10 Formas interesantes de usar Nmap

Nmap es software libre. Y bsicamente existe una versin para cada sistema operativo que
conozcas: MacOSX, Microsoft Windows, GNU/Linux, OpenBSD, Solaris, etc.
Funcionamiento de Nmap
Es capaz se utilizar diferentes tcnicas de evasin de deteccin como escaneo sealth. Soporta
escaneos sobre ciertos puertos especficos, entre rangos IP especficos, uso se paquetes Null, FIN,
Xmas y ACK, adems SYN que es el paquete por defecto. Esto significa que se mandan cierto tipo
de paquetes a cada puerto y estos respondern con alguna seal que permitir a scanner
encontrar versiones y servicios.
Conceptos importantes
Que es un puerto?: Un puerto es una zona en la que dos ordenadores (hosts) intercambian
informacin.
Que es un servicio?: Un servicio es el tipo de informacin que se intercambia con una utilidad
determinada como ssh o telnet.
Que es un Firewall?: Un firewall acepta o no el trafico entrante o saliente de un ordenador.
Que son paquetes SYN?: As por encima, pueden ser paquetes que abren un intento de
establecer una conexin TCP.
Debemos tener en cuenta que para Nmap un puerto puede estar de tres maneras:
open: el puerto es accesible y hay un demonio escuchando.
closed: el puerto es accesible pero no hay un demonio escuchando.
filterd: el puerto no es accesible, un firewall filtra el puerto.
Instalacin en Linux
Siempre que est basado en Debian o Ubuntu se instala con un simple comando:
sudo apt-get install nmap
Si usas otra distribucin podes buscarlo en los repositorios de tu distribucin y 100% seguro que
esta. Y si usas algn otro sistema operativo clic AQU y bjalo.
Como usar Nmap
La forma ms bsica de usarlo es escribir en una consola algo como:
nmap 192.168.1.1
Es decir el comando nmap seguido de una ip o dominio. Este uso tan bsico solo nos devuelve que
puertos estn abiertos tras un scan simple. Dependiendo de la seguridad de la ip que se escanee
puede que nos bloquee el escaneo si lo hacemos de esa manera. Una forma ms discreta de
hacerlo que no deja registros en el sistema es as: nmap sS 192.168.1.1
Cabe resaltar que existen varios tipos de modificadores de scan lo ms importante es lograr
identificar la combinacin ms apropiada, los modificadores que se pueden utilizar para realizar el
scan son los siguientes:
sT se intenta hacer un barrido de puertos por TCP la ventaja de esta tcnica es que no requiere
usuarios privilegiados, opuesto a sS
sU se intenta hacer un barrido de puertos por UDP, es til cuando se intentan descubrir puertos de
nivel superior que pueden estar detrs de un firewall, lenta pero permite hacer auditorias ms
exactas.
sA se usan mensajes de ACK para lograr que sistema responda y as determinar si el puerto est
abierto algunos Firewall no filtran estos Mensajes y por ello puede ser efectivo en algunos casos.
sX puede pasar algunos Firewall con malas configuraciones y detectar servicios prestndose
dentro de la red
sN puede pasar algunos Firewall con malas configuraciones y detectar servicios prestndose
dentro de la red
sF puede pasar algunos Firewall con malas configuraciones y detectar servicios prestndose
dentro de la red
sP este modificador ayuda a identificar que sistemas estn arriba en la red (en funcionamiento)
para luego poder hacer pruebas ms especficas, similar a Ping.
sV intenta identificar los servicios por los puertos abiertos en el sistema esto permite evaluar cada
servicio de forma individual para intentar ubicar vulnerabilidades en los mismos.
sO con esta opcin se identifica que protocolos de nivel superior a capa tres (Red o Network)
responden en el sistema, de esta manera es ms fcil saber las caractersticas de la red o el
sistema que se intenta evaluar.
Adicionalmente a las opciones de scan se pueden especificar opciones que permiten explotar ms
aun la herramienta, dentro de las opciones que ms frecuentemente se usan estn las de evitar el
Ping o mostrar todos los resultados en pantalla al mximo detalle, veamos cuales son estas
opciones:
b Para determinar si la vctima es vulnerable al bounce attack
n no hace conversiones DNS para hacer el -sP mas rpido
vv hacer la salida de la herramienta detallada en pantalla
f habilita la fragmentacin de esta forma es mucho ms complejo para un firewall u otro tipo de
sistema lograr hacer el rastreo.
oN redirige la salida a un archivo
oX redirige la salida a un archivo XML
stylesheet con esta opcin se usa una hoja de estilo que hace ms fcil la lectura de la salida en
XML
PO indica que no se debe hacer ping a los sistemas objetivo antes de iniciar el anlisis til para
evitar el bloque en algunos Firewall
p se usa para especificar puertos de anlisis o rango de puertos.
T se usa para especificar la velocidad general del scan de esta forma se puede pasar inadvertido
en algunos sistemas que detectan la velocidad de los paquetes entrantes.
Bien!
Ya sin ms prembulos comenzamos:
1- Obtener informacin de un host remoto y deteccin del SO:
nmap -sS -P0 -sV -O [direccin]
-sS =escaneo TCP SYN (o escaneo sigiloso)
-P0 =no se envan pings ICMP
-sV =detecta las versiones
-O =se intenta identificar el Sistema Operativo
Otras opciones:
-A =habilita OS fingerprinting y deteccin de versin
-v =usar dos veces -v para obtener ms detalles
2- Listar servidores con un puerto especifico abierto:
nmap -sT -p 80 -oG 192.168.1.* | grep open
Cambiar el argumento -p por el numero del puerto.
3- Detectar IPs activas en una red:
nmap -sP 192.168.0.*
Otra opcin para subnets es:
nmap -sP 192.168.0.0/24
4- Hacer ping a un rango de IPs:
nmap -sP 192.168.1.100-254
Nmap acepta una gran variedad de rangos, notacin de direcciones, objetivos mltiples, etc.
5- Encontrar IPs no usadas en una subnet:
nmap -T4 -sP 192.168.2.0/24 && egrep 00:00:00:00:00:00 /proc/net/arp
6- Escanear en busca del virus Conficker:
nmap -PN -T4 -p139,445 -n -v script=smb-check-vulns script-args safe=1 192.168.0.1-254
Reemplazar 192.168.0.1-254 con las IPs que se quiere escanear.
7- Escanear red en busca de AP falsos:
nmap -A -p1-85,113,443,8080-8100 -T4 min-hostgroup 50 max-rtt-timeout 2000 initial-rtt-
timeout 300 max-retries 3 host-timeout 20m max-scan-delay 1000 -oA wapscan 10.0.0.0/8
Funciona incluso en grandes redes.
8- Crear un seuelo durante el escaneo de puertos para evitar ser
detectado:
sudo nmap -sS 192.168.0.10 -D 192.168.0.2
Escanea los puertos del nodo 192.168.1.10 mientras spoofea la IP 192.168.0.2 como nodo
atacante (esta IP debe estar activa) as parecer que el escaneo se ejecuta desde la IP192.168.0.2
(la ip spoofeada). Comprobar los logs en /var/log/secure para comprobar si ha funcionado
correctamente.
9- Listar los registros DNS inversos de una subred:
nmap -R -sL 209.85.229.99/27 | awk {if($3==not)print($2) no PTR;else print$3 is $2} |
grep (
Este comando hace un reverse DNS lookup en una subred, se crea una lista con las direcciones IP
de los registros PTR en la subred indicada. Se puede insertar la subred en notacin CDIR
(ejemplo: /24 para la Clase C). Puedes agregar -dns-servers x.x.x.x despus del parmetro -sL
si quieres realizar el listado sobre un servidor DNS especifico.
10- Cuntos nodos con Linux y cuntos con Windows hay en una red:
sudo nmap -F -O 192.168.0.1-255 | grep Running: > /tmp/os; echo $(cat /tmp/os | grep
Linux | wc -l) Linux device(s); echo $(cat /tmp/os | grep Windows | wc -l) Window(s)
devices
Utilizada
nmap -T4 -A -v 192.168.11.202