Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TIPOS DE SCAN:
Additionally there are several less common port scan types, some of which we
will also cover (albeit in less detail). These are:
Para poner el firewall para que conteste a los TCP con reset --> iptables -I INPUT
-p tcp --dport <port> -j REJECT --reject-with tcp-reset
Si ponemos -sS --> Este parámetro indica a nmap que realice un escaneo TCP
SYN. Durante un escaneo TCP SYN, nmap envía paquetes SYN (solicitud de
sincronización) a los puertos de destino. Si el puerto está abierto, el objetivo
responderá con un paquete SYN/ACK (solicitud de sincronización / confirmación
de sincronización), lo que indica que el puerto está en modo escucha y
esperando una conexión. Si el puerto está cerrado, el objetivo responderá con
un paquete RST (reinicio) para indicar que el puerto está cerrado y no está
esperando conexiones. Si el puerto está filtrado por un firewall, el objetivo no
responderá a los paquetes SYN, lo que indica que el estado del puerto es
incierto.
El escaneo NULL --> -sN --> Ocurre cuando la solicitud TCP se envía sin
establecer ninguna bandera en absoluto ( vacío). Según el RFC, el host de
1
destino debería responder con un RST si el puerto está cerrado. La flag es None
y pone none y responde con RST , ACK.
En el escaneo FIN --> -sF --> Se envía con un FIN flag.
En el escaneo XMAS --> -sX --> Se envían paquetes malformados TCP y se
esperan respuestas RST de los puertos rezados. Las banderas PSH, URG y
FINN aparecen con un 1.
** Estos escaneos se utilizan para evitar los Firewalls --> Firewall evasion.
** Microsoft Windows suele responder a estos escaneos RST para cada puerto.
Antes de nada, debemos ver si hay puertos activos. Para ello utilizamos -sn con
nmap --> nmap -sn IP - Subred o IP/subred.
"El interruptor -sn indica a Nmap que no escanee ningún puerto, lo que le obliga
a depender principalmente de paquetes de eco ICMP (o solicitudes ARP en una
red local, si se ejecuta con sudo o directamente como usuario root) para
identificar objetivos. Además de las solicitudes de eco ICMP, el interruptor -sn
también hará que Nmap envíe un paquete TCP SYN al puerto 443 del objetivo,
así como un paquete TCP ACK (o TCP SYN si no se ejecuta como root) al puerto
80 del objetivo."
El puerto 443 generalmente se asocia con conexiones seguras a través de
HTTPS, mientras que el puerto 80 se asocia con conexiones no cifradas a través
de HTTP. Sin embargo, en algunos casos, los servicios en estos puertos pueden
variar dependiendo de la configuración del servidor.
NSE Scripts
Hay diferentes categorías:
2
• discovery:- Attempt to query running services for further information about
the network (e.g. query an SNMP server).
3
paquete. Por lo tanto, este interruptor se puede utilizar para determinar la
presencia de un firewall o sistema de detección de intrusiones (IDS).
--data-lenght se puede usar también para cambiar el tamaño de los datos.
NMAP - TRYHACKME
ENUMERATING TARGET
4
Mencionamos las diferentes técnicas que podemos utilizar para el escaneo en la
Tarea 1. Antes de explicar cada una en detalle y ponerla en práctica contra un
objetivo en vivo, necesitamos especificar los objetivos que queremos escanear.
En términos generales, puedes proporcionar una lista, un rango o una subred
como objetivos. Ejemplos de especificación de objetivos son:
Si deseas verificar la lista de hosts que Nmap escaneará, puedes usar nmap -sL
TARGETS. Esta opción te dará una lista detallada de los hosts que Nmap
escaneará sin escanearlos; sin embargo, Nmap intentará realizar una resolución
inversa de DNS en todos los objetivos para obtener sus nombres. Los nombres
podrían revelar información variada al pentester. (Si no deseas que Nmap
consulte al servidor DNS, puedes agregar -n).
Ejercicios:
• Nos pide que digamos que IP analiza primero nmap --> nmap -sL -n
10.10.12.13/29
5
• -n: Esta opción indica a Nmap que no realice consultas de resolución de
DNS inverso en las direcciones IP. En otras palabras, no intentará resolver
los nombres de host correspondientes a las direcciones IP, lo que puede
acelerar el proceso y reducir la carga en el servidor DNS.
• 10.10.12.13/29: Esto especifica el rango de direcciones IP que se
escanearán. En este caso, se escanearán todas las direcciones IP en el
rango desde 10.10.12.13 hasta 10.10.12.20, ya que es un rango de
tamaño /29 (que incluye 8 direcciones IP en total).
ARP :
¿Cómo sabrías qué hosts están activos y en funcionamiento? Es esencial evitar
perder tiempo escaneando puertos en un host sin conexión o una dirección IP
6
que no se esté utilizando. Hay varias formas de descubrir hosts en línea. Cuando
no se proporcionan opciones de descubrimiento de hosts, Nmap sigue los
siguientes enfoques para descubrir hosts en vivo:
Cuando un usuario con privilegios intenta escanear objetivos en una red local
(Ethernet), Nmap utiliza solicitudes ARP. Un usuario con privilegios es root o un
usuario que pertenece a sudoers y puede ejecutar sudo.Cuando un usuario con
privilegios intenta escanear objetivos fuera de la red local, Nmap utiliza
solicitudes ICMP echo, TCP ACK (Acknowledge) al puerto 80, TCP SYN
(Synchronize) al puerto 443 y solicitudes de marca de tiempo ICMP.Cuando un
usuario sin privilegios intenta escanear objetivos fuera de la red local, Nmap
recurre a un apretón de manos TCP de tres pasos enviando paquetes SYN a los
puertos 80 y 443.Nmap, de forma predeterminada, utiliza un escaneo de ping
para encontrar hosts en vivo y luego procede a escanear solo los hosts en vivo.
Si deseas utilizar Nmap para descubrir hosts en línea sin escanear los sistemas
en vivo, puedes emitir nmap -sn OBJETIVOS. Profundicemos para comprender
mejor las diferentes técnicas utilizadas.
El escaneo ARP es posible solo si estás en la misma subred que los sistemas
de destino. En una red Ethernet (802.3) y WiFi (802.11), necesitas conocer la
dirección MAC de cualquier sistema antes de poder comunicarte con él. La
dirección MAC es necesaria para la cabecera de la capa de enlace; la cabecera
contiene la dirección MAC de origen y la dirección MAC de destino, entre otros
campos. Para obtener la dirección MAC, el sistema operativo envía una consulta
ARP. Un host que responde a las consultas ARP está activo. La consulta ARP
solo funciona si el objetivo está en la misma subred que tú, es decir, en la misma
Ethernet/WiFi. Debes esperar ver muchas consultas ARP generadas durante un
escaneo Nmap de una red local. Si deseas que Nmap solo realice un escaneo
ARP sin escanear puertos, puedes usar nmap -PR -sn OBJETIVOS, donde -PR
indica que solo deseas un escaneo ARP. El siguiente ejemplo muestra a Nmap
utilizando ARP para el descubrimiento de hosts sin ningún escaneo de puertos.
Ejecutamos nmap -PR -sn IP_MÁQUINA/24 para descubrir todos los sistemas
en vivo en la misma subred que nuestra máquina objetivo.
7
sudo nmap -PR -sn 10.10.210.6/24
8
l. Este comando enviará consultas ARP a todas las direcciones IP válidas en tus
redes locales. Además, si tu sistema tiene más de una interfaz y estás interesado
en descubrir los hosts activos en una de ellas, puedes especificar la interfaz
utilizando -I. Por ejemplo, sudo arp-scan -I eth0 -l enviará consultas ARP para
todas las direcciones IP válidas en la interfaz eth0.
ICMP:
9
respuesta, el host se considera inactivo. Este tipo de escaneo puede ser
útil para identificar hosts en redes que filtran o bloquean paquetes ICMP
(como los utilizados en el escaneo de tipo -PE).
3. -sn: Similar al comando anterior, este argumento indica que Nmap realice
un "escaneo sin puertos" o "escaneo de hosts", enfocándose en
determinar la disponibilidad de los hosts en lugar de explorar los puertos.
4. MACHINE_IP/24: Al igual que antes, esto se refiere a la dirección IP del
dispositivo desde el cual estás ejecutando el comando, junto con la
notación CIDR "/24".
10
nmap -PS -sn MACHINE_IP/24
11
TCP ACK PING
Como has supuesto, esto envía un paquete con el flag ACK configurado. Debes
estar ejecutando Nmap como un usuario con privilegios para lograr esto. Si lo
intentas como un usuario sin privilegios, Nmap intentará un handshake de 3
pasos.
Por defecto, se utiliza el puerto 80. La sintaxis es similar a la del ping TCP SYN.
-PA debe ir seguido de un número de puerto, un rango, una lista o una
combinación de ellos. Por ejemplo, considera -PA21, -PA21-25 y -
PA80,443,8080. Si no se especifica ningún puerto, se usará el puerto 80.
La siguiente figura muestra que cualquier paquete TCP con un flag ACK debería
recibir un paquete TCP de vuelta con el flag RST configurado. El objetivo
responde con el flag RST porque el paquete TCP con el flag ACK no forma parte
de ninguna conexión en curso. La respuesta esperada se utiliza para detectar si
el host de destino está activo.
12
4. MACHINE_IP/24: Esto se refiere a la dirección IP del dispositivo desde el
cual estás ejecutando el comando, junto con la notación CIDR "/24".
UDP PING
13
Masscan utiliza un enfoque similar para descubrir los sistemas disponibles. Sin
embargo, para completar su escaneo de red rápidamente, Masscan es bastante
agresivo en la velocidad de generación de paquetes. La sintaxis es bastante
similar: -p puede ir seguido de un número de puerto, una lista o un rango.
Considera los siguientes ejemplos:
14
• masscan MACHINE_IP/24 -p443
• masscan MACHINE_IP/24 -p80,443
• masscan MACHINE_IP/24 -p22-25
• masscan MACHINE_IP/24 --top-ports 100
RESUMEN :
Recuerda agregar -sn si solo estás interesado en descubrir hosts sin explorar
puertos. Omitir -sn hará que Nmap por defecto realice exploración de puertos en
los hosts activos.
15
ESCANEO DE PUERTOS
16
bastante sencilla de entender. En la primera fila, tenemos el número de puerto
TCP de origen y el número de puerto de destino. Podemos observar que el
número de puerto se representa con 16 bits (2 bytes). En la segunda y tercera
filas, encontramos el número de secuencia y el número de acuse de recibo. Cada
fila tiene asignados 32 bits (4 bytes), con un total de seis filas, lo que suma 24
bytes en total.
17
• ACK: La bandera de acuse de recibo indica que el número de acuse de
recibo es significativo. Se utiliza para confirmar la recepción de un
segmento TCP.
• PSH: La bandera de push solicita a TCP que pase los datos a la aplicación
de manera rápida.
• RST: La bandera de reinicio se usa para restablecer la conexión. Otro
dispositivo, como un firewall, podría enviarla para cerrar una conexión
TCP. Esta bandera también se utiliza cuando se envían datos a un host y
no hay un servicio en el extremo receptor para responder.
• SYN: La bandera de sincronización se utiliza para iniciar un apretón de
manos TCP de 3 vías y sincronizar los números de secuencia con el otro
host. El número de secuencia debe establecerse al azar durante el
establecimiento de la conexión TCP.
• FIN: El emisor no tiene más datos para enviar.
RECORDAMOS:
TCP --> 3 Way Handshake
18
Es importante destacar que si no eres un usuario con privilegios (root o sudo),
un escaneo de conexión TCP es la única opción posible para descubrir puertos
TCP abiertos.
En la siguiente ventana de captura de paquetes de Wireshark, vemos a Nmap
enviando paquetes TCP con la bandera SYN configurada a varios puertos, como
256, 443, 143, y así sucesivamente. Por defecto, Nmap intentará conectarse a
los 1000 puertos más comunes. Un puerto TCP cerrado responde a un paquete
SYN con RST/ACK para indicar que no está abierto. Este patrón se repetirá para
todos los puertos cerrados a medida que intentemos iniciar un apretón de manos
TCP de 3 vías con ellos.
19
Notamos que el puerto 143 está abierto, por lo que respondió con un SYN/ACK,
y Nmap completó el apretón de manos de 3 vías enviando un ACK. La figura a
continuación muestra todos los paquetes intercambiados entre nuestro host de
Nmap y el puerto 143 del sistema objetivo. Los primeros tres paquetes son la
finalización del apretón de manos TCP de 3 vías. Luego, el cuarto paquete lo
deshace con un paquete RST/ACK.
Ten en cuenta que podemos usar -F para habilitar el modo rápido y reducir el
número de puertos escaneados de 1000 a los 100 puertos más comunes.
Vale la pena mencionar que también se puede agregar la opción -r para escanear
los puertos en orden consecutivo en lugar de en orden aleatorio. Esta opción es
útil cuando se prueba si los puertos se abren de manera consistente, por
ejemplo, al iniciar un objetivo.
TCP SYN
Los usuarios sin privilegios están limitados al escaneo de tipo "connect". Sin
embargo, el modo de escaneo predeterminado es el escaneo SYN, y requiere
que el usuario tenga privilegios (root o sudo) para ejecutarlo. El escaneo SYN no
necesita completar el apretón de manos TCP de 3 vías; en cambio, deshace la
conexión una vez que recibe una respuesta del servidor. Debido a que no
20
establecemos una conexión TCP, esto disminuye las posibilidades de que el
escaneo quede registrado. Podemos seleccionar este tipo de escaneo utilizando
la opción -sS. La figura a continuación muestra cómo funciona el escaneo TCP
SYN sin completar el apretón de manos TCP de 3 vías.
UDP
UDP es un protocolo sin conexión y, por lo tanto, no requiere un apretón de
manos para establecer una conexión. No podemos garantizar que un servicio
que escucha en un puerto UDP respondería a nuestros paquetes. Sin embargo,
si se envía un paquete UDP a un puerto cerrado, se devuelve un error ICMP de
puerto inaccesible (tipo 3, código 3). Puedes seleccionar el escaneo UDP
utilizando la opción -sU; además, puedes combinarlo con otro escaneo TCP.
La siguiente figura muestra que si enviamos un paquete UDP a un puerto UDP
abierto, no podemos esperar ninguna respuesta a cambio. Por lo tanto, enviar
un paquete UDP a un puerto abierto no nos dirá nada.
21
Sin embargo, como se muestra en la figura a continuación, esperamos recibir un
paquete ICMP de tipo 3, que indica "destino inaccesible", y código 3, que indica
"puerto inaccesible". En otras palabras, los puertos UDP que no generan ninguna
respuesta son los que Nmap indicará como abiertos.
TUNELLING
Puedes especificar los puertos que deseas escanear en lugar de los 1000
puertos por defecto. A estas alturas, especificar los puertos es intuitivo. Veamos
algunos ejemplos:
22
Puedes controlar el ritmo de escaneo usando -T<0-5>. -T0 es el más lento
(paranoico), mientras que -T5 es el más rápido. Según la página de manual de
Nmap, existen seis plantillas:
• paranoico (0)
• sigiloso (1)
• cortés (2)
• normal (3)
• agresivo (4)
• insano (5)
Para evitar alertas de IDS, podrías considerar -T0 o -T1. Por ejemplo, -T0
escanea un puerto a la vez y espera 5 minutos entre el envío de cada sonda, por
lo que puedes imaginar cuánto tiempo llevaría escanear un objetivo para
finalizar. Si no especificas ningún tiempo, Nmap usa el normal -T3. Ten en cuenta
que -T5 es el más agresivo en términos de velocidad; sin embargo, esto puede
afectar la precisión de los resultados del escaneo debido a la mayor probabilidad
de pérdida de paquetes. -T4 a menudo se utiliza durante CTFs (Capture The
Flag) y al aprender a escanear en objetivos de práctica, mientras que -T1 se
utiliza frecuentemente durante compromisos reales donde la furtividad es más
importante.
Alternativamente, puedes optar por controlar la velocidad de los paquetes
usando --min-rate <número> y --max-rate <número>. Por ejemplo, --max-rate 10
o --max-rate=10 asegura que tu escáner no esté enviando más de diez paquetes
por segundo.
Además, puedes controlar la paralelización de las sondas usando --min-
parallelism <numprobes> y --max-parallelism <numprobes>. Nmap sondea los
objetivos para descubrir qué hosts están activos y qué puertos están abiertos; la
paralelización de las sondas especifica el número de esas sondas que pueden
ejecutarse en paralelo. Por ejemplo, --min-parallelism=512 indica a Nmap que
mantenga al menos 512 sondas en paralelo; estas 512 sondas están
relacionadas con el descubrimiento de hosts y puertos abiertos.
RESUMEN:
23
PORT SCAN PLUS
NULL SCAN
- sN
24
FIN SCAN
- sF
XMAS SCAN
-sX
25
en redes modernas; sin embargo, lo incluimos en esta sala para comprender
mejor el mecanismo de escaneo de puertos y la mentalidad de hacking. Para
seleccionar este tipo de escaneo, utiliza la opción -sM.
La mayoría de los sistemas objetivo responden con un paquete RST
independientemente de si el puerto TCP está abierto. En tal caso, no podremos
descubrir los puertos abiertos. La figura a continuación muestra el
comportamiento esperado en los casos de puertos TCP abiertos y cerrados.
Este tipo de escaneo sería útil si hay un firewall en frente del objetivo. En
consecuencia, basándote en qué paquetes ACK obtuvieron respuestas,
aprenderás qué puertos no fueron bloqueados por el firewall. En otras palabras,
este tipo de escaneo es más adecuado para descubrir conjuntos de reglas y la
configuración del firewall.
26
WINDOW SCAN
Otro escaneo similar es el escaneo de ventana TCP. El escaneo de ventana TCP
es casi igual que el escaneo ACK; sin embargo, examina el campo de Ventana
TCP de los paquetes RST devueltos. En sistemas específicos, esto puede
revelar que el puerto está abierto. Puedes seleccionar este tipo de escaneo con
la opción -sW. Como se muestra en la figura a continuación, esperamos recibir
un paquete RST en respuesta a nuestros paquetes ACK "no invitados",
independientemente de si el puerto está abierto o cerrado.
CUSTOM SCAN
Si deseas experimentar con una nueva combinación de indicadores TCP más
allá de los tipos de escaneo TCP integrados, puedes hacerlo utilizando --
scanflags. Por ejemplo, si deseas establecer SYN, RST y FIN simultáneamente,
puedes hacerlo utilizando --scanflags RSTSYNFIN. Como se muestra en la figura
a continuación, si desarrollas tu escaneo personalizado, debes saber cómo se
comportarán los diferentes puertos para interpretar correctamente los resultados
en diferentes escenarios.
27
SPOOFING AND DECOYS
28
En resumen, escanear con una dirección IP falsificada implica tres pasos:
29
Cuando te encuentres en la misma subred que la máquina objetivo, también
podrás falsificar tu dirección MAC. Puedes especificar la dirección MAC de origen
utilizando --spoof-mac DIRECCION_MAC_FALSIFICADA. Esta falsificación de
direcciones solo es posible si el atacante y la máquina objetivo están en la misma
red Ethernet (802.3) o en la misma red WiFi (802.11).
La falsificación solo funciona en un número limitado de casos en los que se
cumplen ciertas condiciones. Por lo tanto, el atacante podría recurrir al uso de
señuelos (decoys) para hacer que sea más difícil identificarlo. El concepto es
simple: hacer que el escaneo parezca estar viniendo de muchas direcciones IP
diferentes para que la dirección IP del atacante se pierda entre ellas. Como se
muestra en la figura a continuación, el escaneo de la máquina objetivo parecerá
provenir de 3 fuentes diferentes y, en consecuencia, las respuestas también irán
a los señuelos.
30
Puedes lanzar un escaneo con señuelos especificando una dirección IP
específica o aleatoria después de -D. Por ejemplo, nmap -D
10.10.0.1,10.10.0.2,YO 10.10.123.78 hará que el escaneo de 10.10.123.78
parezca provenir de las direcciones IP 10.10.0.1, 10.10.0.2 y luego ME para
indicar que tu dirección IP debería aparecer en tercer lugar. Otro ejemplo de
comando sería nmap -D 10.10.0.1,10.10.0.2,RND,RND,ME 10.10.123.78, donde
las terceras y cuartas direcciones IP de origen se asignan al azar, mientras que
la quinta fuente será la dirección IP del atacante. En otras palabras, cada vez
que ejecutes el último comando, esperarías que dos nuevas direcciones IP
aleatorias sean la tercera y cuarta fuente de señuelo.
FRAGMENTED PACKETS
Nmap ofrece la opción -f para fragmentar paquetes. Una vez seleccionada, los
datos IP se dividirán en fragmentos de 8 bytes o menos. Añadir otro -f (-f -f o -ff)
dividirá los datos en fragmentos de 16 bytes en lugar de 8. Puedes cambiar el
valor predeterminado utilizando --mtu; sin embargo, siempre debes elegir un
múltiplo de 8.
Se puede usar --data-length NUM también para cambiar el tamaño de los datas.
31
respuesta a la sonda falsificada. Esto se logra al verificar el valor de identificación
de IP (IP ID) en el encabezado IP. Puedes ejecutar un escaneo ocioso utilizando
nmap -sI IP_ZOMBIE 10.10.123.78, donde IP_ZOMBIE es la dirección IP del
host inactivo (zombie).
El escaneo ocioso (zombie) requiere los siguientes tres pasos para descubrir si
un puerto está abierto:
1. Disparar una respuesta del host inactivo para registrar el valor actual del
IP ID en el host inactivo.
2. Enviar un paquete SYN a un puerto TCP en el objetivo. El paquete debe
estar falsificado para parecer que proviene de la dirección IP del host
inactivo (zombie).
3. Disparar nuevamente la respuesta del host inactivo para poder comparar
el nuevo valor del IP ID con el recibido anteriormente.
32
En el siguiente paso, el atacante enviará un paquete SYN al puerto TCP que
desean verificar en la máquina objetivo. Sin embargo, este paquete utilizará la
dirección IP del host inactivo (zombie) como origen. Surgirán tres escenarios. En
el primer escenario, como se muestra en la figura a continuación, el puerto TCP
está cerrado; por lo tanto, la máquina objetivo responde al host inactivo con un
paquete RST. El host inactivo no responde; por lo tanto, su valor de IP ID no se
incrementa.
33
En el segundo escenario, como se muestra a continuación, el puerto TCP está
abierto, por lo que la máquina objetivo responde con un SYN/ACK al host inactivo
(zombie). El host inactivo responde a este paquete inesperado con un paquete
RST, lo que incrementa su valor de IP ID.
34
En el tercer escenario, la máquina objetivo no responde en absoluto debido a
reglas de firewall. Esta falta de respuesta conducirá al mismo resultado que con
el puerto cerrado; el host inactivo no aumentará el valor del IP ID.
Para el paso final, el atacante envía otro SYN/ACK al host inactivo. El host
inactivo responde con un paquete RST, incrementando nuevamente el valor del
IP ID. El atacante debe comparar el valor del IP ID del paquete RST recibido en
el primer paso con el valor del IP ID del paquete RST recibido en este tercer
paso. Si la diferencia es 1, significa que el puerto en la máquina objetivo estaba
cerrado o filtrado. Sin embargo, si la diferencia es 2, significa que el puerto en el
objetivo estaba abierto.
Vale la pena repetir que este escaneo se llama escaneo ocioso porque elegir un
host inactivo es indispensable para la precisión del escaneo. Si el "host inactivo"
está ocupado, todos los valores de IP ID recibidos serían inútiles.
MORE DETAILS
--reason --> Para ver detalles.
-v --> verbose
-vv --> Más verbose.
-d --> debugging
-dd--> Más debugging.
RESUMEN:
Port Scan Type Example Command
TCP Null Scan sudo nmap -sN 10.10.123.78
TCP FIN Scan sudo nmap -sF 10.10.123.78
TCP Xmas Scan sudo nmap -sX 10.10.123.78
TCP Maimon Scan sudo nmap -sM 10.10.123.78
TCP ACK Scan sudo nmap -sA 10.10.123.78
TCP Window Scan sudo nmap -sW 10.10.123.78
sudo nmap --scanflags URGACKPSHRSTSYNFIN
Custom TCP Scan
10.10.123.78
Spoofed Source IP sudo nmap -S SPOOFED_IP 10.10.123.78
Spoofed MAC Address --spoof-mac SPOOFED_MAC
35
Port Scan Type Example Command
Decoy Scan nmap -D DECOY_IP,ME 10.10.123.78
Idle (Zombie) Scan sudo nmap -sI ZOMBIE_IP 10.10.123.78
Fragment IP data into 8
-f
bytes
Fragment IP data into 16
-ff
bytes
Option Purpose
--source-port PORT_NUM specify source port number
--data-length NUM append random data to reach given length
These scan types rely on setting TCP flags in unexpected ways to prompt ports
for a reply. Null, FIN, and Xmas scan provoke a response from closed ports, while
Maimon, ACK, and Window scans provoke a response from open and closed
ports.
Option Purpose
--reason explains how Nmap made its conclusion
-v verbose
-vv very verbose
-d debugging
-dd more details for debugging
36