enumeration → 4. Exploitation

• Reconnaissance: Coleta de informações passivas
• Scanning: Coleta de informações ativas (Nmap se encaixa aqui)
• Enumeration: Extração detalhada de informações dos serviços
• Exploitation: Exploração das vulnerabilidades encontradas

Perspectiva Blue Team: Por que Monitorar Scanning?

• Indicador de Reconhecimento: Geralmente precede ataques direcionados
• Padrões Anômalos: Scanning massivo pode indicar atividade maliciosa
• Threat Hunting: Permite rastreamento proativo de ameaças
• Incident Response: Scanning pode ser o primeiro indicador de comprometimento

🛠️ 2. NMAP - NETWORK MAPPER

O que é o Nmap?

Principais Características

• Multiplataforma: Linux, Windows, macOS, FreeBSD
• Flexível: Suporta diversos protocolos e técnicas de scanning
• Extensível: Sistema de scripts NSE (Nmap Scripting Engine)
• Rápido: Algoritmos otimizados para scanning em larga escala

Capacidades Principais do Nmap

🌐 Host Discovery

# Ping sweep para descobrir hosts ativos

nmap -sn 192.168.1.0/24

🔍 Port Scanning

# Scan das 1000 portas mais comuns

nmap 192.168.1.100

🔎 Service Detection

# Detecção de versão de serviços

nmap -sV 192.168.1.100

💻 OS Detection

# Fingerprinting do sistema operacional

nmap -O 192.168.1.100

📜 Script Scanning

# Execução de scripts NSE

nmap --script vuln 192.168.1.100

🔄 3. TIPOS DE SCAN NO NMAP

3.1 TCP Connect Scan (-sT)

Características:

• Método: Completa o three-way handshake TCP
• Stealth: Baixo (facilmente detectável)
• Privilégios: Não requer privilégios root
• Velocidade: Mais lento

Como Funciona:

Cliente → SYN → Servidor

Cliente ← SYN/ACK ← Servidor  

Cliente → ACK → Servidor

[Conexão estabelecida]

Cliente → RST → Servidor

[Conexão encerrada]

Comando:

nmap -sT 192.168.1.100

Detecção Blue Team:

• Aparece nos logs de conexão do servidor
• Fácil de identificar em SIEMs
• Gera alertas em sistemas IDS/IPS

3.2 TCP SYN Scan (-sS) - "Half-Open Scan"

Características:

• Método: Não completa o three-way handshake
• Stealth: Alto (mais difícil de detectar)
• Privilégios: Requer privilégios root
• Velocidade: Mais rápido

Como Funciona (Half-Open):

Cliente → SYN → Servidor

Cliente ← SYN/ACK ← Servidor  

Cliente → RST → Servidor

[Conexão não estabelecida - "Half-Open"]

Diagrama Visual do Half-Open Scan:

SCAN NORMAL (TCP Connect):           HALF-OPEN SCAN (TCP SYN):

                                    

Cliente    Servidor                 Cliente    Servidor

   |          |                        |          |

   |---SYN--->|                        |---SYN--->|

   |<-SYN/ACK-|                        |<-SYN/ACK-|

   |---ACK--->| ✓ Porta Aberta         |---RST--->| ✓ Porta Aberta

   |---RST--->|                        |          | (Sem log de conexão)

   |          |                        |          |



Resultado: LOGGED                     Resultado: NOT LOGGED

Comando:

nmap -sS 192.168.1.100

Vantagens para Pentesters:

• Menos provável de ser logado
• Mais rápido que TCP Connect
• Padrão do Nmap (quando executado como root)

Detecção Blue Team:

• Monitorar pacotes SYN sem ACK subsequente
• Configurar IDS para detectar padrões de half-open
• Analisar logs de firewall para pacotes RST anômalos

3.3 UDP Scan (-sU)

Características:

• Protocolo: UDP (connectionless)
• Dificuldade: Mais complexo de interpretar
• Velocidade: Muito lento
• Importância: Muitos serviços críticos usam UDP

Como Funciona:

# UDP Scan básico

nmap -sU 192.168.1.100



# UDP Scan com detecção de versão

nmap -sU -sV 192.168.1.100

Serviços UDP Importantes:

• DNS: Porta 53
• DHCP: Portas 67/68
• SNMP: Porta 161
• NTP: Porta 123
• Syslog: Porta 514

Detecção Blue Team:

• Monitorar tráfego UDP anômalo
• Alertas para scanning de portas UDP sensíveis
• Correlacionar com tentativas de exploração

3.4 FIN Scan (-sF)

Características:

• Método: Envia pacotes TCP FIN
• Stealth: Alto
• Bypass: Pode contornar alguns firewalls básicos

Como Funciona:

Cliente → FIN → Servidor



Se porta fechada: Servidor → RST → Cliente

Se porta aberta: Servidor → (sem resposta) → Cliente

Comando:

nmap -sF 192.168.1.100

3.5 NULL Scan (-sN)

Características:

• Método: Envia pacotes TCP sem flags
• Stealth: Muito alto
• Limitações: Não funciona em sistemas Windows

Comando:

nmap -sN 192.168.1.100

3.6 Xmas Scan (-sX)

Características:

• Método: Envia pacotes com flags FIN, PSH, URG
• Nome: "Christmas Tree" (todas as flags "acesas")
• Stealth: Alto

Comando:

nmap -sX 192.168.1.100