Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sabu Esos
Sabu Esos
http://www.death-master.tk/
Sabuesos en la Red:
El escaneo de puertos
Autor:
Death Master
%&'(na )
http://www.death-master.tk/
ndice de contenidos
ndice de contenidos..........................................................................................................................2 Introduccin.............................................................................................................................................3 Conceptos bsicos..............................................................................................................................4
Estableciendo conexiones: sockets, puertos e IP's....................................................................4 Cabeceras de paquetes TCP, UDP e IC P...................................................................................5 !la"s TCP........................................................................................................................................8 #spectos i$portantes en conexiones TCP..................................................................................9
T%cnicas de escaneo.......................................................................................................................12
TCP connect&'................................................................................................................................12 TCP ()*........................................................................................................................................13 TCP !I*..........................................................................................................................................14 UDP scan.......................................................................................................................................14 #C+ scan.......................................................................................................................................15 *ull scan........................................................................................................................................16 ,$as scan.....................................................................................................................................16 ()*-#C+ scan...............................................................................................................................17 Pin" s.eep....................................................................................................................................17
T%cnicas a/an0adas.........................................................................................................................19
Deteccin del 3in"erprint..............................................................................................................23 Proteccin 3rente a escaneos...................................................................................................26 Introduccin a * #P.......................................................................................................................27 (o3t.are....................................................................................................................................................29 Distribucin de este docu$ento.............................................................................................32 4icencia......................................................................................................................................................33
%&'(na 2
http://www.death-master.tk/
Introduccin
Lara, no abras los puertos que te entran los barcos. Mi amigo AcidBorg, en una clase aburrida... Bienvenidos al quinto manual que publico. Este texto supone un paso impo tante pa a m! en cuanto a la c eaci"n de manuales se e#ie e. $asta a%o a %ab!a esc ito sob e so#t&a e lib e' sob e la se(u idad in#o m)tica en (ene al' * sob e aspectos * t+cnicas conc etas de +sta ,a sabe - c ipto( a#!a * este(ano( a#!a.. /e o este texto es distinto' pues es la p ime a ve0 que esc ibo sob e t+cnicas de %ac1in( pu o * du o. El escaneo de pue tos es se(u amente la t+cnica de %ac1in( m)s usada en el mundo' pues en cualquie 2ataque3 4bien se t ate de una int usi"n ile(al o de una audito !a le(al4 medianamente bien plani#icado' uno de los p ime os pasos %a de se obli(ato iamente el escaneo met"dico de los pue tos de la m)quina en cuesti"n. 5o malo es que la ma*o !a de la (ente no sabe absolutamente nada sob e c"mo #unciona un escaneo de pue tos- ellos saben que lo 6nico que tienen que %ace es ent a en esa p)(ina tan cool con let as ve des sob e #ondo ne( o * calave as po doquie ' ba7a un p o( amita actuali0ado po 6ltima ve0 en el 96' e7ecuta lo e int oduci la 8/ que quie e escanea en la ca7a de texto. El p o( ama m)(ico %a ) el esto' * ellos no quie en sabe c"mo lo %ace' po que no les impo ta. /e o nosot os somos %ac1e s. 9 nosot os nos inte esa muc%o m)s c"mo se las apa:a el p o( ama pa a eali0a seme7ante ta ea que los esultados que pueda p opo ciona nos. ; a%! es donde se distin(ue un %ac1e de cualquie ot o tipo de pe sona- un %ac1e lee m)s que act6a' * cuando act6a lo %ace con plena conciencia de sus actos. /o ot o lado' en cont a de lo que muc%a (ente piensa' existen muc%as t+cnicas distintas de escaneo de pue tos. <ada una tiene sus venta7as * sus desventa7as' * esulta sumamente inte esante conoce las pa a pode eali0a el escaneo adecuado se(6n la ocasi"n lo equie a. 9dem)s' como buenos %ac1e s' estamos inte esados en t es aspectos de una t+cnica- c"mo #unciona' c"mo lleva la a cabo co ectamente * c"mo plantea una de#ensa e#ica0 # ente a ella. =e todo eso %abla emos' * adem)s de ot as t+cnicas avan0adas que siemp e esultan inte esantes de conoce . /o 6ltimo' %o* en d!a no se concibe un texto sob e escaneo de pue tos sin menciona a n$ap' el que es pa a m! %o* po %o* el me7o so#t&a e existente pa a escaneo de pue tos * ot as t+cnicas como detecci"n del #in(e p int del sistema ope ativo. =eci me que escanee al(o * os pedi + una s%ell de >nix * n$ap. ?@odos los sabuesos listosA B9 ol#atea C Dos encanta mete las na ices donde no nos llaman... 0-4.E
Deat5
aster
%&'(na *
http://www.death-master.tk/
Conceptos bsicos
/a a pode comp ende c"mo #unciona un escaneo de pue tos' es imp escindible conoce cie tos aspectos t+cnicos de la arquitectura de Internet. Esta 2a quitectu a de 8nte net3 es la 3a$ilia de protocolos TCP-IPcuanto m)s p o#undamente cono0camos @</F8/' m)s #)cil se ) i(ualmente comp ende todo lo elacionado con 8nte net' * este caso no es una excepci"n. /o des( acia' eali0a un texto detallado sob e @</F8/ pod !a ocupa va ias decenas de veces lo que ocupa ) este manual. Existen in#inidad de lib os sob e @</F8/ en cualquie lib e !a especiali0ada' pe o pa a lee estos lib os %a* que ec%a le muc%as (anas' po que est)n esc itos con un len(ua7e tan t+cnico que casi todo el mundo acaba ) ti ando la toalla * odi)ndome po %abe mencionado siquie a @</F8/. /e o no %a* que des#allece ' pues existen textos mu* buenos * #)cilmente comp ensibles que pueden a*uda nos a conoce @</F8/ de una #o ma m)s sencilla pe o no po ello menos i(u osa. /e sonalmente' de los textos sob e el tema que %e le!do' c eo que el me7o pa a todos aquellos que sepan poco o nada del tema es el eali0ado po el siemp e (enial 6ic7T5or ,le mando un saludo desde aqu! -/.. /od +is encont a toda la in#o maci"n sob e su Taller de TCP-IP en- %ttp-FF&&&.%ac1xc ac1.comFp%pBB2Fvie&topic.p%pAtG10306. 96n as!' * aunque ecomiendo enca ecidamente el se(ui el Taller de TPC-IP de 6ic7T5or' *o vo* a ec%a un some o vista0o a cie tos aspectos de @</F8/ que tienen especial impo tancia en todo lo elacionado con los escaneos de pue tos.
%&'(na 4
http://www.death-master.tk/
1!C EF?<: #tp-FF#tp. #c4edito .o (Fin4notesF #c793.txt TCP &Trans$ision Control Protocol' es sin duda el m)s comple7o de los p otocolos que vamos a t ata . 5a ca acte !stica m)s impo tante de @</ es que se t ata de un protocolo orientado a conexin' lo cual tiene t es consecuencias impo tantes- crea conexiones /irtuales a tra/%s de sockets que pe manecen activos el tiempo que du a la conexi"nH los datos se en/>an ordenados ,lo cual no necesa iamente si(ni#ica que lle(uen en o den....H * se eali0a un constante control de 3luGo pa a evita con(estiona el anc%o de banda disponible. 9%o a ec%emos un vista0o a los campos que componen el paquete @</' teniendo en cuenta que los n6me os en la pa te supe io del paquete ep esentan un contado de bits. /ue to de o i(en ,16 bits.- Ke t ata del puerto ori"en de la conexi"n. /ue to de destino ,16 bits.- Ke t ata del puerto destino de la conexi"n. D6me o de secuencia ,32 bits.- Este n6me o es el que identi3ica de 3or$a un>/oca a un paquete de datos dentro de una $is$a conexin. El n6me o de secuencia es el orden en b8tes ,siemp e como un m6ltiplo de 32 bits. que ocupan los datos del p opio paquete. Ke obtiene sumando el tama:o del paquete inmediatamente ante io en la conexi"n al n6me o de secuencia del mismo. D6me o de con#i maci"n ,32 bits.- Este n6me o si ve pa a con3ir$ar la recepcin de un paquete. @ambi+n ep esenta el orden en b8tes de los datos' * se calcula de i(ual #o ma que el n6me o de secuencia' pe o especto a los paquetes ecibidos. 8nicio de datos ,4 bits.- 8ndica el punto donde co$ien0an los datos * acaba la cabece a @</. Esto es debido a que existen campos opcionales que no siemp e se inclu*en. Ku valo %abitual es 5 , ep esenta la in#o maci"n como $9ltiplos de <= bits.' pe o puede lle(a a se 6. Iese vado ,6 bits.- Espacio ese vado. Ku valo es siemp e 000000. >IL ,1 bit.' 9<M ,1 bit.' /K$ ,1 bit.' IK@ ,1 bit.' K;D ,1 bit.' N8D ,1 bit.- Ke t ata de las distintas banderas &3la"s' del p otocolo @</. 5as t ata emos m)s adelante en detalle. Oentana ,16 bits.- Es el campo enca (ado del control de 3luGo. 8ndica el n9$ero de b8tes que pode$os recibir en el prxi$o paquete' * su #inalidad es evita la satu aci"n de la conexi"n.
%&'(na +
http://www.death-master.tk/
Kuma de comp obaci"n ,16 bits.- 5a su$a de co$probacin &c5ecksu$' es un n6me o que pe mite co$probar que la cabece a de datos no %a lle(ado co upta al destinata io. Ke calcula mediante la su$a en co$ple$ento a uno de :; bits de una cabece a especial ,PP. que contiene los si(uientes datos- di ecci"n 8/ de o i(en ,32 bits.' di ecci"n 8/ de destino ,32 bits.' campo ese vado con valo 0 ,8 bits.' p otocolo ,8 bits. * tama:o del paquete ,16 bits.. /a a sabe m)s sob e la suma de comp obaci"n es inte esante lee el 1!C E:BF: ,#tp-FF#tp. #c4edito .o (Fin4notesF #c1071.txt.. /unte o de u (encia ,16 bits.- /a a optimi0a el env!o de paquetes' TCP per$ite co$binar datos ur"entes con datos nor$ales. El punte o de u (encia indica a partir de qu% b8te los datos de7an de se u (entes pa a se datos no males. Qpciones ,24 bits.- Este campo est) destinado a contene opciones especiales poco comunes del p otocolo @</. 9 nosot os po a%o a nos inte esa poco. -4/ 9colc%ado ,8 bits.- Espacio ese vado' su #inalidad es completa los 24 bits del campo de opciones con ot os 8 bits pa a lo( a una cabece a m6ltiplo de 32 bits. Ku valo es siemp e 00000000. =atos ,x bits.- 5os datos del paquete p opiamente dic%os. UDP +--------+--------+--------+--------+ | Puerto | Puerto | | Origen | Destino | +--------+--------+--------+--------+ | | Suma de | | Longitud | Comprobacin | +--------+--------+--------+--------+ | | Octetos de datos ... +---------------- ... 1!C EF;A: #tp-FF#tp. #c4edito .o (Fin4notesF #c768.txt UDP &User Data"ra$ Protocol' es un p otocolo muc%o m)s sencillo que @</. Kimplemente ec%ando un vista0o a la composici"n de su cabece a podemos ve que +sta es tambi+n muc%o m)s simple. >=/ es un p otocolo no o ientado a conexi"n' lo cual tiene implicaciones m)s all) de la ausencia del establecimiento de conexiones vi tuales o la ausencia de cont ol de #lu7o. J)s adelante ve emos unas conside aciones sob e esto * estudia emos m)s a #ondo las di#e encias ent e @</ * >=/. 9%o a ec%emos un o7o a la cabece a/ue to de o i(en ,16 bits.- Ke t ata del puerto ori"en de la conexi"n. /ue to de destino ,16 bits.- Ke t ata del puerto destino de la conexi"n. 5on(itud ,16 bits.- Es la lon"itud del paquete UDP exp esada en b*tes. Kuma de comp obaci"n ,16 bits.- 5a su$a de co$probacin &c5ecksu$' es un n6me o que pe mite co$probar que la cabece a de datos no %a lle(ado co upta al destinata io. Ke calcula mediante la su$a en co$ple$ento a uno de :; bits de una cabece a especial ,PP. que contiene los si(uientes datos- di ecci"n 8/ de o i(en ,32 bits.' di ecci"n 8/ de destino ,32 bits.' campo ese vado con valo 0 ,8 bits.' p otocolo ,8 bits. * tama:o del paquete ,16 bits.. /a a sabe m)s sob e la suma de comp obaci"n es inte esante lee el 1!C E:BF: ,#tp-FF#tp. #c4edito .o (Fin4notesF #c1071.txt.. =atos ,x bits.- 5os datos del paquete p opiamente dic%os. 5667
0 31 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4irecci n !P origen | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4irecci n !P destino | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 00000000 | Protoco2o | .ama8o de /a9uete | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 0 7 8 15 16 31 0 7 8 15 16 23 24 31
%&'(na ,
http://www.death-master.tk/
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .i/o | ( digo | %uma de com/ro0aci n | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | (#:P1 ;%P;(!#< | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | (#:P1 ;%P;(!#< 4; 4#.1% | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
1!C EF?=: #tp-FF#tp. #c4edito .o (Fin4notesF #c792.txt IC P &Internet Control essa"e Protocol' es un p otocolo bastante si$ple que est) o ientado a 3ines in3or$ati/os o de control de errores. >n paquete 8<J/ no malmente si ve pa a avisa al so#t&a e de al(6n evento que equie e especial atenci"n. /e o %a* al(o que %ace a los paquetes 8<J/ al(o m)s comple7os' * es que excepto los p ime os 32 bits de la cabece a' los dem)s campos no son 3iGos pa a todo paquete 8<J/. Es m)s' una cabece a 8<J/ puede ocupa desde 96 bits %asta 160 bits dependiendo del tipo de $ensaGe IC P que codi#ique ese paquete. /a a comp ende me7o esto' ecomiendo en este caso m)s que nunca lee se el IN<' que en el caso de 8<J/ no es especialmente extenso ni comple7o. Oeamos la est uctu a de la cabece a 8<J/@ipo ,8 bits.- 8ndica el tipo de $ensaGe IC P: 0Gec%o epl* 3Gdestination un eac%able 4Gsou ce quenc% 5G edi ect 8Gec%o 11Gtime exceeded 12Gpa amete p oblem 13Gtimestamp 14Gtimestamp epl* 15Gin#o mation equest 16Gin#o mation epl* <"di(o ,8 bits.- 8ndica' dent o de cada tipo de mensa7e 8<J/' una opcin concreta de +ste. /o e7emplo' en paquetes 8<J/ 2time exceeded3' un c"di(o de 0 si(ni#ica !a que se %a excedido el @@5 ,@ime @o 5ive. * un c"di(o de 1 que se %a excedido el tiempo de eensamblado de los # a(mentos de un paquete. Kuma de comp obaci"n ,16 bits.- 5a su$a de co$probacin &c5ecksu$' es un n6me o que pe mite co$probar que la cabece a de datos no %a lle(ado co upta al destinata io. Ke calcula mediante la su$a en co$ple$ento a uno de :; bits de la su$a en co$ple$ento a uno del paquete IC P comen0ando po el campo de tipo. Ki es co ecta' debe se 0. <ampo especial ,32 bits.- Este campo puede va ia en #unci"n del tipo de mensa7e 8<J/ const uido...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | %in usar | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Puntero | %in usar | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4irecci n de !nternet de 2a Puerta de ;n2ace | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
%&'(na -
http://www.death-master.tk/
@ipo de 8<J/- ec%o' ec%o epl*' in#o mation equest' in#o mation epl*.
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | !dentificador | Nmero de secuencia | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | !dentificador | Nmero de secuencia | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .imestam/ origina2 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .imestam/ de rece/ci n | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .imestam/ de transmisi n | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
<ampo especial de datos ,32 bits.- Este campo puede va ia en #unci"n del tipo de mensa7e 8<J/ const uido...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | %in usar | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | (a0ecera de !nternet + 64 0its de2 datagrama origina2 de datos| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4atos=== | +-+-+-+-+-===
@ipo de 8<J/- timestamp' timestamp epl*' in#o mation equest' in#o mation epl*.
@ipo de 8<J/- destination un eac%able' time exceeded' pa amete p oblem' sou ce quenc%' edi ect.
!la"s TCP
<uando vimos la cabece a @</ nomb + las banderas &3la"s' del p otocolo @</. ?; qu+ son esas #la(sA Kon 6 bits ,: bit por cada 3la". de cont ol. <ada #la( es un indicador especial que cuando est) activo ,su valo es 1. p ovoca unos e#ectos distintos. Oeamos cada uno en detalle!la" U1H &Ur"ent' Este #la( indica que el paquete contiene datos ur"entes. <omo *a di7imos cuando t atamos la cabece a @</' en un paquete pueden co$binarse datos ur"entes con datos no ur"entes' usando en este caso el puntero de ur"encia pa a ma ca d"nde te minan los datos u (entes * comien0an los no males. Este #la( no es mu* usado' pe o s! mu* 6til. /o e7emplo' si en una sesi"n de telnet pulsamos controlIC pa a co ta el comando en e7ecuci"n ,po e7emplo un dp1( 4l en emoto -4/.' ese dato se envia ) como u (ente * se t ata ) antes que los datos no males del paquete. !la" #C+ &#ckno.led"e$ent' Este #la( activo indica que adem)s de los datos que pueda contene el paquete' +ste si ve como con3ir$acin de un paquete ante io mente ecibido. /o tanto' pa a que el n9$ero de con3ir$acin sea tomado en cuenta po la pila TCP-IP' el #la( 9<M debe esta activado. !la" P(J &Pus5' El #la( /K$ indica que se debe /aciar el bu33er de t ansmisi"n o ecepci"n ,se(6n se t ate del emiso o el ecepto .. <uando deseamos envia una cantidad de in#o maci"n ( ande dividida en paquetes' +stos se van situando en un bu33er de trans$isin !I!K &!irst In !irst Kut' %asta que el 6ltimo de ellos est) p epa ado. Este 6ltimo paquete tiene activado el 3la" pus5 e indica que se debe /aciar el bu33er * comen0a el env!o de paquetes.
%&'(na .
http://www.death-master.tk/
9l lle(a los datos al ecepto ' se van situando en ot o bu33er !I!K de recepcin. <uando lle(a el paquete con el #la( pus%' los paquetes salen del bu##e * pasan a la pila. Do siemp e los paquetes lle(an en o den' po lo que puede que lle(ue el paquete con el #la( pus% * #alten a6n al(unos paquetes' pe o esto no supone un p oblema po que se espe a )n los paquetes ausentes * se econst ui )n lue(o todos ( acias al n9$ero de secuencia. 9 la %o a de envia datos es com6n co$binar el 3la" U1H con el 3la" PU(J' pa a evita que los datos u (entes se et asen en el bu##e . !la" 1(T &1eset' <uando enviamos un paquete con el #la( IK@ activado' le estamos diciendo al ot o ext emo de la conexi"n que %a %abido al"9n tipo de proble$a con la sinc oni0aci"n de la conexi"n ,qui0) n6me os de secuencia o de con#i maci"n inco ectos.. 9s!' el 3la" 1(T indica que la conexin 5a de cerrarse 8 /ol/erse a iniciar pa a sincroni0ar correcta$ente ambas pa tes * continua con lo que se estaba %aciendo. !la" ()* &(8nc5roni0ation' El #la( K;D es usado cuando que emos indica un intento de nue/a conexin al ot o %ost. El p oceso conc eto de establecimiento de nuevas conexiones lo ve emos en detalle un poco m)s adelante. !la" !I* &!inali0ation' El #la( N8D activo indica al ot o %ost que desea$os cerrar la conexin' * quedamos a la espe a de que el ot o %ost tambi+n est+ listo pa a ce a la.
El $QK@ 9 env!a un paquete con el 3la" ()* le/antado pa a sincroni0ar con el JK(T L' que a su ve0 esponde con un paquete con los 3la"s ()* 8 #C+ le/antados' como con3ir$acin de ecepci"n del paquete ante io * pa a sincroni0arse con el JK(T #. /o 6ltimo' el $QK@ 9 con3ir$a la recepcin del paquete K;DF9<M mediante un paquete con el 3la" #C+ le/antado. 9 pa ti de ese momento la conexin est establecida * puede continua el #lu7o de paquetes ent e %osts. !inali0acin de una conexin TCP 9l i(ual que la conexi"n @</ debe se establecida de una #o ma co ecta' la #inali0aci"n ,sin e o es. de una conexi"n @</ tambi+n si(ue unos pasos-
%&'(na /
http://www.death-master.tk/
+--------+ Bn /a9uetes de datosC +--------+ | |@--------------------->| | | | &!N | | | |---------------------->| | | | #(, | | | |@----------------------| | | -1%. # | Bn /a9uetes de datosC | -1%. A | | |@----------------------| | | | &!N | | | |@----------------------| | | | #(, | | | |---------------------->| | +--------+ +--------+
@ as una conexi"n con env!o bidi eccional de datos' el $QK@ 9 indica el deseo de 3inali0ar la conexin mediante el env!o de un paquete con el 3la" !I* le/antado. El $QK@ B esponde con un paquete con el 3la" #C+ le/antado pa a con3ir$ar la recepcin del paquete N8D' t as lo cual ter$ina de en/iar los paquetes que tuvie a pendientes pa a da po #inali0ada la conexi"n. <uando todos son enviados' el $QK@ B env!a un paquete con el 3la" !I* le/antado al $QK@ 9' que esponde con un paquete con el 3la" #C+ le/antado pa a con#i ma la ecepci"n' * ambos conside an la conexin 3inali0ada. Estados TCP <omo *a di7imos' @</ es un p otocolo o ientado a conexi"n' * como tal tiene unos estados de3inidos se(6n en qu+ punto de la conexi"n se encuent e el soc1et. Estos estados est)n detallados en el 1!C EF?< * son58K@ED- >n se vido que espe a conexiones de un cliente * escuc5a un puerto' (ene a un socket con estado 4I(TE*. <uando el cliente se conecte' se c ea ) un soc1et con la conexi"n establecida * ot o que quede a la escuc%a. K;D4KED@- 9l envia un paquete con el 3la" ()* le/antado' como p ime paso pa a el saludo en t es tiempos de una conexi"n' el soc1et ent a en el estado ()*M(E*T. K;D4IE<E8OE=- <uando tiene lu(a el se"undo paso del saludo en t es tiempos * se esponde al p ime K;D con un K;DF9<M' los soc1ets tienen estado ()*M1ECEI6ED. EK@9B58K$E=- >na ve0 se co$pleta el saludo en t es tiempos se ent a en estado E(T#L4I(JED * se pe manece en +l du ante todo el tiempo que du a la conexi"n. N8D4R98@41- El soc1et ent a en este estado una ve0 env!a el paquete con el 3la" !I* le/antado pe o a6n no 5a recibido la con3ir$acin de ese paquete. Kolamente se eciben datos. N8D4R98@42- >na ve0 ecibida la con3ir$acin #C+ del paquete !I*' ent amos en este estado. Kolamente se eciben datos. <5QKE4R98@- Ki somos nosot os los que recibi$os el paquete con el 3la" !I* le/antado pe o a6n tene$os datos que en/iar' el soc1et ent a en estado C4K(EMN#IT. <5QK8DL- Ki a$bos 5ost desean 3inali0ar la conexin a la ve0' los soc1ets ent an en estado C4K(I*H. 59K@49<M- >na ve0 enviados sendos paquetes con el 3la" !I* le/antado en la #inali0aci"n de una conexi"n @</' cuando el 6ltimo en %abe enviado el paquete est) pendiente de recibir la con3ir$acin' ent a en estado 4#(TM#C+. @8JE4R98@- >na ve0 enviados sendos paquetes con el 3la" !I* le/antado en la #inali0aci"n de una conexi"n @</' cuando el p ime o en %abe enviado el paquete en/>a la con3ir$acin al 9lti$o paquete !I*' ent a en estado TI EMN#IT pa a espe a un tiempo p udencial que le pe mita ce cio a se de la ecepci"n del mismo. /a a comp ende me7o los estados @</ debemos ec%a un vista0o al dia( ama de estados-
%&'(na )0
http://www.death-master.tk/
+---------+ ---------D acti'e 1P;N | (<1%;4 | D ----------+---------+@---------D D create .(A | E D D snd %)N /assi'e 1P;N | | (<1%; D D ------------ | | ---------D D create .(A | | de2ete .(A D D * | D D +---------+ (<1%; | D | <!%.;N | ---------- | | +---------+ de2ete .(A | | rc' %)N | | %;N4 | | ----------| | ------| * +---------+ snd %)NF#(, ? D snd %)N +---------+ | |@---------------------------------->| | | %)N | rc' %)N | %)N | | $(*4 |@-----------------------------------------------| %;N. | | | snd #(, | | | |------------------------------------| | +---------+ rc' #(, of %)N D ? rc' %)NF#(, +---------+ | -------------| | ----------| G | | snd #(, | * * | (<1%; +---------+ | ------| ;%.#A | | snd &!N +---------+ | (<1%; | | rc' &!N * ------| | ------+---------+ snd &!N ? D snd #(, +---------+ | &!N |@---------------------------------->| (<1%; | | H#!.-1 |-----------------| H#!. | +---------+ rc' &!N D +---------+ | rc' #(, of &!N ------| (<1%; | | -------------snd #(, | ------- | * G * snd &!N * +---------+ +---------+ +---------+ |&!NH#!.-2| | (<1%!N+ | | <#%.-#(,| +---------+ +---------+ +---------+ | rc' #(, of &!N | rc' #(, of &!N | | rc' &!N -------------- | .imeoutI2:%< -------------- | | ------G * -----------G * D snd #(, +---------+de2ete .(A +---------+ ------------------------>|.!:; H#!.|------------------>| (<1%;4 | +---------+ +---------+
%&'(na ))
http://www.death-master.tk/
T%cnicas de escaneo
;a conocemos los udimentos t+cnicos en los que se basa cualquie escaneo de pue tos. Es el momento de pasa a la pa te dive tida H4.. Oamos a ec%a un vista0o a las distintas t+cnicas de escaneo que existen' a su base t+cnica' a c"mo eali0a las' as! como a valo a los p os * los cont as que conllevan. <omp ende emos que escaneando un mismo %ost de distintas #o mas obtenemos esultados distintos' as! como po qu+ pa a eali0a al(unas de estas t+cnicas necesitamos unos p ivile(ios especiales en el sistema. 9qu! tenemos un dia( ama con la clasi#icaci"n de las distintas t+cnicas de escaneo+-----------------+ | .i/o de escaneo | +--------+--------+ | +----------------+------------------+----------------+---------------+ | | | | | | | | | | | | | | | +----+----+ +-------+-------+ +------+-----+ +-----+----+ +---+---+ | #0ierto | | :edio a0ierto | | %i2encioso | | Aarridos | | 1tros | +----+----+ +-------+-------+ +------+-----+ +-----+----+ +---+---+ | | | | | | | | | | +-------+-------+ +----+----+ +----+----+ +-----+----+ +----+-----+ | .(P connect57 | | .(P %)N | | .(P &!N | | .(P ec3o | | "4P scan | +-------+-------+ +----+----+ +----+----+ +-----+----+ +----+-----+ | | | | | +-------+-------+ +------+------+ +-----+----+ +-----+----+ +-------+---------+ | $e'erse !dent | | Jom0ie scan | | #(, scan | | "4P ec3o | | &.P 0ounce scan | +---------------+ +-------------+ +-----+----+ +-----+----+ +-----------------+ | | +-----+-----+ +----+----+ | Nu22 scan | | .(P #(, | +-----+-----+ +----+----+ | | +-----+-----+ +----+----+ | Kmas scan | | .(P %)N | +-----+-----+ +----+----+ | | +------+-------+ +-----+-----+ | %)N?#(, scan | | !(:P ec3o | +------+-------+ +-----------+ | +---------+---------+ | &ragmentaci n .(P | +-------------------+
TCP connect&'
Esta t+cnica es qui0) la m)s com6n en cualquie so#t&a e de escaneo de pue tos. 5a t+cnica consiste en usar la lla$ada connect() de TCP pa a intentar establecer una conexin con cada uno de los puertos del %ost a escanea . Ki la conexin se establece' el pue to est) abierto ,escuc%ando conexiones.H en caso de ecibi un aviso de cierre de conexin ,IK@.' el pue to esta ) cerradoH * en caso de no recibir respuesta' se deduce que el pue to est) silencioso. Este tipo de escaneo es extre$ada$ente rpido' pues puede eali0a se de #o ma pa alela pa a distintos pue tos mediante el uso de /arios sockets. 9dem)s' es un escaneo 3cil de i$ple$entar. Ku p incipal desventa7a es que es lla$ati/o en exceso' pues esulta a todas luces llamativo establece cientos o miles de conexiones en un ma (en de pocos se(undos. 9dem)s' al eali0a se intentos completos de conexi"n' cualquie sistema (ua da ) re"istros.
%&'(na )2
http://www.death-master.tk/
3ost 2oca2 ---L%)NM---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 @---L%)N?#(,M--- L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L#(,M---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo TCP connect&' mediante el comandonmap -vv -P0 -s !!!.!!!.!!!.!!!
TCP ()*
Esta t+cnica' tambi+n conocida como Jal3Mopen scan ,es el escaneo medio abie to po excelencia.' es pa ecida a la ante io con la impo tante salvedad de no establece completamente las conexiones. En p ime lu(a ' se en/>a un paquete ()* que #in(e intenta establece una conexi"n * se espe a la espuesta. (i lle"a un paquete ()*-#C+ si(ni#ica que el pue to est) abiertoH si lle(a un paquete 1(T' el pue to est) cerradoH * si no se recibe respuesta se asume que est) silencioso. En el caso de que el pue to est+ abie to * ecibamos el paquete K;DF9<M ,es deci ' est)n completos dos de los t es pasos del saludo en t es tiempos.' nosot os no respondere$os con un paquete #C+ como se !a lo espe ado' sino que $andare$os un paquete 1(T. ?/a a qu+A /ues p ecisamente pa a e/itar que se co$plete el inicio de conexin *' po tanto' evita que el sistema e(ist e el suceso como un intento de conexi"n. En sistemas sin p otecci"n espec!#ica de co ta#ue(os o 8=K' este escaneo suele pasa desape cibido. >na ca acte !stica impo tante de este escaneo es que requiere ele/ados pri/ile"ios en el sistema pa a pode lan0a lo' debido a que este tipo de paquetes usan sockets TCP ra.. /o tanto' solo el root puede lan0a escaneos @</ K;D. 5a p incipal venta7a de este tipo de escaneo es que suele se bastante discreto * o# ece unos resultados bastante buenos. Ent e sus desventa7as encont amos el que es al(o lento de reali0ar' * que un sistema con un 3ire.all o un ID( ,aunque al(unos mu* b)sicos no. lo detectar e identi3icar co$o escaneo de pue tos sin nin(una duda. <ompo tamiento del escaneo3ost 2oca2 ---L%)NM---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 @---L%)N?#(,M--- L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L$%.M---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo TCP ()* mediante el comandonmap -vv -P0 -s" !!!.!!!.!!!.!!!
%&'(na )*
http://www.death-master.tk/
TCP !I*
El escaneo TCP !I*' tambi+n conocido como (tealt5 scan ,se t ata del escaneo silencioso m)s conocido.' es uno de los m)s discretos que podemos encont a dent o de las t+cnicas convencionales. Ke apo*a en una pa ticula idad de los est)nda es inte nacionales de @</F8/. 9 la %o a de eali0a el escaneo' se en/>a un paquete !I* al pue to del %ost destino que que emos escanea . 5os est)nda es de @</F8/ dicen que al ecibi un paquete N8D en un pue to ce ado' se %a de esponde con un paquete IK@. 9s! pues' si recibi$os 1(T po espuesta' el pue to est) cerrado' * en caso de no recibir respuesta ,se i(no a el paquete N8D. el pue to puede encontrarse abierto o silencioso. Ssto supone uno de los p incipales inconvenientes del escaneo @</ N8D' * es que los puertos que nos 3i"uran co$o abiertos, pueden estar en realidad en estado silencioso ,puesto que un pue to silencioso po de#inici"n i(no a cualquie paquete ecibido.. 9s! pues' este tipo de escaneos no obtienen unos resultados 3iables' * ese es su tal"n de 9quiles. Qt a ( an desventa7a de este sistema de escaneo viene de cie ta compa:!a de so#t&a e que tiene po costumb e pasa se po el #o o cualquie est)nda in#o m)tico... s!' esa misma que est)is pensandoJic oso#t. En los siste$as Nindo.s' un pue to ce ado i(no a los paquetes N8D' po lo que escanear un siste$a de este tipo con ()* !I* nos "enerar una enor$e lista de puertos abiertos' aunque ealmente est+n ce ados o silenciosos. 9s! que cuidado a la %o a de usa esta t+cnica. <omo venta7a' tenemos el que estos escaneos pasan desapercibidos en la "ran $a8or>a de los 3ire.alls' al no intenta establece nin(una conexi"n. >n 8=K bien con#i(u ado' lo detecta ). <ompo tamiento del escaneo3ost 2oca2 ---L&!NM---> L1M Puerto .(P a0ierto en e2 3ost remoto -%!N $;%P";%.#3ost 2oca2 ---L&!NM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L&!NM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo TCP !I* mediante el comandonmap -vv -P0 -s# !!!.!!!.!!!.!!!
UDP scan
Esta t+cnica' # ente a las dem)s t+cnicas o ientadas a @</' est) orientada al protocolo UDP * sus pue tos. 9unque a p io i pa e0ca que los pue tos >=/ no son mu* inte esantes' se vicios como el pcbind de Kola is' @N@/' KDJ/' DNK... usan todos ellos >=/ como p otocolo de t ans#e encia. El sistema de escaneo consiste en $andar un paquete UDP /ac>o ,0 b*tes de datos. al pue to que deseamos escanea . Ki el pue to est) cerrado' el sistema responder con un paquete IC P de tipo < ,destino inalcan0able.. En caso de no responder' el pue to puede esta abierto o silencioso. Este sistema puede p esenta un "ra/e proble$a de carencia de /elocidad se"9n en qu% siste$as' * es que en el 1!C E:A:=MO1equire$ents 3or IP /ersion P routersO ,#tp-FF#tp. #c4edito .o (Fin4notesF #c1812.txt. se ecomienda li$itar la capacidad de "eneracin de $ensaGes IC P de error. En sistemas 4inux ,consulta el #ic%e o -ip/P-ic$p@5 de las #uentes del 1e nel. esta limitaci"n est) #i7ada en unos =B $ensaGes po se(undo. Kistemas como (olaris son m)s est ictos * tiene la limitaci"n #i7ada en = por se"undo. /e o %a* un sistema que' pa a va ia ' no %ace muc%o caso a los est)nda es' po lo que no tiene nin(una limitaci"n p e#i7ada... s!- Rindo&s. >n escaneo >=/ a un siste$a Nindo.s esulta extre$ada$ente rpido como consecuencia de ello.
%&'(na )4
http://www.death-master.tk/
3ost 2oca2 ---B"4PC---> B1C Puerto "4P a0ierto en e2 3ost remoto -%!N $;%P";%.#3ost 2oca2 ---B"4PC---> BKC Puerto "4P cerrado en e2 3ost remoto 3ost 2oca2 @---|!(:P O3|--- BKC Puerto "4P cerrado en e2 3ost remoto 3ost 2oca2 ---B"4PC---> BNC Puerto "4P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo UDP mediante el comandonmap -vv -P0 -s$ !!!.!!!.!!!.!!!
#C+ scan
5a ma*o !a de las t+cnicas de escaneo nos pe miten identi#ica con exactitud los pue tos abie tos o ce ados' pe o (ene almente los puertos silenciosos no se pueden identi#ica con cla idad. El escaneo #C+ est) destinado a identi3icar de 3or$a precisa cundo un puerto se encuentra en estado silencioso. Esta t+cnica es usada tambi+n pa a pode escanea %osts que est+n det )s de un #i e&all que bloquee los intentos de conexi"n ,paquetes K;D.. Ku #uncionamiento se basa en el en/>o de paquetes #C+ con n9$eros de secuencia 8 con3ir$acin aleatorios. <uando eciba el paquete' si el pue to se encuent a abierto' responder con un paquete 1(T' pues no identi#ica ) la conexi"n como su*aH si el pue to est) cerrado responder con un paquete 1(T' pe o si no se obtiene respuesta ,obviamente p ime o debemos ase(u a nos que el %ost est) en l!nea. podemos identi#ica cla amente el pue to como 3iltrado ,puerto silencioso.. Do malmente el escaneo 9<M se eali0a como apo8o a un escaneo anterior' pa a dete mina los pue tos silenciosos * pode identi3icar mediante una combinaci"n de t+cnicas el estado real de todos ellos. /o e7emplo' ante un %ost con un #i e&all que bloquee intentos de conexi"n ,K;D.' podemos eali0a un N8D scan pa a dete mina los pue tos ce ados' * despu+s un 9<M scan pa a dete mina qu+ pue tos est)n abie tos * cu)les silenciosos. Esta t+cnica tambi+n es usada como /ariante del pin" ,8<J/ ec%o. de toda la vida' pa a sabe si un 5ost est acti/o , ecibi emos respuesta 1(T. o no ,cuando no 5a8 respuesta o la espuesta es destino inalcan0able.. <ompo tamiento del escaneo3ost 2oca2 ---L#(,M---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 @---L$%.M--- L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L#(,M---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L#(,M---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
%&'(na )+
http://www.death-master.tk/
*ull scan
Este escaneo tiene muc%os puntos en co$9n con el escaneo !I*. Ku #uncionamiento base es el mismoen/ia$os un paquete $al3or$ado ,en este caso se t ata de un paquete @</ con todos los 3la"s desacti/ados. * espe amos la espuesta. En caso de que el pue to destino est+ cerrado' nos responder con un paquete 1(TH * en caso de no recibir nada ,nuest o paquete es i(no ado.' se t ata de un pue to abierto o silencioso. 5a venta7a # ente al escaneo N8D adica en que cie tos #i e&alls vi(ilan los paquetes de #inali0aci"n de conexi"n adem)s de los de establecimiento' de #o ma que el escaneo nulo pod ) eali0a se all! d"nde el N8D no se !a posible. El esto de venta7as * desventa7as son las mismas que en el escaneo N8D. <ompo tamiento del escaneo3ost 2oca2 ---L M---> L1M Puerto .(P a0ierto en e2 3ost remoto -%!N $;%P";%.#-
3ost 2oca2 ---L M---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L M---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo *ull mediante el comandonmap -vv -P0 -s% !!!.!!!.!!!.!!!
,$as scan
El escaneo Tmas se basa tambi+n en el p incipio de la espuesta IK@ po pa te de un pue to ce ado al ecibi un paquete inco ecto ,como el escaneo N8D.. En el caso del escaneo ,$as' se t ata de un paquete con los 3la"s !I*, U1H 8 P(J acti/ados ,aunque cie tas implementaciones activan N8D' >IL' /K$' 9<M * K;D e incluso al(unas activan todos los #la(s.. /od !a deci se que es lo cont a io del escaneo Dull' pe o lo( ando el mismo e#ecto. 9l i(ual que el escaneo Dull' se usa ba7o cie tas ci cunstancias en las que el escaneo N8D no es posibleH * tambi+n compa te con +stos sus pa ticula idades. <ompo tamiento del escaneo3ost 2oca2 ---LGmasM---> L1M Puerto .(P a0ierto en e2 3ost remoto -%!N $;%P";%.#3ost 2oca2 ---LGmasM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---LGmasM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo ,$as mediante el comandonmap -vv -P0 -s& !!!.!!!.!!!.!!!
%&'(na ),
http://www.death-master.tk/
()*-#C+ scan
Este tipo de escaneo tiene una base parecida a los ante io mente citados !I*' *ull * ,$as' pe o con la sustancial di#e encia de que en este caso los paquetes $al3or$ados 3in"en ser un error en la t ansacci"n de una conexi"n le(!tima. Jediante esta t+cnica' se en/>a un paquete ()*-#C+ al pue to que deseamos escanea en el %ost emoto. Ki el pue to se encuent a cerrado' nos responder con un paquete 1(T. En caso de esta abierto o silencioso' simplemente i"norar el paquete * no obtend emos espuesta. <omo venta7a' este tipo de escaneo e/ade la $a8or>a de 3ire.alls e ID( sencillos' pe o compa te con los escaneos ante io mente citados sus p oblemas' p incipalmente la 3alta de 3iabilidad a la %o a de dete mina los puertos abiertos o silenciosos. <ompo tamiento del escaneo3ost 2oca2 ---L%)N?#(,M---> L1M Puerto .(P a0ierto en e2 3ost remoto -%!N $;%P";%.#3ost 2oca2 ---L%)N?#(,M---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L%)N?#(,M---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
Pin" s.eep
>n pin" s.eep ,tambi+n llamado barrido de pin". no es en ealidad una t+cnica de escaneo de pue tos... sino m)s bien una t+cnica de escaneo de 5osts. Es el momento de %abla de una opci"n de n$ap que %e incluido en el e7emplo de todos los escaneos de los que %emos %ablado %asta a%o a. Es la opci"n -P0. Oeamos qu+ dice la (u!a de e#e encia )pida de n$ap ,nmap -h. al especto de este comando...
-P0 4onPt /ing 3osts 5needed to scan QQQ=microsoft=com and ot3ers7
E#ectivamente' mediante esta opci"n lo( amos que' antes de eali0a el escaneo de pue tos p opiamente dic%o' el so#t&a e no co$pruebe si el 5ost est acti/o. ; os p e(unta +is' ?pa a qu+ demonios me (usta !a a m! que no se eali0a a esa comp obaci"nA /ues es una t+cnica mu* com6n el dene(a ' v!a #i e&all' la salida de paquetes IC P ec5o repl8. 9s!' al eali0a un pin( a un %ost' +ste no esponde * puede pa ece que est+ inactivo. / obad a eali0a un pin( a &&&.mic oso#t.com * lue(o visitad su &eb. 9%o a ima(inad que el obGeti/o de nuest o escaneo va a se toda una red ,po e7emplo 192.168.0.0F24.' en lu(a de un 6nico %ost. 5o p ime o que nos inte esa ) es sabe qu% 5osts estn acti/os' pues si escanea$os toda la red con la opci"n -P0' pe de emos muc%o tiempo mandando paquetes * espe ando la espuesta de equipos que en ealidad est)n inactivos. /e o cabe la posibilidad de que al(unos equipos nos %a(an c ee que est)n inactivos cuando en ealidad no lo est)n... * aqu! es donde ent an las dive sas t+cnicas de pin" s.eep. Jediante esta t+cnica' se eali0a un barrido comp obando qu+ %ost dent o de un an(o se encuent an acti/ados. 5os m+todos pa a comp oba esto son va iosTCP ec5o: Env!o de paquetes TCP al pue to ec%o ,TCP-F.. Ki recibe respuesta' el %ost est) activo. UDP ec5o: Env!o de paquetes UDP al pue to ec%o ,UDP-F.. Ki recibe respuesta' el %ost est) activo. TCP #C+: Env!o de paquetes TCP #C+. Ki se obtiene respuesta 1(T' el %ost est) activo. TCP ()*: Env!o de paquetes TCP ()*. Ki se obtiene respuesta 1(T o ()*-#C+' el %ost est) activo. IC P ec5o: Este es el pin( de toda la vida. IC P ec5o request e IC P ec5o repl8.
%&'(na )-
http://www.death-master.tk/
9unque todas ellas son v)lidas' incluso el pin( cl)sico' las $s e3ecti/as son TCP #C+ 8 TCP ()*. TCP ec5o 8 UDP ec5o no son $u8 usadas ni 6tiles' pues p )cticamente nin(6n %ost tend ) abie to el pue to ec%o * si lo tiene' es poco p obable que bloquee los intentos de pin( no males. En nmap podemos invoca un pin" s.eep mediante estos comandos@</ 9<M- nmap -vv -sP -P !!!.!!!.!!!.!!!'!! @</ K;D- nmap -vv -sP -P" !!!.!!!.!!!.!!!'!! 8<J/ ec%o- nmap -vv -sP -P( !!!.!!!.!!!.!!!'!! @</ 9<M e 8<J/ ec%o en pa alelo- nmap -vv -sP -PB !!!.!!!.!!!.!!!'!! 5a t+cnica TCP #C+ e IC P ec5o en paralelo eali0a a la ve0 ambas t+cnicas' de #o ma que se pueda e/adir un 3ire.all que implemente p otecci"n cont a una de esas t%cnicas. Este modo es el usado po n$ap en caso de no especi#ica nin(uno ,nmap -vv -sP !!!.!!!.!!!.!!!'!!.. Es 6til re3or0ar la exploracin del modo 4/B con un pin" TCP ()* ,4/K.' pues cie tos #i e&alls bloquean tanto los intentos de pin( 8<J/ ec%o como @</ 9<M.
%&'(na ).
http://www.death-master.tk/
T%cnicas a/an0adas
;a conocemos' adem)s de las bases t+cnicas' una ( an va iedad de t+cnicas 2est)nda 3 de escaneo de pue tos- las m)s sencillas * comunes. /e o existen ot as t%cnicas $s co$pleGas que a%o a vamos a t ata . El que sean m)s comple7as no es sinni$o de $a8or e3ecti/idad' pues *a %emos visto va ias veces que no %a* un 6nico escaneo que sea 6til pa a todo' sino que la t+cnica a usa depende de la situaci"n... * casi siemp e lo me7o es usar una co$binacin de t%cnicas. Ec%emos un vista0o a estas t+cnicas 2especiales3-
1e/erse Ident
9ntes de %abla del escaneo 8dent inve so' debemos %abla del Protocolo de Identi3icacin que est) de#inido en el 1!C E:P:< MOIdenti3ication ProtocolO ,#tp-FF#tp. #c4edito .o (Fin4notesF #c1413.txt.. El #in del p otocolo 8dent es p opo ciona in3or$acin acerca de la identidad del usuario de una conexin TCP' pa a lo cual existe un demonio a la escuc%a al que' enviando una quer8 en una dete minada est uctu a ,de#inida en el IN<.' devuelve la in#o maci"n del usua io. Esto es lo que se llama 8dent... ?* entonces qu+ es 8dent inve soA Jediante Ident in/erso somos nosot os los que establece$os una conexin con el 5ost re$oto * lue(o p e(untamos a 8dent po su usua io. =e ca a al %ost emoto' el usua io de esa conexi"n se(ui ) siendo el usua io de su sistema' aunque la conexi"n la %a*amos establecido nosot os. =ado que esta t+cnica requiere que se estable0ca co$pleta$ente una conexin TCP' su base es el escaneo TCP connect&'. >na ve0 establecida la conexi"n con el pue to en el %ost emoto' edi i(imos una que * al pue to 8dent * obtenemos as! in#o maci"n bastante inte esante sob e qui+n es el usua io t as esa conexi"n. Qbviamente no tiene el mismo inte +s un demonio co iendo con p ivile(ios de nobod* ,%ttpd. o con p ivile(ios de oot... Es impo tante tene en cuenta que no todos los 5osts corren el ser/icio de Ident' * de los que lo %acen' muc%os usan al(6n tipo de sistema de identi#icaci"n. Do obstante' puede esulta mu* 6til ba7o dete minadas ci cunstancias... Ssta t+cnica #ue desc ita po p ime a ve0 po =ave Loldsmit% en 1996' en un co eo a la lista de Lu"traq. <ompo tamiento del escaneo3ost 2oca2 ---L%)NM---> 3ost 2oca2 @---L%)N?#(,M--3ost 2oca2 ---L#(,M---> 3ost 2oca2 ---L9uerRM---> 3ost 2oca2 @---L!dentM--L1M L1M L1M L1M L1M Puerto Puerto Puerto Puerto Puerto .(P a0ierto en e2 3ost remoto .(P a0ierto en e2 3ost remoto .(P a0ierto en e2 3ost remoto .(P?113 a0ierto en e2 3ost remoto .(P?113 a0ierto en e2 3ost remoto
3ost 2oca2 ---L%)NM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo re/erse Ident mediante el comandonmap -vv -P0 -s -( !!!.!!!.!!!.!!!
%&'(na )/
http://www.death-master.tk/
2o$bie scan
Este tipo de escaneo' tambi+n conocido como Du$b scan' IP ID Jeader scan' e Idle scan #ue desc ito po p ime a ve0 po antire0 en un co eo a la lista de Lu"traq. Ku #uncionamiento es bastante in"enioso ,* al(o ebuscado. * basa su t+cnica en particularidades de la pila TCP-IP de la ma*o !a de los sistemas ope ativos. Do malmente el escaneo dumb se eali0a basado en la t%cnica del escaneo ()*' pe o nada nos impedi !a eali0a lo con cualquie ot a. Iequisito indispensable pa a pode lleva a cabo este escaneo es pode conta con un 5ost 0o$bie ,du$$8 5ost' du$b 5ost..... ?; qu+ es un %ost 0ombieA 9l cont a io que un %ost basti"n' un %ost 0ombie es aquel que estando online tiene un tr3ico $u8 baGo o ,me7o a6n. nulo. $a* que deci que encont a un %ost de este tipo es mu* complicado * equie e buenas dosis de paciencia * de pin" s.eep... /o tanto' en este escaneo pa ticipan t es %osts- 5ost# ,nosot os.' 5ostL ,%ost 0ombie. * 5ostC ,%ost emoto a escanea .. En p ime lu(a ' nos ase(u amos de que 5ostL es un 5ost 0o$bie real$ente' * pa a ello le lan0amos un pin" que nos pe mita anali0a el ca$po ID encapsulado en la cabecera IP60 0Rtes from AAA=AAA=AAA=AAAS se9I1 tt2I64 idI+1 QinI0 timeI96 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I2 tt2I64 idI+1 QinI0 timeI88 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I3 tt2I64 idI+1 QinI0 timeI92 ms
Oemos que el incre$ento de la ID es de uno en cada paso del pin(. /odemos asu$ir que el 5ostL no tiene tr3ico. 9%o a es cuando viene lo inte esante del escaneo- $anda$os a 5ostC un paquete ()* 3alseado ,pac1et spoo#in(. con di ecci"n ori"en 5ostL. El compo tamiento de 5ostC se ) pa ecido al caso de un escaneo K;D est)nda 3ostA @---L%)N?#(,M--- L1M Puerto .(P a0ierto en 3ost( 3ostA @---L$%.?#(,M--- LKM Puerto .(P cerrado en 3ost(
9s! pues' 5ostL se encont a ) con un paquete que no esperaba ,+l no %a lan0ado nin(6n intento de conexi"n.. 5a reaccin de 5ostL viene dada po su implementaci"n de la pila @</F8/ * depende del paquete ecibido3ostA @---L%)N?#(,M--- L1M Puerto .(P a0ierto en 3ost( 3ostA ---L$%.M---> L1M Puerto .(P a0ierto en 3ost( 3ostA @---L$%.?#(,M--- LKM Puerto .(P cerrado en 3ost( -%!N $;%P";%.#-
9s! pues' si el pue to escaneado en 5ostC est) abierto' esta emos 3or0ando a 5ostL a en/iar un paquete de espuesta' mient as que si el pue to de 5ostC est) cerrado' 5ostL i"norar el paquete 1(T-#C+ * no envia ) nada. Qbviamente en el caso de que el pue to de 5ostC est+ silencioso no %ab ) nin"9n tipo de en/>o de t )#ico. ?<"mo podemos sabe qu+ #la(s #ue on enviados ent e %ost< * %ostB desde %ost9A /ues lo sab emos po que du ante todo este p oceso' esta emos manteniendo un pin( en pa alelo constante con %ostB. Ki el puerto de 5ostC est abierto ,%ost< manda K;DF9<M a %ostB * +ste esponde con IK@.60 0Rtes from AAA=AAA=AAA=AAAS se9I25 tt2I64 idI+1 QinI0 timeI92 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I26 tt2I64 idI+3 QinI0 timeI80 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I27 tt2I64 idI+2 QinI0 timeI83 ms
Ki el puerto de 5ostC est cerrado ,%ost< manda IK@F9<M * %ostB no esponde. " el pue to de %ost< est) silencioso ,no manda nada.60 0Rtes from AAA=AAA=AAA=AAAS se9I25 tt2I64 idI+1 QinI0 timeI92 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I26 tt2I64 idI+1 QinI0 timeI80 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I27 tt2I64 idI+1 QinI0 timeI83 ms
%&'(na 20
http://www.death-master.tk/
Qbse vando el ca$po ID vemos que' en caso de que el puerto de 5ostC est% abierto * obli(a a %ostB a manda un paquete' el incre$ento es $a8or que en el caso de que no env!e nada. /odemos asumi po tanto' que en el caso de que el inc emento de 8= sea ma*o en un dete minado momento' nos indica que el pue to escaneado estaba abie to. Este comple7o m+todo de escaneo es mu* in(enioso' po que de ca a a %ost<' el escaneo p ovino de %ostB' * de ca a a %ostB' nosot os solamente est)bamos %aciendo pin(... U-4. En nmap podemos invoca un escaneo 0o$bie mediante el comandonmap -vv -P0 -p- -s( )om.)om.)om.)om !!!.!!!.!!!.!!!
En nmap podemos invoca un escaneo !TP bounce mediante el comandonmap -vv -P0 -b usuario*+tp.+tp.+tp.+tp:puerto !!!.!!!.!!!.!!!
%&'(na 2)
http://www.death-master.tk/
!ra"$entacin TCP
5a 3ra"$entacin TCP no es un $%todo de escaneo en s> $is$o' sino una t+cnica avan0ada de ocultacin del escaneo. Ke puede usa con cualquier tipo de escaneo @</' aunque no malmente se utili0a con los escaneos K;D' N8D' Dull * Tmas. 5a t+cnica en s! misma consiste en 3ra"$entar ,dividi . la propia cabecera TCP en # a(mentos m)s peque:os. Lene almente se env!a en p ime a instancia un paquete de 64 bits con el pue to de o i(en * destino' pa a envia despu+s la iniciali0aci"n de las bande as @</. El reensa$blado del paquete se eali0a mediante IP &Internet Protocol odule' anali0ando equivalencias ent e campos de la cabece a @</ ,o i(en' destino' p otocolo e identi#icaci"n.. Ku ( an venta7a eside en que la $a8or>a de los ID( detectan los escaneos de pue tos mediante siste$as de 3ir$as' po lo que dividiendo las cabece as @</ lo( a emos evadi estos sistemas. /e o esta t+cnica tambi+n conlleva "randes proble$as * esultados ext a:os e imp evisibles' pues ciertos 5osts pueden se incapaces de parsear 8 reensa$blar los # a(mentos que le enviamos' * se pueden p oduci cuel"ues' reinicios' e incluso /olcados de $onitori0acin de los dispositi/os de red. 5o cual ba7o cie tas ci cunstancias ,potenciales ataques. puede se bueno' pe o pa a eali0a un escaneo no lo es. 9dem)s' los paquetes TCP 3ra"$entados pueden ser bloqueados por colas de 3ra"$entacin en el kernel o detenidos po cie tos tipos de #i e&alls co ectamente con#i(u ados. En nmap podemos invoca un escaneo de 3ra"$entacin TCP ,en este caso K;D. mediante el comandonmap -vv -P0 -s" -+ !!!.!!!.!!!.!!!
%&'(na 22
http://www.death-master.tk/
%&'(na 2*
http://www.death-master.tk/
9l(unos sistemas acti/an el bit de no 3ra"$entacin en cie tos paquetes de los que mandan. 9nali0ando los casos en que esto ocu e se obtiene in#o maci"n del sistema. 4a prueba del ta$aSo inicial de /entana Qbse vando el ta$aSo inicial de /entana en las conexiones @</ se puede obtene in#o maci"n del sistema. /o e7emplo 98T usa Bx<!=Q' ot os como Jic oso#t Rindo&s' N eeBK= * QpenBK= usan BxPB=E... 4a prueba del n9$ero de con3ir$acin 9unque deber>a ser estndar' tambi+n %a* cie tos sistemas que se toman 2licencias3 a la %o a de implementa esta ca acte !stica. Enviando un paquete !I*-P(J-U1H se debe !a obtene como respuesta un n9$ero de con3ir$acin que coincida con el n9$ero de secuencia enviado... aunque cie tas imp eso as * Jic oso#t Rindo&s env!an el n9$ero de secuencia inicial incre$entado en una unidad ,V1.. Qt o caso es el compo tamiento de Jic oso#t Rindo&s manda le un paquete ()*-!I*-U1H-P(J- unas veces devolve ) el n6me o de con#i maci"n correcto' ot as veces le su$ar una unidad' ot as veces esponde ) con un n6me o de con#i maci"n aleatorio... 4a prueba del control de $ensaGes de error IC P Esta p ueba se basa en lo *a comentado en el escaneo UDP. Examinando las li$itaciones de $ensaGes de error IC P podemos obtene in#o maci"n del sistema- 5inux limita los mensa7es a AB cada P se"undos' Kola is los limita a = por se"undo' Jic oso#t Rindo&s no los li$ita... 4a prueba de re3erencia de $ensaGes IC P El est)nda del IN< #i7a que los $ensaGes de error IC P deben %ace una pequeSa re3erencia a un mensa7e 8<J/ que causa va ios e o es. /a a mensa7es de puerto inalcan0able' casi todos los sistemas mandan la cabecera IP $s A b8tes. /e o Kola is manda al(unos b*tes m)s' * 5inux m)s a6n' lo que pe mite econoce los a6n sin nin(6n pue to abie to. 4a prueba de eco de inte"ridad de $ensaGes de error IC P Esta p ueba se basa en la misma re3erencia de $ensaGe que la ante io . <ie tos sistemas usan la cabece a que les env!as como espacio para escribir en el p ocesamiento inicial' lo que %ace que se devuelvan un tanto modi#icados. 98T * BK=8 modi#ican el campo de Tlon"itud totalO' al(unos BK=8' N eeBK=' QpenBK=' >5@I8T' * O9Ten est opean la IP ID enviada' * tambi+n N eeBK= * 98T mandan c5ecksu$s inconsistentes o a 0 ,al cambia el @@5 tampoco iban a esulta v)lidas..... 4a prueba del tipo de ser/icio En mensa7es de IC P puerto inalcan0able' el tipo de ser/icio &TK(' se establece a 0 de #o ma est)nda . Kin emba (o' 4inux usa BxCB que no es un est)nda de valo @QK sino pa te del campo de p ecedencia ,que no es usado.. 4a prueba de $aneGo de 3ra"$entacin <uando un sistema ecibe paquetes 3ra"$entados' el orden de pre3erencia a la 5ora de sobreescribir los datos epetidos ca acte i0a tambi+n al sistema. 9l(unos dan p e#e encia a los datos 8a existentes en bu##e * ot os dan p e#e encia a los datos nue/os.
%&'(na 24
http://www.death-master.tk/
5as opciones TCP son una de las me7o es #o mas pa a distin(ui a los sistemas. El motivo viene dado po que no todos los siste$as i$ple$entan todas las opciones' o no las i$ple$entan de i"ual 3or$a' o no las tratan de i"ual 3or$a... adem)s' al pode incluirse todas en un solo paquete ,-!n"o. /cale0101 23P1 4a5 /egment /!6e 0 2671 )!mestamp1 (n" o# 3ps1. nos pe mite obtene datos mu* inte esantes de una #o ma mu* )pida. Kistemas como N eeBK= o 5inux supe io a 2.1.x sopo tan todas' mient as que 5inux in#e io es a 2.0.x no sopo tan prctica$ente nin"una. /e o como cada ve0 es m)s com6n que los sistemas implementen todas las opciones' se puede tambi+n estudia el valo de las mismas. Jandando un (( & ax (e"$ent (i0e' $u8 pequeSo' los sistemas 5inux lo aceptarn 8 respondern el eco' pe o ot os sistemas lo rec5a0arn 8 respondern con /alores $s altos. 96n obteniendo las mismas opciones * los mismos valo es' puede que el o den esulte alte ado- Kola is esponde con **T*N E ,8no op98no op98t!mestamp98no op98.!n"o. scale98ec:oe" 4//9. mient as que 5inux supe io a 2.1.x esponde con E**T*N. 4a prueba de cronolo">a de exploits 9 la %o a de distin(ui ent e la pila TCP-IP de siste$as Nindo.s?Q, Nindo.s?A 8 Nindo.s*T existen bastantes p oblemas. 9 pesa del tiempo pasado ent e ve siones' la pila @</F8/ ent e 95 * 98 no ca$bi absoluta$ente nada' * pa a D@ ca$bi $u8 poco' con todo ,lo malo. que ello implica. /e o a6n as! es posible distin(ui ent e estos sistemas po lo vulne ables que %an sido' en o den c onol"(ico' a distintos ataques de dene"acin de ser/icio. K!' es penoso' ?ve dadA x=. 5an0ando ataques como Pin" K3 Deat5' Nin*uke' Teardrop o 4and * comp obando despu+s si el sistema si(ue en pie se puede toma una idea de qu+ tipo de sistema Rindo&s se t ata. 4a prueba de resistencia a ()* 3lood <ie tos sistemas son m)s sensibles que ot os al llamado ()* 3lood &inundacin ()*'. <uando mandamos $uc5os paquetes ()* 3alsi3icados ,pa a evita que nuest o p opio sistema co te la conexi"n. a un mismo pue to en un %ost emoto' es com6n que +ste se bloquee * no per$ita acepta nuevas conexiones. 9l(unos sistemas como 5inux solucionan esto mediante el uso de ()* cookies' po lo que no esultan vulne ables. En nmap podemos invoca la deteccin del 3in"erprint mediante el comandonmap -vv -P0 -, !!!.!!!.!!!.!!!
%&'(na 2+
http://www.death-master.tk/
%&'(na 2,
http://www.death-master.tk/
Introduccin a * #P
9 lo la (o de todo el texto %emos ido viendo poco a poco al(unas de las #unciones de nmap' pudiendo comp oba que se t ata de una de las %e amientas de an)lisis de ed m)s polivalentes que existen. En mi opini"n' es el $eGor escaneador de puertos 8 siste$a de deteccin de 3in"erprint que existe %o* en d!a' * adem)s es so3t.are libre. <omo *a %emos visto las distintas opciones de escaneo de n$ap' no vamos a volve a %abla de ellas' pues tanto la pa te t+cnica como los comandos conc etos de nmap *a %an sido vistos. Oamos a cent a nos en el resto de 3uncionalidades de n$ap * a ve al(unos e7emplos. 6erbose: $ab +is visto que siemp e que utili0o el comando nmap a:ad!a dos pa )met os- MPB * M//. ;a sabemos que MPB sir/e para e/itar que 5a"a$os pin" al 5ost' as! que nos queda sabe pa a qu+ si ve M//. Ke t ata del $odo detallado &/erbose' de nmap' pa a obtene po pantalla in3or$acin adicional ace ca de las acciones llevadas a cabo * sus esultados. >s)ndolo una /e0 &M/' obtend emos in3or$acin adicional' us)ndolo dos /eces &M//' obtend emos $s a9n' * usando Mbb obtend emos m)s a6n ,se(6n el manual de nmap' nos /ol/ere$os locos 5aciendo scroll en pantalla..... >so- nmap ;P0 -vv ;s/ 555.555.555.555 1an"o de puertos: Do siemp e que emos escanea los 65535 pue tos de un %ost... * mediante el pa )met o 4p pod emos establecer el ran"o que que emos escanea * a%o a nos tiempo. /o de#ecto' nmap escanea el ran"o :M:B=P * adem)s los que se encuent an de#inidos en 'etc'services. >so pa a un pue to ,80.- nmap ;P0 ;&& ;s/ -p -0 555.555.555.555 >so pa a un an(o ,141024.- nmap ;P0 ;&& ;s/ -p .-.0/0 555.555.555.555 Puerto de ori"en: Ki estamos det )s de un #i e&all o al(6n dispositivo que bloquea la salida de in#o maci"n desde dete minados pue tos' podemos especi#ica qu+ pue to que emos usa pa a lan0a el escaneo. >so ,6969.- nmap ;P0 ;&& ;s/ -g 1212 555.555.555.555 *9$ero $xi$o de sockets: <uando usamos el escaneo @</ connect,.' podemos de#ini el n6me o m)ximo de soc1ets a ab i con el #in de no colapsa el %ost que que emos escanea . >so ,7.- nmap ;P0 ;&& -s -M 3 555.555.555.555 odo rpido: Ki 6nicamente que emos escanea los se vicios listados en el #ic%e o 'etc'services debemos usa la opci"n 4N. >so- nmap ;P0 ;&& ;s/ -# 555.555.555.555 Uso de seSuelos: Esta #uncionalidad es una delicia. Jediante el uso de una se ie de seSuelos' podemos %ace que nmap mande' adem)s de los paquetes del escaneo en cuesti"n' una se ie de paquetes 3alsi3icados &packet spoo3in"' pa a que pa e0can p oveni de ot os %osts. =e esta #o ma' se (ene a )n en los lo(s una lista de 5osts que %an eali0ado el escaneo de pue tos * no se sabr cul de ellos 5a sido el /erdadero autor. El o den a la %o a de coloca los se:uelos * nosot os mismos ,JE. es indi#e ente' si bien conviene que nuest o p opio %ost no sea de los pri$eros' con lo que evita emos que cie tos #i e&alls siquie a lo(een nuest a 8/. Es impo tante ase(u a se de que los se:uelos usados estn online pa a e/itar causar un ()* 3lood en la v!ctima ,o... es impo tante ase(u a se de que est+n o##line pa a p ovoca un K;D #lood..... >so- nmap ;P0 ;&& ;s/ -Ds4..s4..s4..s4.,s4/.s4/.s4/.s4/,5...6,M7,5...6,s4n.s4n.s4n.s4n 555.555.555.555
%&'(na 2-
http://www.death-master.tk/
Uso de IP/;: Es posible usa nmap con el p otocolo 8/v6 en lu(a de 8/v4. >so- nmap ;P0 ;&& ;s/ -1 5555<5555<5555<5555<5555<5555<5555<5555 Pol>tica de precaucin: Jediante esta opci"n &MT' establecemos el retardo ent e unos paquetes * ot os. <uanto $s rpido los mandemos' antes ter$inar el escaneo pe o $s lla$ati/o resultarH * cuanto $s lento lo ealicemos' $s tardar en ter$inar' pe o $s di3>cil de detectar esulta ). /o de#ecto se usa no mal. >so ,/a anoico.- nmap ;P0 ;&& ;s/ - Paranoid 555.555.555.555 >so ,Nu tivo.- nmap ;P0 ;&& ;s/ - "nea89 555.555.555.555 >so ,Educado.- nmap ;P0 ;&& ;s/ - Polite 555.555.555.555 >so ,Do mal.- nmap ;P0 ;&& ;s/ - %ormal 555.555.555.555 >so ,9( esivo.- nmap ;P0 ;&& ;s/ - Agressive 555.555.555.555 >so ,=emente.- nmap ;P0 ;&& ;s/ - (nsane 555.555.555.555 1esolucin de D*(: 9 veces nos inte esa ) que se esuelvan los nomb es de dominio * ot as que no se %a(a. /o de#ecto se eali0a a veces' dependiendo de la ci cunstancia. >so ,no esolve .- nmap ;P0 ;&& ;s/ -n 555.555.555.555 >so , esolve siemp e.- nmap ;P0 ;&& ;s/ -: 555.555.555.555 #rc5i/o de re"istro: /odemos (ua da un e(ist o de la salida po pantalla en un #ic%e o de va ios tipos' se(6n la necesidad. >so ,texto plano.- nmap ;P0 ;&& ;s/ -o% ;+ichero.algo< 555.555.555.555 >so ,TJ5.- nmap ;P0 ;&& ;s/ -o& ;+ichero.algo< 555.555.555.555 >so ,t atable po ( ep.- nmap ;P0 ;&& ;s/ -o= ;+ichero.algo< 555.555.555.555 IP e inter3a0 usada: En caso de que %a*a va ias inte #aces' o en caso de que nmap no la autodetecte' se puede especi#ica +sta a mano. >so ,8/.- nmap ;P0 ;&& ;s/ -" (P.(P.(P.(P 555.555.555.555 >so ,inte #a0.- nmap ;P0 ;&& ;s/ -e ;int&< 555.555.555.555 odo interacti/o: 9 anca nmap como modo inte activo ,una ve0 a ancado' pulsando % obtenemos a*uda m)s detallada.. >so- nmap --interactive Especi3icacin de obGeti/os: Do siemp e que emos escanea una 6nica 8/' o puede que no que amos esc ibi la cada ve0' o que la ten(amos en un #ic%e o de lo(s... >so ,Ent ada po #ic%e o.- nmap ;P0 ;&& ;s/ -i> ;+ichero.algo< >so ,Ian(o con notaci"n de m)sca a.- nmap ;P0 ;&& ;s/ !!!.!!!.!!!.!!!'!! >so ,Ian(o pe sonali0ado.- nmap ;P0 ;&& ;s/ ?!!!.!!!.!!!.!!!-999.999.999.999? >so ,Ian(o pe sonali0ado con aste iscos.- nmap ;P0 ;&& ;s/ !9@.!9@.!9@.!9@
%&'(na 2.
http://www.death-master.tk/
(o3t.are
9dem)s de nmap' existen muc%os ot os p o( amas inte esantes o ientados al escaneo de pue tos *Fo a la detecci"n del #in(e p int de un sistema ope ativo. Oamos a esumi los m)s inte esantes ,po o den al#ab+tico.Ft5 (p5ere Portscan (sc$ner "e puertos Xltima ve si"n- 1.2 Kistema- Rindo&s 5icencia- N ee&a e =esca (a- %ttp-FF&&&.0one4%.o (Fdo&nloadF#ileG3982F C5eops ,%ttp-FF&&&.ma 1o.netFc%eopsF. (sc$ner "e puertos #!ngerpr!nt Xltima ve si"n- 0.61 Kistema- >nix 5icencia- L/5 =esca (a- #tp-FF#tp.ma 1o.netFpubFc%eopsFc%eops40.61.ta .(0 Essential*etTools ,%ttp-FF&&&.tamos.comFp oductsFnettoolsF. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 3.2 Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.&ebattac1.comFdlno&F di .dllAidG101212 H*U *etcat ,%ttp-FFnetcat.sou ce#o (e.netF. (sc$ner "e puertos Xltima ve si"n- 0.7.1 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FFcesnet.dl.sou ce#o (e.netFsou ce#o (eFnetcatFnetcat40.7.1.ta .(0 IPMTools ,%ttp-FF&&&.1s4so#t.netFip4tools.en(F. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 2.30 Kistema- Rindo&s5icencia- <op* i(%t =esca (a- %ttp-FF%ostmonito .bi0Fdo&nloadFip4tools.exe 4#*"uard ,%ttp-FF&&&.(#i.comFlan(ua dF. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 5.0 Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.(#i.comFlannetscanFnet&o 1scanne Y# ee&a e.%tm e"aPin" ,%ttp-FF&&&.ma(netoso#t.comFp oductsFme(apin(Fme(apin(Y#eatu es.%tm. (sc$ner "e puertos Xltima ve si"n- 4.3 Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.ma(netoso#t.comFdo&nloadsFJe(a/in(Ketup.exe
%&'(na 2/
http://www.death-master.tk/
*etcat ,%ttp-FF&&&.atsta1e.comF esea c%FtoolsFnet&o 1YutilitiesF. (sc$ner "e puertos (pue"e ser&!r tamb!=n <;P) Xltima ve si"n- 1.10 Kistema- >nix Z Rindo&s 5icencia- N ee&a e =esca (a ,>nix.- %ttp-FF&&&.atsta1e.comF esea c%FtoolsFnet&o 1YutilitiesFnc110.t(0 =esca (a ,Rindo&s.- %ttp-FF&&&.atsta1e.comF esea c%FtoolsFnet&o 1YutilitiesFnc11nt.0ip *eNT ,%ttp-FF&&&.tenablesecu it*.comFne&t.%tml. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 2.0 Kistema- Rindo&s 5icencia- L/5 =esca (a- %ttp-FFc(i.tenablesecu it*.comFtenableF equestNo m.p%p * #P ,%ttp-FF&&&.insecu e.o (FnmapF. (sc$ner "e puertos "e #!ngerpr!nt Xltima ve si"n- 3.55 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FFdo&nload.insecu e.o (FnmapFdistFnmap43.55.ta .b02 * #P 3or Nindo.s ,%ttp-FF&&&.insecu e.o (FnmapF. Esc)ne de pue tos * de #in(e p int Xltima ve si"n- 1.3.1 Kistema- Rindo&s 5icencia- L/5 =esca (a- %ttp-FFdo&nload.insecu e.o (FnmapFdistFnmap&inY1.3.1.exe pB3 ,%ttp-FF# es%meat.netFp o7ectsFp0#F. (sc$ner "e #!ngerpr!nt pas!&o Xltima ve si"n- 2.04 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FF# es%meat.netF edi Fp0#F43121Fu lYt(0Fp0#42.0.4.t(0 Uue(K (sc$ner "e #!ngerpr!nt Xltima ve si"n- 0.980922b Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FF#tp.debian.o (FdebianFpoolFmainFqFquesoFquesoY0.980922b.o i(.ta .(0 1etina *et.ork (ecurit8 (canner ,%ttp-FF&&&.ee*e.comF%tmlFp oductsF etinaFindex.%tml. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- Do p opo cionada en la &eb del #ab icante Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.ee*e.comF%tmlFp oductsF etinaFdo&nloadFindex.%tml
%&'(na *0
http://www.death-master.tk/
(5ado. (ecurit8 (canner ,%ttp-FF&&&.sa#et*4lab.comFenFp oductsF1.%tm. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 7.01 Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.sa#et*4lab.comFc(iFdo&nload.plAlan(GenZp o(GK%ado&Kecu it*Kcanne (ip5on ,%ttp-FFsip%on.datane ds.netF. (sc$ner "e #!ngerpr!nt Xltima ve si"n- 0.666 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FFsip%on.datane ds.netFsip%on4v.666.ta .(0 Nin!in"erprint ,%ttp-FF&in#in(e p int.sou ce#o (e.netF. (sc$ner "e #!ngerpr!nt Xltima ve si"n- 0.5.11 Kistema- Rindo&s 5icencia- L/5 =esca (a- %ttp-FF%eanet.dl.sou ce#o (e.netFsou ce#o (eF&in#in(e p intF&in#in(e p int40.5.11a.0ip ,probe= ,%ttp-FF&&&.s*s4secu it*.comF%tmlFp o7ectsFT.%tml. (sc$ner "e #!ngerpr!nt Xltima ve si"n- 0.2 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FF&&&.s*s4secu it*.comFa c%iveFtoolsFxp obe2Fxp obe240.2.ta .(0
%&'(na *)
http://www.death-master.tk/
Deat5
#utenti3icacin:
44444BEL8D /L/ JEKK9LE44444 q9DWI1=B&>&=[o@5*([(u79B=F9L0%*7e=exIWM&s0=@T[T/KQ1FNa7O4*$D>(;8 #70[1s51d0<L95p$\LM86bLdtd7c7D[F0\5Je eu1LOi[ev%8<@7W31Q0Q/lQ8c0 1#955a5\us0R7Od\b253<e;lLV7Ddu5O7l*9@<eVFFl>O7Ea/bNoFE7>bO<I;qNL N[M@K>@F/c$N;@o&L$t/u<<@Nm5m3;>dF@K2<N/m=oOaRQl9\24tsKWqOODcE\(1 &[o4K=Bl8t090BE7LQWD601ctBo<e10e86[eE;0V@s>0uJe1[$(a&v8n7 RT$8\9 E04<bvJ#&N0e10o816J6 M 8Jdlv*a036Otc65mO481N[2vKe<*LI*ca(c815QB< $vE5O%T5c7TlEKF40iIMuQ1e9usvlTL9D\mc8q=@1id$Qv T8M@39Ddca7RO[@l3 K50m\l9uD0e/KRlT[E06715090\&NBJ4*l#1W0/6Kx7@8>0$&VuoQQ5$LeqMF5vN @3bo59O1baWi20i 4RB*q>0e6n;/a0K4DV79e=9Db>51R1db;3d48(<M=%(4/OED aBt7v5noE5vvD#o#[1xm4ML# K=vvx7e3LM%[<l7a0Mx\qpW9L[lqV5/Bb6Jq1LW 7@>7Tu/&qb8d[VxaIe25$<TBl>Q1BDl=02I1nv9%<0lavq8N3@F$77/8E%5[@1FB 732xB95<7&E6DQ(\5R5i=$u12N3t\>#O0V7<#i OOK\>\8QTd55911 <Tp(a;#b7 VpRD;@*Mbq0#W4#JRo a50MN0q@o7oWb 8e6t1[o41q7@QF*l7ob49B*OW3 Fo;2 vO1E*BM*tnF8OxKxvx09<&1855&6D&$2eN1$27@aM5;8s3c7\#clq#<1ELL66cpM u7c<RLDeoViTbl1sm8ln/=0eInaK*O q dp8nLEV9sE9KOmD p/8;iRE@4b5$t67 (eeJ[T<(E(uJ&bd;%7dR[9>J4iN=<o1osKF#Tm0o*1RKN7&&emeiRs3m0n38VaQ7 5oDaM&**&p/ 07 d<\i($t#98[=Op1WeJmJ&EM%buT;9Lp9T< e@[9s1>q8(Nuqe 1@1QF7b c<p838t1NIN5 caLa2D&dBDMc6c@eqR<NFx8WV9;74i4s3J3nsDslRbn 1KN%Q4%oIqE0>1#\%2t 1dINco7q sp b&97vs1a;3=a3<M45019mEo4;9E18</i JDQJ@cp >\71N3*8se5Q7#Oio>Qi5d9Rtte*(63aK9q5l1#\0l8nNR1@254s18Fl 98;n@0e8$=uWLN7I1/ENu&2;[v(5L9cD/cR5qJOdqvT=c001#i7$0T1@5ta$db(I b$pq8%&N\5;@<7 WuTm49cTt<095&Ex0mKuD0@>44Vl3b&1q\VsxuOKb*IOt\4BW pO#/c09NB>Otix18MT38pV;pnsK*/nneQE>i#5tLO4Tt0t @0R;O5%/metD5i(ts (>V11Om\Vu6V7q1#&\2FB<81=0#629K[xT8[5>m $%>I(%DV#E7OJ375T<u(l5q1 %Oo3bd<q/eq1@*m B8cJ97FJ&O<KW<\TdJb3RDaKKJo*lRl%4<8Vi8[#I[;=bE19 7dImu9M3>[TTDW%NVo qBtR50$O%&*bJ4uoqds\01V1R98\cd0 &0s$4W6o5> sJ M$bb%%i@R<8&=$3R4=J7\><ni$&eu8L(ci[7tJ& p>m07WDO=lb9@e/m DL$1v16 lDaE65mRI8m176##=\0\7mW&MInNx@=(nM19q[5ucNu/2$7%o@b>%4<nQ*iW=v10 [W57 K#OKs$%81I[BdMNWn$@[B4\5<pe0aDM5(um0QeMcJE[NN4G Gap<n 44444ED= /L/ JEKK9LE44444
aster
%&'(na *2
http://www.death-master.tk/
4icencia
Kabuesos en la Ied- El escaneo de pue tos ] %ttp-FF&&&.deat%4maste .t1F ] Oe si"n 1.0 Este documento %a sido libe ado po su auto ba7o la licencia LD> N ee =ocumentation 5icense ,LN=5.' * su utili0aci"n' copia o ep oducci"n queda su7eta a los t+ minos de la citada licencia' que puede se consultada en el si(uiente sitio &ebH*U !ree Docu$entation 4icense: %ttp-FF&&&.(nu.o (Fcop*le#tF#dl.%tml LN=5 Oe sion 1.2' Dovembe 2002 <op* i(%t ,<. 2000' 2001' 2002 N ee Ko#t&a e Noundation' 8nc.
Cop8ri"5t &c' =BBP Deat5 aster /e mission is ( anted to cop*' dist ibute andFo modi#* t%is document unde t%e te ms o# t%e LD> N ee =ocumentation 5icense' Oe sion 1.2 o an* late ve sion publis%ed b* t%e N ee Ko#t&a e NoundationH &it% t%e 8nva iant Kections bein( 2=ist ibuci"n de este documento3 and 25icencia3' no N ont4<ove @exts' and no Bac14<ove @exts. 9 cop* o# t%e license is included in t%e section entitled ^LD> N ee =ocumentation 5icense^. <ualquie copia' modi#icaci"n' dist ibuci"n o utili0aci"n en (ene al de este documento debe espeta la auto !a o i(inal del mismo' co espondiente a Deat5 aster. Blood%ounds in t%e Det- @%e po t scannin( ] %ttp-FF&&&.deat%4maste .t1F ] Oe sion 1.0 @%is document %as been # eed b* its aut%o unde t%e license LD> N ee =ocumentation 5icense ,LN=5.' and its use' cop* o ep oduction is sub7ect to t%e te ms o# t%e mentioned license t%at can be consulted in t%e #ollo&in( &ebsiteH*U !ree Docu$entation 4icense: %ttp-FF&&&.(nu.o (Fcop*le#tF#dl.%tml LN=5 Oe sion 1.2' Dovembe 2002 <op* i(%t ,<. 2000' 2001' 2002 N ee Ko#t&a e Noundation' 8nc.
Cop8ri"5t &c' =BBP Deat5 aster /e mission is ( anted to cop*' dist ibute andFo modi#* t%is document unde t%e te ms o# t%e LD> N ee =ocumentation 5icense' Oe sion 1.2 o an* late ve sion publis%ed b* t%e N ee Ko#t&a e NoundationH &it% t%e 8nva iant Kections bein( 2=ist ibuci"n de este documento3 and 25icencia3' no N ont4<ove @exts' and no Bac14<ove @exts. 9 cop* o# t%e license is included in t%e section entitled ^LD> N ee =ocumentation 5icense^. 9n* cop*' modi#ication' dist ibution o (ene al pu pose use o# t%is document s%ould espect t%e o i(inal esponsibilit* o# it' co espondin( to Deat5 aster.
R End K3 !ile R
%&'(na **