Resposta retirada de aqui :
O Nmap adapta suas técnicas para usar os melhores métodos disponíveis usando o nível de privilégio atual, a menos que você solicite explicitamente algo diferente. As coisas que o Nmap precisa de privilégios de root (ou sudo) no Linux são:
-
Farejando o tráfego de rede com a libpcap
-
Como enviar tráfego de rede não processado
Você pode usar a opção -d para ver o que o Nmap está fazendo em segundo plano, mas a resposta curta é que com privilégios de root em uma LAN Ethernet (como você está usando, baseado nos endereços IP que você listou), o Nmap enviar pacotes ARP brutos e farejar resultados. Responder a solicitações ARP é um pré-requisito para a comunicação IP em tal rede, portanto é quase impossível bloquear ou ocultar esse tipo de verificação. Se você não tem privilégios de root, o Nmap volta a tentar conectar-se a 2 portas TCP (80 e 443), considerando o host "up" se a conexão for bem-sucedida ou redefinida. Um sistema com um firewall drop-all e nenhum serviço em 80 ou 443 não será exibido com esta verificação. Você pode ler mais sobre as técnicas de descoberta de host do Nmap na seção de descoberta de host da página man .