Blue Team Field NotesDFIR · SOC · Vulnerability Management
Nmap

Découverte et ports

Découverte réseau, ports, versions, OS et NSE dans un cadre d’audit autorisé.

Attention

Scanne uniquement les adresses explicitement autorisées. Commence avec un débit faible sur les environnements sensibles.

Découverte d'hôtes

nmap -sn 192.0.2.0/24 -oA discovery

Sur un réseau local, ARP est généralement utilisé. À travers des routeurs, ICMP et probes TCP peuvent être nécessaires.

Scan TCP ciblé

nmap -sS -Pn -p 22,80,443 192.0.2.10 -oA targeted

Tous les ports

nmap -sS -Pn -p- --min-rate 100 --max-retries 2 192.0.2.10 -oA allports

Adapte --min-rate : une valeur trop élevée peut fausser les résultats ou impacter les équipements.

UDP

nmap -sU -Pn --top-ports 100 192.0.2.10 -oA udp-top100

Le scan UDP est plus lent et produit souvent open|filtered.

États

| État | Interprétation | |---|---| | open | service à l'écoute | | closed | hôte joignable, aucun service | | filtered | filtrage empêche la conclusion | | open|filtered | fréquent en UDP |

Références officielles