6 oktober 2025 · 4 min leestijd · tools
Nmap (Network Mapper) is een open-source tool die door Gordon Lyon (Fyodor) sinds 1997 wordt ontwikkeld voor netwerk-discovery en port scanning. De tool stuurt zelf-opgebouwde IP-pakketten naar doelhosts en analyseert de antwoorden om te bepalen welke hosts leven, welke poorten open staan, welke diensten erop draaien en welke versies. In bijna elke pentest is dit de eerste stap: voor wij iets kunnen testen moeten we weten wat er bereikbaar is.
In een bedrijfsnetwerk pentest is Nmap de tool waarmee wij beginnen. Wij scannen de afgesproken IP-range om actieve hosts te vinden en doen daarna een volledige port scan op iedere host om te zien welke services draaien. Op basis daarvan bepalen wij waar de volgende stappen liggen: webapplicaties krijgen Burp Suite en handmatige tests, kwetsbare diensten gaan in Nuclei of Metasploit, en een AD-pentest start vaak vanuit een gevonden domain controller.
Nmap gebruiken wij ook voor gerichte controles: verifiëren of een poort daadwerkelijk gesloten is na een wijziging, of een afgebakende subset van services in beeld krijgen voordat een dieper-gaande test begint.
Op Kali, Debian en Ubuntu zit Nmap in de standaard-repositories:
sudo apt install nmap
Voor macOS via Homebrew: brew install nmap. Op Windows download je de installer van nmap.org/download; de GUI-variant heet Zenmap.
Onze standaard-scan combineert SYN-scanning, service-detectie, default-scripts en de volledige poort-range, en slaat het resultaat in alle formaten op voor latere analyse:
# Standaard TCP-scan in iedere pentest
nmap -sC -sV -Pn -p- -oA target-tcp target.example.com
# Aparte UDP-scan (gecombineerd is onnodig traag)
sudo nmap -sU --top-ports 100 -oA target-udp target.example.com
Wat de flags doen:
-sC rolt de default NSE-scripts uit (banner-info en basic enumeration, geen exploits)-sV haalt service- en versie-info uit banner-probing-Pn slaat host-discovery over; hosts die niet antwoorden op ping zouden anders worden overgeslagen-p- scant alle 65535 TCP-poorten in plaats van alleen de top-1000-oA target-tcp schrijft target-tcp.nmap, .xml én .gnmap voor parsing en rapportage| Flag | Doel | Voorbeeld |
|---|---|---|
-sC |
Default NSE-scripts (safe, informatief) | nmap -sC target |
-sV |
Service- en versie-detectie | nmap -sV target |
-sU |
UDP-scan (vereist root) | sudo nmap -sU target |
-Pn |
Host-discovery overslaan | nmap -Pn target |
-sn |
Alleen host-discovery, geen port-scan | nmap -sn 10.0.0.0/24 |
-p- |
Alle 65535 TCP-poorten | nmap -p- target |
-p |
Specifieke poorten of ranges | nmap -p 22,80,443 target |
--top-ports |
Top-N meest-voorkomende poorten | nmap --top-ports 100 target |
--min-rate |
Minimaal aantal pakketten per seconde | nmap --min-rate 1000 target |
-oA |
Output in alle formaten (.nmap / .xml / .gnmap) |
nmap -oA scan target |
-T0 t/m -T5 |
Timing-template (0 traagst, 5 snelst) | nmap -T4 target |
--script |
Specifieke NSE-script(s) draaien | nmap --script=smb-vuln-ms17-010 target |
Ping sweep van een subnet. Voordat wij dieper gaan kijken wij eerst welke hosts actief zijn binnen het afgesproken bereik. -sn doet alleen host-discovery zonder de poorten te scannen, en is daarmee snel en stil.
nmap -sn 10.0.0.0/24 -oA hosts-up
Gerichte vulnerability-check via NSE. Wanneer wij willen weten of een specifiek issue op het systeem aanwezig is, bijvoorbeeld het bekende MS17-010 EternalBlue-pad, draaien wij het bijbehorende NSE-script direct in plaats van een volledig generieke scan.
nmap -p 445 --script=smb-vuln-ms17-010 10.0.0.5
UDP top-100 op interne range. UDP-services blijven vaak onbedoeld open (SNMP, NetBIOS-NS, mDNS, NTP). Een volledige UDP-scan op alle 65535 poorten kost dagen, maar de top-100 vangt verreweg het meeste in de praktijk.
sudo nmap -sU --top-ports 100 -Pn -oA udp-internal 10.0.0.0/24
Een Nmap-scan is gewoon TCP- of UDP-verkeer richting elke poort in het range, geen actieve exploit. Maar het volume valt op: een SYN-scan op een /24 met -p- stuurt miljoenen pakketten in korte tijd. Een IDS, IPS of EDR met netwerk-detectie pakt dit zonder moeite op.
Voor het blue-team-perspectief:
-T0 (extreem traag, meerdere minuten tussen pakketten), -f (fragmentatie), of decoy-scans (-D). In onze pentests wegen wij dat alleen mee als detection-resistance expliciet in de scope staat.Voer een Nmap-scan alleen uit op systemen waarvoor u expliciete toestemming heeft. Een scan kan diensten verstoren, alerts genereren, en zonder afgesproken scope is het juridisch ongeoorloofde toegang.
NTLM is het oudere Microsoft challenge-response authenticatieprotocol in Windows-netwerken. Wij tonen waar het lekt in uw AD en hoe u het kunt uitfaseren.
OSINT is het verzamelen van informatie uit openbare bronnen. In een pentest brengen wij ermee in kaart wat een aanvaller over uw organisatie kan vinden.
Kerberoasting kraakt offline service-account-wachtwoorden uit Kerberos TGS-tickets. Wij vinden er in een AD-pentest vrijwel altijd zwakke service-accounts mee.