Instituto tecnologico de celaya

Nmap
Nmap (de Network Mapper) es una utilidad de software libre para explorar,
administrar y auditar la seguridad de redes de ordenadores. Detecta hosts online,
sus puertos abiertos, servicios y aplicaciones corriendo en ellos, su sistema
operativo, que firwalls/filtros corren en una red y de qu tipo son. Es excelente para
hacer trabajos de auditoria de red y fue diseado para llevar acabo escaneos
rpidos en una gran cantidad de redes, pero es igualmente usable en hosts
individuales. Es reconocido como el scanner de puertos ms poderoso. Y se usa
bsicamente para 3 cosas:

Auditorias de seguridad.
Pruebas rutinarias de redes.
Recolector de informacin para futuros ataques. (hackers)

Nmap es software libre y por lo tanto gratuito. Y bsicamente existe una versin
para cada sistema operativo: MacOSX, Microsoft Windows, GNU/Linux, OpenBSD,
Solaris, etc.

Conceptos importantes
Que es un puerto?
Un puerto es una zona en la que dos ordenadores (hosts) intercambian informacin.
La salida de Nmap es un listado de objetivos analizados, con informacin adicional
para cada uno dependiente de las opciones utilizadas. La informacin primordial es
la tabla de puertos interesantes. Dicha tabla lista el nmero de puerto y
protocolo, el nombre ms comn del servicio, y su estado.

El estado del puerto puede ser

Open (abierto): Significa que la aplicacin en la mquina destino se

encuentra esperando conexiones o paquetes en ese puerto
Filtered (filtrado): Indica que un cortafuego, filtro, u otro obstculo en la
red est bloqueando el acceso a ese puerto, por lo que Nmap no puede saber
si se encuentra abierto o cerrado.
Closed (cerrado): Los puertos cerrados no tienen ninguna aplicacin
escuchando en los mismos, aunque podran abrirse en cualquier momento.
Unfiltered (no filtrado): Los clasificados como no filtrados son aquellos que
responden a los sondeos de Nmap, pero para los que que Nmap no puede
determinar si se encuentran abiertos o cerrados

Qu es un servicio?
Un servicio es el tipo de informacin que se intercambia con una utilidad
determinada como ssh o telnet.
Que es un Firewall?
Un firewall acepta o no el trafico entrante o saliente de un ordenador.
Que son paquetes SYN?
Pueden ser paquetes que abren un intento de establecer una conexin TCP.

Instalacin en Linux
Siempre que est basado en Debian o Ubuntu se instala con un simple comando:
sudo apt-get install nmap

Instalacin en Windows
En caso de ambientes Windows para poder descargar nmap, se debe acceder a la
siguiente pgina para descargar el instalador.
http://nmap.org/download.html
Durante la instalacin, si aparece la opcin, debes seleccionar instalar WinPcap.
Para el caso particular de ambientes Windows, al ejecutar el comando que ejecutar
las funciones de nmap debers estar ubicado (por lnea de comandos) en el
directorio donde fue instalado (donde se encuentre el nmap.exe)

Usos bsicos
El uso de esta herramienta puede ser bastante extenso, por esta razn trataremos
de cubrir solo algunos de los casos de uso bsico y ms utilizado.
La forma ms bsica de usarlo es escribir en una consola algo como:
nmap 192.168.1.1
Es decir el comando nmap seguido de una ip o dominio. Este uso tan basico solo
nos devuelve que puertos estn abiertos tras un scan simple. Dependiendo de la
seguridad de la ip que se escanee puede que nos bloquee el escaneo si lo hacemos
de esa manera. Una forma ms discreta de hacerlo que no deja registros en el
sistema es as:

nmap sS 192.168.1.1

Cabe resaltar que existen varios tipos de modificadores de scan lo ms importante

es lograr identificar la combinacin ms apropiada, los modificadores que se
pueden utilizar para realizar el scan son los siguientes:

sT se intenta hacer un barrido de puertos por TCP la ventaja de esta tcnica

es que no requiere usuarios privilegiados, opuesto a sS
sU se intenta hacer un barrido de puertos por UDP, es til cuando se intentan
descubrir puertos de nivel superior que pueden estar detrs de un firewall,
lenta pero permite hacer auditorias mas exactas.
sA se usan mensajes de ACK para lograr que sistema responda y as
determinar si el puerto est abierto algunos Firewall no filtran estos Mensajes
y por ello puede ser efectivo en algunos casos.
sX puede pasar algunos Firewall con malas configuraciones y detectar
servicios prestndose dentro de la red.
sN puede pasar algunos Firewall con malas configuraciones y detectar
servicios prestndose dentro de la red.
sF puede pasar algunos Firewall con malas configuraciones y detectar
servicios prestndose dentro de la red
sP este modificador ayuda a identificar que sistemas estn arriba en la red
(en funcionamiento) para luego poder hacer pruebas ms especficas, similar
a Ping.
sV intenta identificar los servicios por los puertos abiertos en el sistema esto
permite evaluar cada servicio de forma individual para intentar ubicar
vulnerabilidades en los mismos.
sO con esta opcin se identifica que protocolos de nivel superior a capa tres
(Red o Network) responden en el sistema, de esta manera es ms fcil saber
las caractersticas de la red o el sistema que se intenta evaluar.

Adicionalmente a las opciones de scan se pueden especificar opciones que permiten

explotar ms aun la herramienta, dentro de las opciones que ms frecuentemente
se usan estn las de evitar el Ping o mostrar todos los resultados en pantalla al
mximo detalle, veamos cuales son estas opciones:

b Para determinar si la vctima es vulnerable al "bounce attack"

n no hace conversiones DNS para hacer el -sP mas rpido
vv hacer la salida de la herramienta detallada en pantalla
f habilita la fragmentacin de esta forma es mucho ms complejo para un un
firewall u otro tipo de sistema lograr hacer el rastreo.
oN redirige la salida a un archivo.
oX redirige la salida a un archivo XML

--stylesheet con esta opcin se usa una hoja de estilo que hace ms fcil la
lectura de la salida en XML.
P0 indica que no se debe hacer ping a los sistemas objetivo antes de iniciar
el anlisis til para evitar el bloque en algunos Firewall
p se usa para especificar puertos de anlisis o rango de puertos.
T se usa para especificar la velocidad general del scan de esta forma se
puede pasar inadvertido en algunos sistemas que detectan la velocidad de
los paquetes entrantes.

Escaneo Ping
Uno de los ms utilizados por muchos ya que permite determinar los hosts que se
encuentran activos en una red, probemos con nuestra red local (en mi caso es la
192.168.0.1).
$ nmap -sP 192.168.0.1/24
Nmap scan report for dlinkrouter.interlink.net.ve (192.168.0.1)
Host is up (0.0027s latency).
Nmap scan report for 192.168.0.100
Host is up (0.00037s latency).
Nmap scan report for 192.168.0.102
Host is up (0.049s latency).
Nmap scan report for 192.168.0.104
Host is up (0.015s latency).
Nmap done: 256 IP addresses (4 hosts up) scanned in 16.16 seconds
Podemos apreciar que nmap ha encontrado 4 hosts activos, el router y 3 ms,
evidentemente una de ellas es la pc que se utiliza, pero los otros 2 los
descubriremos pronto.
Notemos que hemos puesto un /24 luego de la IP inicial que define mi red, esto
indica que los primeros 24 bits de la IP definen la subred y los 8 bits restantes
definen el espacio reservado para los hosts, es posible tambin indicarlo de las
siguiente manera: 192.168.0.1-255 192.168.0.* lo cual igualmente significa que
se debe tomar la subred de hosts que van desde el 192.168.0.1, 192.168.0.2 ... al
192.168.0.255. Este tipo de subred es la ms comn para redes locales domsticas.
Escaneo TCP Connect
Este se define como el escaneo de puertos ms simple, este listar aquellos puertos
abiertos y asequibles:
$ nmap sT 192.168.0.104
Nmap scan report for 192.168.0.104
Host is up (0.012s latency).
Not shown: 991 closed ports
PORT
STATE SERVICE

80/tcp open http

135/tcp open msrpc
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
2869/tcp open icslap
3580/tcp open nati-svrloc
10243/tcp open unknown
31038/tcp open unknown
Podremos notar algunos de los puertos abiertos para este host y los servicios que
corren en los mismos.
Escaneo TCP SYN
Este tipo de escaneo se basa en no establecer una conexin completa con el host
para descubrirlo, esto se logra al monitorear los primeros pasos al establecer una
conexin conocidos como el saludo de tres vas, este comando ejecuta la siguiente
lgica:

nmap enva al puerto del host el paquete SYN (sincronizar) para notificar que
quiere establecer una conexin.
Si el host responde con un SYN/ACK (sincronizado y reconocido) entonces el
puerto esta abierto.
nmap enva un paquete RST (resetear) para cerrar la conexin
inmediatamente, esto con la intencin de no establecer completamente la
conexin y de que el intento de conexin no aparezca en las bitcoras de
aplicacin.

Este mtodo se consider inicialmente como stealth (sigiloso) por esta ltima razn;
sin embargo es de resaltar que varios firewalls modernos son capaces de detectar
un escaneo TCP SYN simple.
$ nmap sS 192.168.0.104

Escaneo FIN, Null y Xmas Tree

Debido al alto nmero de firewalls buscando atrapar los paquetes SYN que puedan
poner al descubierto los hosts detrs del mismo, surgen estos tipos de escaneos lo
cuales se basan en establecer un juego definido de banderas en el encabezado de
la peticin TCP con la intencin de tratar de evitar el filtrado.
$ nmap sF 192.168.0.104
...
$ nmap sN 192.168.0.104
...

$ nmap sX 192.168.0.104
...
Obtener Sistema Operativo del Host:
Es comn la necesidad de saber a que nos enfrentamos cuando estamos tratando
con el descubrimiento de redes, para esto podemos habilitar la deteccin de
sistema operativo de la siguiente manera:

$ nmap -O 192.168.0.102
...
Nmap scan report for 192.168.0.102
Host is up (0.012s latency).
Not shown: 999 closed ports
PORT
STATE SERVICE
62078/tcp open iphone-sync
MAC Address: **************** (Apple)
Device type: media device|phone
Running: Apple iOS 4.X|5.X|6.X
OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4
cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6
OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 6.1.3 (Darwin 11.0.0 - 12.3.0)
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 59.95 seconds

Escaneo de lista
Este comando nos permitir conocer los nombres de los hosts o direcciones IP de
aquella direccin que indiquemos, esto incluye la resolucin de nombre DNS.
Tengamos en cuenta que este tipo de escaneo no le har ping a los hosts ni
escanear sus puertos.

$ nmap -sL google.com

Nmap scan report for google.com (190.142.193.30)
Other addresses for google.com (not scanned): 190.142.193.25
190.142.193.39 190.142.193.44 190.142.193.50 190.142.193.59
190.142.193.45 190.142.193.20 190.142.193.35 190.142.193.29

190.142.193.40 190.142.193.49 190.142.193.34 190.142.193.24

190.142.193.55 190.142.193.54
Nmap done: 1 IP address (0 hosts up) scanned in 0.65 seconds

Podremos notar que hemos logrado obtener una lista de hosts sobre los cuales est
operando Google en este momento.