Nmap Reference

SYN 스캔(-sS)은 SYN 패킷을 보내고 TCP 핸드셰이크를 완료하지 않아 더 은밀하고 빠릅니다. 기본 스캔 유형이며 root/관리자 권한이 필요합니다. TCP 연결 스캔(-sT)은 완전한 3-way 핸드셰이크를 수행하여 더 탐지되기 쉽지만 관리자 권한이 필요 없고 raw 패킷을 사용할 수 없을 때 동작합니다.

nmap -p- <대상>으로 모든 TCP 포트를 스캔합니다. 자주 사용되는 포트만 빠르게 스캔하려면 --top-ports 100이나 --top-ports 1000을 사용합니다. -p 22,80,443으로 특정 포트를, -p 1-1000으로 범위를 지정할 수도 있습니다. -T4를 함께 사용하면 공격적 타이밍으로 스캔 속도를 높일 수 있습니다.

-A 플래그는 OS 탐지(-O), 서비스 버전 탐지(-sV), 기본 NSE 스크립트(-sC), traceroute(--traceroute)를 하나의 명령으로 결합하는 공격적 스캔을 활성화합니다. 대상에 대한 종합적인 정보를 제공하지만 개별 스캔보다 느리고 탐지되기 쉽습니다.

nmap --script vuln <대상>으로 모든 취약점 탐지 스크립트를 실행합니다. --script ssl-cert(SSL 인증서), --script smb-enum-shares(SMB 공유 열거), --script http-enum(HTTP 디렉토리 탐색) 같은 개별 스크립트도 사용할 수 있으며, --script-args로 스크립트 인자를 전달하여 커스터마이징할 수 있습니다.

T0(편집증, 매우 느림)부터 T5(미친 속도, 매우 빠름)까지 제공됩니다. T0-T1은 IDS 우회용, T3은 기본 균형 모드, T4는 공격적이지만 안정적이어서 대부분의 평가에 권장됩니다. T5는 정확도를 희생할 수 있습니다. 일반 용도에는 -T4, 은밀한 스캔에는 -T1이나 -T2를 사용하세요.

-oN <파일>은 일반 텍스트, -oX <파일>은 XML(파싱 및 도구 연동에 유용), -oG <파일>은 Grepable 형식(텍스트 처리에 편리), -oA <기본이름>은 세 가지 형식을 동시에 저장합니다. XML 형식은 취약점 관리 플랫폼과의 연동에 특히 유용합니다.

-sn은 포트 스캔 없이 호스트 발견(핑 스캔)만 수행하여 네트워크에서 활성 호스트를 빠르게 찾는 데 유용합니다. -Pn은 반대로 호스트 발견 단계를 완전히 건너뛰고 모든 지정된 호스트가 온라인이라 간주하고 포트 스캔을 진행합니다. 방화벽이 ICMP를 차단하고 대상이 살아있다고 알 때 -Pn을 사용합니다.

Nmap OS 탐지는 특수 제작된 TCP, UDP, ICMP 프로브를 대상에 보내고 응답의 미세한 차이(TCP 윈도우 크기, TTL, DF 비트, 옵션 순서 등)를 분석하여 운영 체제를 식별합니다. --osscan-guess로 정확한 매칭이 없을 때 더 공격적으로 추측하고, --osscan-limit로 열린 포트와 닫힌 포트가 각각 하나 이상 있는 호스트에만 OS 탐지를 시도할 수 있습니다.