Sabu Esos

Sabuesos en la Red: El escaneo de puertos
http://www.death-master.tk/
Sabuesos en la Red:
El escaneo de puertos
Autor:
Death Master
Death Master, 2004 !"D#$
%&'(na )
ndice de contenidos
ndice de contenidos..........................................................................................................................2 Introduccin.............................................................................................................................................3 Conceptos bsicos..............................................................................................................................4

Estableciendo conexiones: sockets, puertos e IP's....................................................................4 Cabeceras de paquetes TCP, UDP e IC P...................................................................................5 !la"s TCP........................................................................................................................................8 #spectos i$portantes en conexiones TCP..................................................................................9
T%cnicas de escaneo.......................................................................................................................12

TCP connect&'................................................................................................................................12 TCP ()*........................................................................................................................................13 TCP !I*..........................................................................................................................................14 UDP scan.......................................................................................................................................14 #C+ scan.......................................................................................................................................15 *ull scan........................................................................................................................................16 ,$as scan.....................................................................................................................................16 ()*-#C+ scan...............................................................................................................................17 Pin" s.eep....................................................................................................................................17
T%cnicas a/an0adas.........................................................................................................................19

1e/erse Ident................................................................................................................................19 2o$bie scan..................................................................................................................................20 !TP bounce scan..........................................................................................................................21 !ra"$entacin TCP......................................................................................................................22
Deteccin del 3in"erprint..............................................................................................................23 Proteccin 3rente a escaneos...................................................................................................26 Introduccin a * #P.......................................................................................................................27 (o3t.are....................................................................................................................................................29 Distribucin de este docu$ento.............................................................................................32 4icencia......................................................................................................................................................33
%&'(na 2
Introduccin
Lara, no abras los puertos que te entran los barcos. Mi amigo AcidBorg, en una clase aburrida... Bienvenidos al quinto manual que publico. Este texto supone un paso impo tante pa a m! en cuanto a la c eaci"n de manuales se e#ie e. $asta a%o a %ab!a esc ito sob e so#t&a e lib e' sob e la se(u idad in#o m)tica en (ene al' * sob e aspectos * t+cnicas conc etas de +sta ,a sabe - c ipto( a#!a * este(ano( a#!a.. /e o este texto es distinto' pues es la p ime a ve0 que esc ibo sob e t+cnicas de %ac1in( pu o * du o. El escaneo de pue tos es se(u amente la t+cnica de %ac1in( m)s usada en el mundo' pues en cualquie 2ataque3 4bien se t ate de una int usi"n ile(al o de una audito !a le(al4 medianamente bien plani#icado' uno de los p ime os pasos %a de se obli(ato iamente el escaneo met"dico de los pue tos de la m)quina en cuesti"n. 5o malo es que la ma*o !a de la (ente no sabe absolutamente nada sob e c"mo #unciona un escaneo de pue tos- ellos saben que lo 6nico que tienen que %ace es ent a en esa p)(ina tan cool con let as ve des sob e #ondo ne( o * calave as po doquie ' ba7a un p o( amita actuali0ado po 6ltima ve0 en el 96' e7ecuta lo e int oduci la 8/ que quie e escanea en la ca7a de texto. El p o( ama m)(ico %a ) el esto' * ellos no quie en sabe c"mo lo %ace' po que no les impo ta. /e o nosot os somos %ac1e s. 9 nosot os nos inte esa muc%o m)s c"mo se las apa:a el p o( ama pa a eali0a seme7ante ta ea que los esultados que pueda p opo ciona nos. ; a%! es donde se distin(ue un %ac1e de cualquie ot o tipo de pe sona- un %ac1e lee m)s que act6a' * cuando act6a lo %ace con plena conciencia de sus actos. /o ot o lado' en cont a de lo que muc%a (ente piensa' existen muc%as t+cnicas distintas de escaneo de pue tos. <ada una tiene sus venta7as * sus desventa7as' * esulta sumamente inte esante conoce las pa a pode eali0a el escaneo adecuado se(6n la ocasi"n lo equie a. 9dem)s' como buenos %ac1e s' estamos inte esados en t es aspectos de una t+cnica- c"mo #unciona' c"mo lleva la a cabo co ectamente * c"mo plantea una de#ensa e#ica0 # ente a ella. =e todo eso %abla emos' * adem)s de ot as t+cnicas avan0adas que siemp e esultan inte esantes de conoce . /o 6ltimo' %o* en d!a no se concibe un texto sob e escaneo de pue tos sin menciona a n$ap' el que es pa a m! %o* po %o* el me7o so#t&a e existente pa a escaneo de pue tos * ot as t+cnicas como detecci"n del #in(e p int del sistema ope ativo. =eci me que escanee al(o * os pedi + una s%ell de >nix * n$ap. ?@odos los sabuesos listosA B9 ol#atea C Dos encanta mete las na ices donde no nos llaman... 0-4.E
Deat5
aster
%&'(na *
Conceptos bsicos
/a a pode comp ende c"mo #unciona un escaneo de pue tos' es imp escindible conoce cie tos aspectos t+cnicos de la arquitectura de Internet. Esta 2a quitectu a de 8nte net3 es la 3a$ilia de protocolos TCP-IPcuanto m)s p o#undamente cono0camos @</F8/' m)s #)cil se ) i(ualmente comp ende todo lo elacionado con 8nte net' * este caso no es una excepci"n. /o des( acia' eali0a un texto detallado sob e @</F8/ pod !a ocupa va ias decenas de veces lo que ocupa ) este manual. Existen in#inidad de lib os sob e @</F8/ en cualquie lib e !a especiali0ada' pe o pa a lee estos lib os %a* que ec%a le muc%as (anas' po que est)n esc itos con un len(ua7e tan t+cnico que casi todo el mundo acaba ) ti ando la toalla * odi)ndome po %abe mencionado siquie a @</F8/. /e o no %a* que des#allece ' pues existen textos mu* buenos * #)cilmente comp ensibles que pueden a*uda nos a conoce @</F8/ de una #o ma m)s sencilla pe o no po ello menos i(u osa. /e sonalmente' de los textos sob e el tema que %e le!do' c eo que el me7o pa a todos aquellos que sepan poco o nada del tema es el eali0ado po el siemp e (enial 6ic7T5or ,le mando un saludo desde aqu! -/.. /od +is encont a toda la in#o maci"n sob e su Taller de TCP-IP en- %ttp-FF&&&.%ac1xc ac1.comFp%pBB2Fvie&topic.p%pAtG10306. 96n as!' * aunque ecomiendo enca ecidamente el se(ui el Taller de TPC-IP de 6ic7T5or' *o vo* a ec%a un some o vista0o a cie tos aspectos de @</F8/ que tienen especial impo tancia en todo lo elacionado con los escaneos de pue tos.
Estableciendo conexiones: sockets, puertos e IP's

En la a quitectu a @</F8/' las conexiones se eali0an mediante el establecimiento de sockets. ?; qu+ es un soc1etA >n socket es la co$binacin de una $quina 8 un puerto con otra &o la $is$a' $quina 8 otro puerto. ?; qu+ es un puertoA >n puerto es un n9$ero de :; bits ,comp endido ent e 0 * 65535. que per$ite establecer conexiones di3erenciadas ent e m)quinas. 5os pue tos desde el 0 al 1024 son pue tos 2 ese vados3 pa a aplicaciones * p otocolos conocidos' * los pue tos del 1025 al 65535 son de uso lib e. Esto es la teo !a' cla o' pues en la p )ctica nadie nos impide usa un pue to pa a lo que nos de la (ana. >n pue to puede tene tres estados- abierto' en cu*o caso aceptar conexionesH cerrado' en cu*o caso rec5a0ar cualquier intento de conexinH * bloqueado o silencioso' en cu*o caso i"norar cualquier intento de conexin. >na de#inici"n m)s case a de pue to se !a los distintos 2enc%u#es3 que tenemos disponibles en un p otocolo ,los puertos TCP 8 UDP son independientes. pa a pode eali0a conexiones. 9s! pues' toda conexin en Internet est identi3icada por un socket' es deci ' una m)quina de o i(en con su pue to' * una m)quina de destino con su pue to. En ealidad est) identi#icada po m)s cosas... pe o a%o a mismo no nos inte esan. ?; c"mo identi#icamos una m)quina en 8nte netA /o su IP. 5a IP ,%ablamos de 8/v4. es una direccin l"ica de <= bits ,cuat o n6me os de 8 bits sepa ados po puntos. que identi3ica de 3or$a un>/oca a un 5ost dentro de una red. 9s!' podemos amplia el ante io concepto de soc1et diciendo que se compone de un pa de di ecciones 8/ * pue tos. /o e7emplo' a%o a mismo acabo de eali0a una consulta en %ttp-FF&&&.(oo(le.es * consultando las conexiones de mi m)quina encuent o una conexi"n @</ establecida ent e 192.168.0.11-4191 * 66.102.11.99-80. 9%o a al(unos pensa )n un momento, esa IP (192.168.0.11) la tengo o en m! re", acabas "e "ec!r que !"ent!#!caba a una m$qu!na "e #orma un%&oca. =i7e que identi#icaba de #o ma un!voca a un %ost dentro de una red' * :?=@:;A@B@:: es una IP de $i red local. 5a conexi"n eal en la ed de 8nte net se eali0a ent e mi 8/ p6blica * la 8/ de (oo(le' * mi oute se enca (a lue(o de en uta 8nte net con mi ed local. Iesumiendo... >n socket es un con7unto IP:puerto CD IP:puerto. >n puerto es un n9$ero de :; bits que indica la nu$eracin l"ica de la conexi"n. >na IP es una direccin l"ica de <= bits que identi3ica a una $quina dentro de una red.
%&'(na 4
Cabeceras de paquetes TCP, UDP e IC P

5os p otocolos m)s utili0ados en 8nte net son ,po este o den.- @</' >=/ e 8<J/. 9unque existen ot os tipos de p otocolos que tambi+n son mu* impo tantes' estos t es se )n con los que t aba7emos a la %o a de eali0a escaneos de pue tos. /o ello vamos a ec%a un vista0o a la est uctu a que tiene un paquete pe teneciente a cada uno de ellos * vamos a eali0a una peque:a explicaci"n de sus campos * del p otocolo en (ene al. TCP
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Puerto origen | Puerto destino | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Nmero de secuencia | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Nmero de confirmaci n | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | !nicio| |"|#|P|$|%|&| | | de | $eser'ado |$|(|%|%|)|!| *entana | | datos | |+|,|-|.|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | %uma de com/ro0aci n | Puntero de urgencia | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 1/ciones | #co2c3ado | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4atos | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
1!C EF?<: #tp-FF#tp. #c4edito .o (Fin4notesF #c793.txt TCP &Trans$ision Control Protocol' es sin duda el m)s comple7o de los p otocolos que vamos a t ata . 5a ca acte !stica m)s impo tante de @</ es que se t ata de un protocolo orientado a conexin' lo cual tiene t es consecuencias impo tantes- crea conexiones /irtuales a tra/%s de sockets que pe manecen activos el tiempo que du a la conexi"nH los datos se en/>an ordenados ,lo cual no necesa iamente si(ni#ica que lle(uen en o den....H * se eali0a un constante control de 3luGo pa a evita con(estiona el anc%o de banda disponible. 9%o a ec%emos un vista0o a los campos que componen el paquete @</' teniendo en cuenta que los n6me os en la pa te supe io del paquete ep esentan un contado de bits. /ue to de o i(en ,16 bits.- Ke t ata del puerto ori"en de la conexi"n. /ue to de destino ,16 bits.- Ke t ata del puerto destino de la conexi"n. D6me o de secuencia ,32 bits.- Este n6me o es el que identi3ica de 3or$a un>/oca a un paquete de datos dentro de una $is$a conexin. El n6me o de secuencia es el orden en b8tes ,siemp e como un m6ltiplo de 32 bits. que ocupan los datos del p opio paquete. Ke obtiene sumando el tama:o del paquete inmediatamente ante io en la conexi"n al n6me o de secuencia del mismo. D6me o de con#i maci"n ,32 bits.- Este n6me o si ve pa a con3ir$ar la recepcin de un paquete. @ambi+n ep esenta el orden en b8tes de los datos' * se calcula de i(ual #o ma que el n6me o de secuencia' pe o especto a los paquetes ecibidos. 8nicio de datos ,4 bits.- 8ndica el punto donde co$ien0an los datos * acaba la cabece a @</. Esto es debido a que existen campos opcionales que no siemp e se inclu*en. Ku valo %abitual es 5 , ep esenta la in#o maci"n como $9ltiplos de <= bits.' pe o puede lle(a a se 6. Iese vado ,6 bits.- Espacio ese vado. Ku valo es siemp e 000000. >IL ,1 bit.' 9<M ,1 bit.' /K$ ,1 bit.' IK@ ,1 bit.' K;D ,1 bit.' N8D ,1 bit.- Ke t ata de las distintas banderas &3la"s' del p otocolo @</. 5as t ata emos m)s adelante en detalle. Oentana ,16 bits.- Es el campo enca (ado del control de 3luGo. 8ndica el n9$ero de b8tes que pode$os recibir en el prxi$o paquete' * su #inalidad es evita la satu aci"n de la conexi"n.
%&'(na +
Kuma de comp obaci"n ,16 bits.- 5a su$a de co$probacin &c5ecksu$' es un n6me o que pe mite co$probar que la cabece a de datos no %a lle(ado co upta al destinata io. Ke calcula mediante la su$a en co$ple$ento a uno de :; bits de una cabece a especial ,PP. que contiene los si(uientes datos- di ecci"n 8/ de o i(en ,32 bits.' di ecci"n 8/ de destino ,32 bits.' campo ese vado con valo 0 ,8 bits.' p otocolo ,8 bits. * tama:o del paquete ,16 bits.. /a a sabe m)s sob e la suma de comp obaci"n es inte esante lee el 1!C E:BF: ,#tp-FF#tp. #c4edito .o (Fin4notesF #c1071.txt.. /unte o de u (encia ,16 bits.- /a a optimi0a el env!o de paquetes' TCP per$ite co$binar datos ur"entes con datos nor$ales. El punte o de u (encia indica a partir de qu% b8te los datos de7an de se u (entes pa a se datos no males. Qpciones ,24 bits.- Este campo est) destinado a contene opciones especiales poco comunes del p otocolo @</. 9 nosot os po a%o a nos inte esa poco. -4/ 9colc%ado ,8 bits.- Espacio ese vado' su #inalidad es completa los 24 bits del campo de opciones con ot os 8 bits pa a lo( a una cabece a m6ltiplo de 32 bits. Ku valo es siemp e 00000000. =atos ,x bits.- 5os datos del paquete p opiamente dic%os. UDP +--------+--------+--------+--------+ | Puerto | Puerto | | Origen | Destino | +--------+--------+--------+--------+ | | Suma de | | Longitud | Comprobacin | +--------+--------+--------+--------+ | | Octetos de datos ... +---------------- ... 1!C EF;A: #tp-FF#tp. #c4edito .o (Fin4notesF #c768.txt UDP &User Data"ra$ Protocol' es un p otocolo muc%o m)s sencillo que @</. Kimplemente ec%ando un vista0o a la composici"n de su cabece a podemos ve que +sta es tambi+n muc%o m)s simple. >=/ es un p otocolo no o ientado a conexi"n' lo cual tiene implicaciones m)s all) de la ausencia del establecimiento de conexiones vi tuales o la ausencia de cont ol de #lu7o. J)s adelante ve emos unas conside aciones sob e esto * estudia emos m)s a #ondo las di#e encias ent e @</ * >=/. 9%o a ec%emos un o7o a la cabece a/ue to de o i(en ,16 bits.- Ke t ata del puerto ori"en de la conexi"n. /ue to de destino ,16 bits.- Ke t ata del puerto destino de la conexi"n. 5on(itud ,16 bits.- Es la lon"itud del paquete UDP exp esada en b*tes. Kuma de comp obaci"n ,16 bits.- 5a su$a de co$probacin &c5ecksu$' es un n6me o que pe mite co$probar que la cabece a de datos no %a lle(ado co upta al destinata io. Ke calcula mediante la su$a en co$ple$ento a uno de :; bits de una cabece a especial ,PP. que contiene los si(uientes datos- di ecci"n 8/ de o i(en ,32 bits.' di ecci"n 8/ de destino ,32 bits.' campo ese vado con valo 0 ,8 bits.' p otocolo ,8 bits. * tama:o del paquete ,16 bits.. /a a sabe m)s sob e la suma de comp obaci"n es inte esante lee el 1!C E:BF: ,#tp-FF#tp. #c4edito .o (Fin4notesF #c1071.txt.. =atos ,x bits.- 5os datos del paquete p opiamente dic%os. 5667
0 31 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4irecci n !P origen | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4irecci n !P destino | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 00000000 | Protoco2o | .ama8o de /a9uete | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 0 7 8 15 16 31 0 7 8 15 16 23 24 31
%&'(na ,

IC P
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .i/o | ( digo | %uma de com/ro0aci n | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | (#:P1 ;%P;(!#< | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | (#:P1 ;%P;(!#< 4; 4#.1% | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
1!C EF?=: #tp-FF#tp. #c4edito .o (Fin4notesF #c792.txt IC P &Internet Control essa"e Protocol' es un p otocolo bastante si$ple que est) o ientado a 3ines in3or$ati/os o de control de errores. >n paquete 8<J/ no malmente si ve pa a avisa al so#t&a e de al(6n evento que equie e especial atenci"n. /e o %a* al(o que %ace a los paquetes 8<J/ al(o m)s comple7os' * es que excepto los p ime os 32 bits de la cabece a' los dem)s campos no son 3iGos pa a todo paquete 8<J/. Es m)s' una cabece a 8<J/ puede ocupa desde 96 bits %asta 160 bits dependiendo del tipo de $ensaGe IC P que codi#ique ese paquete. /a a comp ende me7o esto' ecomiendo en este caso m)s que nunca lee se el IN<' que en el caso de 8<J/ no es especialmente extenso ni comple7o. Oeamos la est uctu a de la cabece a 8<J/@ipo ,8 bits.- 8ndica el tipo de $ensaGe IC P: 0Gec%o epl* 3Gdestination un eac%able 4Gsou ce quenc% 5G edi ect 8Gec%o 11Gtime exceeded 12Gpa amete p oblem 13Gtimestamp 14Gtimestamp epl* 15Gin#o mation equest 16Gin#o mation epl* <"di(o ,8 bits.- 8ndica' dent o de cada tipo de mensa7e 8<J/' una opcin concreta de +ste. /o e7emplo' en paquetes 8<J/ 2time exceeded3' un c"di(o de 0 si(ni#ica !a que se %a excedido el @@5 ,@ime @o 5ive. * un c"di(o de 1 que se %a excedido el tiempo de eensamblado de los # a(mentos de un paquete. Kuma de comp obaci"n ,16 bits.- 5a su$a de co$probacin &c5ecksu$' es un n6me o que pe mite co$probar que la cabece a de datos no %a lle(ado co upta al destinata io. Ke calcula mediante la su$a en co$ple$ento a uno de :; bits de la su$a en co$ple$ento a uno del paquete IC P comen0ando po el campo de tipo. Ki es co ecta' debe se 0. <ampo especial ,32 bits.- Este campo puede va ia en #unci"n del tipo de mensa7e 8<J/ const uido...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | %in usar | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Puntero | %in usar | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4irecci n de !nternet de 2a Puerta de ;n2ace | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
@ipo de 8<J/- destination un eac%able' time exceeded' sou ce quenc%.
@ipo de 8<J/- pa amete p oblem.
@ipo de 8<J/- edi ect.
%&'(na -
@ipo de 8<J/- ec%o' ec%o epl*' in#o mation equest' in#o mation epl*.
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | !dentificador | Nmero de secuencia | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | !dentificador | Nmero de secuencia | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .imestam/ origina2 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .imestam/ de rece/ci n | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .imestam/ de transmisi n | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
@ipo de 8<J/- timestamp' timestamp epl*.
<ampo especial de datos ,32 bits.- Este campo puede va ia en #unci"n del tipo de mensa7e 8<J/ const uido...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | %in usar | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | (a0ecera de !nternet + 64 0its de2 datagrama origina2 de datos| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4atos=== | +-+-+-+-+-===
@ipo de 8<J/- timestamp' timestamp epl*' in#o mation equest' in#o mation epl*.
@ipo de 8<J/- destination un eac%able' time exceeded' pa amete p oblem' sou ce quenc%' edi ect.
@ipo de 8<J/- ec%o' ec%o epl*.
!la"s TCP
<uando vimos la cabece a @</ nomb + las banderas &3la"s' del p otocolo @</. ?; qu+ son esas #la(sA Kon 6 bits ,: bit por cada 3la". de cont ol. <ada #la( es un indicador especial que cuando est) activo ,su valo es 1. p ovoca unos e#ectos distintos. Oeamos cada uno en detalle!la" U1H &Ur"ent' Este #la( indica que el paquete contiene datos ur"entes. <omo *a di7imos cuando t atamos la cabece a @</' en un paquete pueden co$binarse datos ur"entes con datos no ur"entes' usando en este caso el puntero de ur"encia pa a ma ca d"nde te minan los datos u (entes * comien0an los no males. Este #la( no es mu* usado' pe o s! mu* 6til. /o e7emplo' si en una sesi"n de telnet pulsamos controlIC pa a co ta el comando en e7ecuci"n ,po e7emplo un dp1( 4l en emoto -4/.' ese dato se envia ) como u (ente * se t ata ) antes que los datos no males del paquete. !la" #C+ &#ckno.led"e$ent' Este #la( activo indica que adem)s de los datos que pueda contene el paquete' +ste si ve como con3ir$acin de un paquete ante io mente ecibido. /o tanto' pa a que el n9$ero de con3ir$acin sea tomado en cuenta po la pila TCP-IP' el #la( 9<M debe esta activado. !la" P(J &Pus5' El #la( /K$ indica que se debe /aciar el bu33er de t ansmisi"n o ecepci"n ,se(6n se t ate del emiso o el ecepto .. <uando deseamos envia una cantidad de in#o maci"n ( ande dividida en paquetes' +stos se van situando en un bu33er de trans$isin !I!K &!irst In !irst Kut' %asta que el 6ltimo de ellos est) p epa ado. Este 6ltimo paquete tiene activado el 3la" pus5 e indica que se debe /aciar el bu33er * comen0a el env!o de paquetes.
%&'(na .
9l lle(a los datos al ecepto ' se van situando en ot o bu33er !I!K de recepcin. <uando lle(a el paquete con el #la( pus%' los paquetes salen del bu##e * pasan a la pila. Do siemp e los paquetes lle(an en o den' po lo que puede que lle(ue el paquete con el #la( pus% * #alten a6n al(unos paquetes' pe o esto no supone un p oblema po que se espe a )n los paquetes ausentes * se econst ui )n lue(o todos ( acias al n9$ero de secuencia. 9 la %o a de envia datos es com6n co$binar el 3la" U1H con el 3la" PU(J' pa a evita que los datos u (entes se et asen en el bu##e . !la" 1(T &1eset' <uando enviamos un paquete con el #la( IK@ activado' le estamos diciendo al ot o ext emo de la conexi"n que %a %abido al"9n tipo de proble$a con la sinc oni0aci"n de la conexi"n ,qui0) n6me os de secuencia o de con#i maci"n inco ectos.. 9s!' el 3la" 1(T indica que la conexin 5a de cerrarse 8 /ol/erse a iniciar pa a sincroni0ar correcta$ente ambas pa tes * continua con lo que se estaba %aciendo. !la" ()* &(8nc5roni0ation' El #la( K;D es usado cuando que emos indica un intento de nue/a conexin al ot o %ost. El p oceso conc eto de establecimiento de nuevas conexiones lo ve emos en detalle un poco m)s adelante. !la" !I* &!inali0ation' El #la( N8D activo indica al ot o %ost que desea$os cerrar la conexin' * quedamos a la espe a de que el ot o %ost tambi+n est+ listo pa a ce a la.
#spectos i$portantes en conexiones TCP

$a* cie tos aspectos de las conexiones @</ que conviene conoce pa a entende me7o el #uncionamiento de los escaneos de pue tos. Oeamos cu)les son(aludo en tres tie$pos &T5ree .a8 5ands5ake' <omo di7e cuando %abl)bamos del #la( K;D' el estableci$iento de conexiones en TCP tiene un p otocolo p e#i7ado que %a de espeta se * que tiene po #inalidad sinc oni0a los dos %ost que pa ticipan en la conexi"n. El saludo en tres tie$pos se esume de la si(uiente mane a+--------+ %)N +--------+ | |---------------------->| | | | %)N?#(, | | | -1%. # |@----------------------| -1%. A | | | #(, | | | |---------------------->| | +--------+ +--------+
El $QK@ 9 env!a un paquete con el 3la" ()* le/antado pa a sincroni0ar con el JK(T L' que a su ve0 esponde con un paquete con los 3la"s ()* 8 #C+ le/antados' como con3ir$acin de ecepci"n del paquete ante io * pa a sincroni0arse con el JK(T #. /o 6ltimo' el $QK@ 9 con3ir$a la recepcin del paquete K;DF9<M mediante un paquete con el 3la" #C+ le/antado. 9 pa ti de ese momento la conexin est establecida * puede continua el #lu7o de paquetes ent e %osts. !inali0acin de una conexin TCP 9l i(ual que la conexi"n @</ debe se establecida de una #o ma co ecta' la #inali0aci"n ,sin e o es. de una conexi"n @</ tambi+n si(ue unos pasos-
%&'(na /
+--------+ Bn /a9uetes de datosC +--------+ | |@--------------------->| | | | &!N | | | |---------------------->| | | | #(, | | | |@----------------------| | | -1%. # | Bn /a9uetes de datosC | -1%. A | | |@----------------------| | | | &!N | | | |@----------------------| | | | #(, | | | |---------------------->| | +--------+ +--------+
@ as una conexi"n con env!o bidi eccional de datos' el $QK@ 9 indica el deseo de 3inali0ar la conexin mediante el env!o de un paquete con el 3la" !I* le/antado. El $QK@ B esponde con un paquete con el 3la" #C+ le/antado pa a con3ir$ar la recepcin del paquete N8D' t as lo cual ter$ina de en/iar los paquetes que tuvie a pendientes pa a da po #inali0ada la conexi"n. <uando todos son enviados' el $QK@ B env!a un paquete con el 3la" !I* le/antado al $QK@ 9' que esponde con un paquete con el 3la" #C+ le/antado pa a con#i ma la ecepci"n' * ambos conside an la conexin 3inali0ada. Estados TCP <omo *a di7imos' @</ es un p otocolo o ientado a conexi"n' * como tal tiene unos estados de3inidos se(6n en qu+ punto de la conexi"n se encuent e el soc1et. Estos estados est)n detallados en el 1!C EF?< * son58K@ED- >n se vido que espe a conexiones de un cliente * escuc5a un puerto' (ene a un socket con estado 4I(TE*. <uando el cliente se conecte' se c ea ) un soc1et con la conexi"n establecida * ot o que quede a la escuc%a. K;D4KED@- 9l envia un paquete con el 3la" ()* le/antado' como p ime paso pa a el saludo en t es tiempos de una conexi"n' el soc1et ent a en el estado ()*M(E*T. K;D4IE<E8OE=- <uando tiene lu(a el se"undo paso del saludo en t es tiempos * se esponde al p ime K;D con un K;DF9<M' los soc1ets tienen estado ()*M1ECEI6ED. EK@9B58K$E=- >na ve0 se co$pleta el saludo en t es tiempos se ent a en estado E(T#L4I(JED * se pe manece en +l du ante todo el tiempo que du a la conexi"n. N8D4R98@41- El soc1et ent a en este estado una ve0 env!a el paquete con el 3la" !I* le/antado pe o a6n no 5a recibido la con3ir$acin de ese paquete. Kolamente se eciben datos. N8D4R98@42- >na ve0 ecibida la con3ir$acin #C+ del paquete !I*' ent amos en este estado. Kolamente se eciben datos. <5QKE4R98@- Ki somos nosot os los que recibi$os el paquete con el 3la" !I* le/antado pe o a6n tene$os datos que en/iar' el soc1et ent a en estado C4K(EMN#IT. <5QK8DL- Ki a$bos 5ost desean 3inali0ar la conexin a la ve0' los soc1ets ent an en estado C4K(I*H. 59K@49<M- >na ve0 enviados sendos paquetes con el 3la" !I* le/antado en la #inali0aci"n de una conexi"n @</' cuando el 6ltimo en %abe enviado el paquete est) pendiente de recibir la con3ir$acin' ent a en estado 4#(TM#C+. @8JE4R98@- >na ve0 enviados sendos paquetes con el 3la" !I* le/antado en la #inali0aci"n de una conexi"n @</' cuando el p ime o en %abe enviado el paquete en/>a la con3ir$acin al 9lti$o paquete !I*' ent a en estado TI EMN#IT pa a espe a un tiempo p udencial que le pe mita ce cio a se de la ecepci"n del mismo. /a a comp ende me7o los estados @</ debemos ec%a un vista0o al dia( ama de estados-
%&'(na )0
+---------+ ---------D acti'e 1P;N | (<1%;4 | D ----------+---------+@---------D D create .(A | E D D snd %)N /assi'e 1P;N | | (<1%; D D ------------ | | ---------D D create .(A | | de2ete .(A D D * | D D +---------+ (<1%; | D | <!%.;N | ---------- | | +---------+ de2ete .(A | | rc' %)N | | %;N4 | | ----------| | ------| * +---------+ snd %)NF#(, ? D snd %)N +---------+ | |@---------------------------------->| | | %)N | rc' %)N | %)N | | $(*4 |@-----------------------------------------------| %;N. | | | snd #(, | | | |------------------------------------| | +---------+ rc' #(, of %)N D ? rc' %)NF#(, +---------+ | -------------| | ----------| G | | snd #(, | * * | (<1%; +---------+ | ------| ;%.#A | | snd &!N +---------+ | (<1%; | | rc' &!N * ------| | ------+---------+ snd &!N ? D snd #(, +---------+ | &!N |@---------------------------------->| (<1%; | | H#!.-1 |-----------------| H#!. | +---------+ rc' &!N D +---------+ | rc' #(, of &!N ------| (<1%; | | -------------snd #(, | ------- | * G * snd &!N * +---------+ +---------+ +---------+ |&!NH#!.-2| | (<1%!N+ | | <#%.-#(,| +---------+ +---------+ +---------+ | rc' #(, of &!N | rc' #(, of &!N | | rc' &!N -------------- | .imeoutI2:%< -------------- | | ------G * -----------G * D snd #(, +---------+de2ete .(A +---------+ ------------------------>|.!:; H#!.|------------------>| (<1%;4 | +---------+ +---------+
%&'(na ))
T%cnicas de escaneo
;a conocemos los udimentos t+cnicos en los que se basa cualquie escaneo de pue tos. Es el momento de pasa a la pa te dive tida H4.. Oamos a ec%a un vista0o a las distintas t+cnicas de escaneo que existen' a su base t+cnica' a c"mo eali0a las' as! como a valo a los p os * los cont as que conllevan. <omp ende emos que escaneando un mismo %ost de distintas #o mas obtenemos esultados distintos' as! como po qu+ pa a eali0a al(unas de estas t+cnicas necesitamos unos p ivile(ios especiales en el sistema. 9qu! tenemos un dia( ama con la clasi#icaci"n de las distintas t+cnicas de escaneo+-----------------+ | .i/o de escaneo | +--------+--------+ | +----------------+------------------+----------------+---------------+ | | | | | | | | | | | | | | | +----+----+ +-------+-------+ +------+-----+ +-----+----+ +---+---+ | #0ierto | | :edio a0ierto | | %i2encioso | | Aarridos | | 1tros | +----+----+ +-------+-------+ +------+-----+ +-----+----+ +---+---+ | | | | | | | | | | +-------+-------+ +----+----+ +----+----+ +-----+----+ +----+-----+ | .(P connect57 | | .(P %)N | | .(P &!N | | .(P ec3o | | "4P scan | +-------+-------+ +----+----+ +----+----+ +-----+----+ +----+-----+ | | | | | +-------+-------+ +------+------+ +-----+----+ +-----+----+ +-------+---------+ | $e'erse !dent | | Jom0ie scan | | #(, scan | | "4P ec3o | | &.P 0ounce scan | +---------------+ +-------------+ +-----+----+ +-----+----+ +-----------------+ | | +-----+-----+ +----+----+ | Nu22 scan | | .(P #(, | +-----+-----+ +----+----+ | | +-----+-----+ +----+----+ | Kmas scan | | .(P %)N | +-----+-----+ +----+----+ | | +------+-------+ +-----+-----+ | %)N?#(, scan | | !(:P ec3o | +------+-------+ +-----------+ | +---------+---------+ | &ragmentaci n .(P | +-------------------+
TCP connect&'
Esta t+cnica es qui0) la m)s com6n en cualquie so#t&a e de escaneo de pue tos. 5a t+cnica consiste en usar la lla$ada connect() de TCP pa a intentar establecer una conexin con cada uno de los puertos del %ost a escanea . Ki la conexin se establece' el pue to est) abierto ,escuc%ando conexiones.H en caso de ecibi un aviso de cierre de conexin ,IK@.' el pue to esta ) cerradoH * en caso de no recibir respuesta' se deduce que el pue to est) silencioso. Este tipo de escaneo es extre$ada$ente rpido' pues puede eali0a se de #o ma pa alela pa a distintos pue tos mediante el uso de /arios sockets. 9dem)s' es un escaneo 3cil de i$ple$entar. Ku p incipal desventa7a es que es lla$ati/o en exceso' pues esulta a todas luces llamativo establece cientos o miles de conexiones en un ma (en de pocos se(undos. 9dem)s' al eali0a se intentos completos de conexi"n' cualquie sistema (ua da ) re"istros.
%&'(na )2

<ompo tamiento del escaneo-
3ost 2oca2 ---L%)NM---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 @---L%)N?#(,M--- L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L#(,M---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo TCP connect&' mediante el comandonmap -vv -P0 -s !!!.!!!.!!!.!!!
TCP ()*
Esta t+cnica' tambi+n conocida como Jal3Mopen scan ,es el escaneo medio abie to po excelencia.' es pa ecida a la ante io con la impo tante salvedad de no establece completamente las conexiones. En p ime lu(a ' se en/>a un paquete ()* que #in(e intenta establece una conexi"n * se espe a la espuesta. (i lle"a un paquete ()*-#C+ si(ni#ica que el pue to est) abiertoH si lle(a un paquete 1(T' el pue to est) cerradoH * si no se recibe respuesta se asume que est) silencioso. En el caso de que el pue to est+ abie to * ecibamos el paquete K;DF9<M ,es deci ' est)n completos dos de los t es pasos del saludo en t es tiempos.' nosot os no respondere$os con un paquete #C+ como se !a lo espe ado' sino que $andare$os un paquete 1(T. ?/a a qu+A /ues p ecisamente pa a e/itar que se co$plete el inicio de conexin *' po tanto' evita que el sistema e(ist e el suceso como un intento de conexi"n. En sistemas sin p otecci"n espec!#ica de co ta#ue(os o 8=K' este escaneo suele pasa desape cibido. >na ca acte !stica impo tante de este escaneo es que requiere ele/ados pri/ile"ios en el sistema pa a pode lan0a lo' debido a que este tipo de paquetes usan sockets TCP ra.. /o tanto' solo el root puede lan0a escaneos @</ K;D. 5a p incipal venta7a de este tipo de escaneo es que suele se bastante discreto * o# ece unos resultados bastante buenos. Ent e sus desventa7as encont amos el que es al(o lento de reali0ar' * que un sistema con un 3ire.all o un ID( ,aunque al(unos mu* b)sicos no. lo detectar e identi3icar co$o escaneo de pue tos sin nin(una duda. <ompo tamiento del escaneo3ost 2oca2 ---L%)NM---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 @---L%)N?#(,M--- L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L$%.M---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo TCP ()* mediante el comandonmap -vv -P0 -s" !!!.!!!.!!!.!!!
%&'(na )*
TCP !I*
El escaneo TCP !I*' tambi+n conocido como (tealt5 scan ,se t ata del escaneo silencioso m)s conocido.' es uno de los m)s discretos que podemos encont a dent o de las t+cnicas convencionales. Ke apo*a en una pa ticula idad de los est)nda es inte nacionales de @</F8/. 9 la %o a de eali0a el escaneo' se en/>a un paquete !I* al pue to del %ost destino que que emos escanea . 5os est)nda es de @</F8/ dicen que al ecibi un paquete N8D en un pue to ce ado' se %a de esponde con un paquete IK@. 9s! pues' si recibi$os 1(T po espuesta' el pue to est) cerrado' * en caso de no recibir respuesta ,se i(no a el paquete N8D. el pue to puede encontrarse abierto o silencioso. Ssto supone uno de los p incipales inconvenientes del escaneo @</ N8D' * es que los puertos que nos 3i"uran co$o abiertos, pueden estar en realidad en estado silencioso ,puesto que un pue to silencioso po de#inici"n i(no a cualquie paquete ecibido.. 9s! pues' este tipo de escaneos no obtienen unos resultados 3iables' * ese es su tal"n de 9quiles. Qt a ( an desventa7a de este sistema de escaneo viene de cie ta compa:!a de so#t&a e que tiene po costumb e pasa se po el #o o cualquie est)nda in#o m)tico... s!' esa misma que est)is pensandoJic oso#t. En los siste$as Nindo.s' un pue to ce ado i(no a los paquetes N8D' po lo que escanear un siste$a de este tipo con ()* !I* nos "enerar una enor$e lista de puertos abiertos' aunque ealmente est+n ce ados o silenciosos. 9s! que cuidado a la %o a de usa esta t+cnica. <omo venta7a' tenemos el que estos escaneos pasan desapercibidos en la "ran $a8or>a de los 3ire.alls' al no intenta establece nin(una conexi"n. >n 8=K bien con#i(u ado' lo detecta ). <ompo tamiento del escaneo3ost 2oca2 ---L&!NM---> L1M Puerto .(P a0ierto en e2 3ost remoto -%!N $;%P";%.#3ost 2oca2 ---L&!NM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L&!NM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo TCP !I* mediante el comandonmap -vv -P0 -s# !!!.!!!.!!!.!!!
UDP scan
Esta t+cnica' # ente a las dem)s t+cnicas o ientadas a @</' est) orientada al protocolo UDP * sus pue tos. 9unque a p io i pa e0ca que los pue tos >=/ no son mu* inte esantes' se vicios como el pcbind de Kola is' @N@/' KDJ/' DNK... usan todos ellos >=/ como p otocolo de t ans#e encia. El sistema de escaneo consiste en $andar un paquete UDP /ac>o ,0 b*tes de datos. al pue to que deseamos escanea . Ki el pue to est) cerrado' el sistema responder con un paquete IC P de tipo < ,destino inalcan0able.. En caso de no responder' el pue to puede esta abierto o silencioso. Este sistema puede p esenta un "ra/e proble$a de carencia de /elocidad se"9n en qu% siste$as' * es que en el 1!C E:A:=MO1equire$ents 3or IP /ersion P routersO ,#tp-FF#tp. #c4edito .o (Fin4notesF #c1812.txt. se ecomienda li$itar la capacidad de "eneracin de $ensaGes IC P de error. En sistemas 4inux ,consulta el #ic%e o -ip/P-ic$p@5 de las #uentes del 1e nel. esta limitaci"n est) #i7ada en unos =B $ensaGes po se(undo. Kistemas como (olaris son m)s est ictos * tiene la limitaci"n #i7ada en = por se"undo. /e o %a* un sistema que' pa a va ia ' no %ace muc%o caso a los est)nda es' po lo que no tiene nin(una limitaci"n p e#i7ada... s!- Rindo&s. >n escaneo >=/ a un siste$a Nindo.s esulta extre$ada$ente rpido como consecuencia de ello.
%&'(na )4

<ompo tamiento del escaneo-
3ost 2oca2 ---B"4PC---> B1C Puerto "4P a0ierto en e2 3ost remoto -%!N $;%P";%.#3ost 2oca2 ---B"4PC---> BKC Puerto "4P cerrado en e2 3ost remoto 3ost 2oca2 @---|!(:P O3|--- BKC Puerto "4P cerrado en e2 3ost remoto 3ost 2oca2 ---B"4PC---> BNC Puerto "4P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo UDP mediante el comandonmap -vv -P0 -s$ !!!.!!!.!!!.!!!
#C+ scan
5a ma*o !a de las t+cnicas de escaneo nos pe miten identi#ica con exactitud los pue tos abie tos o ce ados' pe o (ene almente los puertos silenciosos no se pueden identi#ica con cla idad. El escaneo #C+ est) destinado a identi3icar de 3or$a precisa cundo un puerto se encuentra en estado silencioso. Esta t+cnica es usada tambi+n pa a pode escanea %osts que est+n det )s de un #i e&all que bloquee los intentos de conexi"n ,paquetes K;D.. Ku #uncionamiento se basa en el en/>o de paquetes #C+ con n9$eros de secuencia 8 con3ir$acin aleatorios. <uando eciba el paquete' si el pue to se encuent a abierto' responder con un paquete 1(T' pues no identi#ica ) la conexi"n como su*aH si el pue to est) cerrado responder con un paquete 1(T' pe o si no se obtiene respuesta ,obviamente p ime o debemos ase(u a nos que el %ost est) en l!nea. podemos identi#ica cla amente el pue to como 3iltrado ,puerto silencioso.. Do malmente el escaneo 9<M se eali0a como apo8o a un escaneo anterior' pa a dete mina los pue tos silenciosos * pode identi3icar mediante una combinaci"n de t+cnicas el estado real de todos ellos. /o e7emplo' ante un %ost con un #i e&all que bloquee intentos de conexi"n ,K;D.' podemos eali0a un N8D scan pa a dete mina los pue tos ce ados' * despu+s un 9<M scan pa a dete mina qu+ pue tos est)n abie tos * cu)les silenciosos. Esta t+cnica tambi+n es usada como /ariante del pin" ,8<J/ ec%o. de toda la vida' pa a sabe si un 5ost est acti/o , ecibi emos respuesta 1(T. o no ,cuando no 5a8 respuesta o la espuesta es destino inalcan0able.. <ompo tamiento del escaneo3ost 2oca2 ---L#(,M---> L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 @---L$%.M--- L1M Puerto .(P a0ierto en e2 3ost remoto 3ost 2oca2 ---L#(,M---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L#(,M---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo #C+ mediante el comandonmap -vv -P !!!.!!!.!!!.!!!
%&'(na )+
*ull scan
Este escaneo tiene muc%os puntos en co$9n con el escaneo !I*. Ku #uncionamiento base es el mismoen/ia$os un paquete $al3or$ado ,en este caso se t ata de un paquete @</ con todos los 3la"s desacti/ados. * espe amos la espuesta. En caso de que el pue to destino est+ cerrado' nos responder con un paquete 1(TH * en caso de no recibir nada ,nuest o paquete es i(no ado.' se t ata de un pue to abierto o silencioso. 5a venta7a # ente al escaneo N8D adica en que cie tos #i e&alls vi(ilan los paquetes de #inali0aci"n de conexi"n adem)s de los de establecimiento' de #o ma que el escaneo nulo pod ) eali0a se all! d"nde el N8D no se !a posible. El esto de venta7as * desventa7as son las mismas que en el escaneo N8D. <ompo tamiento del escaneo3ost 2oca2 ---L M---> L1M Puerto .(P a0ierto en e2 3ost remoto -%!N $;%P";%.#-
3ost 2oca2 ---L M---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L M---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo *ull mediante el comandonmap -vv -P0 -s% !!!.!!!.!!!.!!!
,$as scan
El escaneo Tmas se basa tambi+n en el p incipio de la espuesta IK@ po pa te de un pue to ce ado al ecibi un paquete inco ecto ,como el escaneo N8D.. En el caso del escaneo ,$as' se t ata de un paquete con los 3la"s !I*, U1H 8 P(J acti/ados ,aunque cie tas implementaciones activan N8D' >IL' /K$' 9<M * K;D e incluso al(unas activan todos los #la(s.. /od !a deci se que es lo cont a io del escaneo Dull' pe o lo( ando el mismo e#ecto. 9l i(ual que el escaneo Dull' se usa ba7o cie tas ci cunstancias en las que el escaneo N8D no es posibleH * tambi+n compa te con +stos sus pa ticula idades. <ompo tamiento del escaneo3ost 2oca2 ---LGmasM---> L1M Puerto .(P a0ierto en e2 3ost remoto -%!N $;%P";%.#3ost 2oca2 ---LGmasM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---LGmasM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo ,$as mediante el comandonmap -vv -P0 -s& !!!.!!!.!!!.!!!
%&'(na ),
()*-#C+ scan
Este tipo de escaneo tiene una base parecida a los ante io mente citados !I*' *ull * ,$as' pe o con la sustancial di#e encia de que en este caso los paquetes $al3or$ados 3in"en ser un error en la t ansacci"n de una conexi"n le(!tima. Jediante esta t+cnica' se en/>a un paquete ()*-#C+ al pue to que deseamos escanea en el %ost emoto. Ki el pue to se encuent a cerrado' nos responder con un paquete 1(T. En caso de esta abierto o silencioso' simplemente i"norar el paquete * no obtend emos espuesta. <omo venta7a' este tipo de escaneo e/ade la $a8or>a de 3ire.alls e ID( sencillos' pe o compa te con los escaneos ante io mente citados sus p oblemas' p incipalmente la 3alta de 3iabilidad a la %o a de dete mina los puertos abiertos o silenciosos. <ompo tamiento del escaneo3ost 2oca2 ---L%)N?#(,M---> L1M Puerto .(P a0ierto en e2 3ost remoto -%!N $;%P";%.#3ost 2oca2 ---L%)N?#(,M---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L%)N?#(,M---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap no se encuentra i$ple$entado este tipo de escaneo.
Pin" s.eep
>n pin" s.eep ,tambi+n llamado barrido de pin". no es en ealidad una t+cnica de escaneo de pue tos... sino m)s bien una t+cnica de escaneo de 5osts. Es el momento de %abla de una opci"n de n$ap que %e incluido en el e7emplo de todos los escaneos de los que %emos %ablado %asta a%o a. Es la opci"n -P0. Oeamos qu+ dice la (u!a de e#e encia )pida de n$ap ,nmap -h. al especto de este comando...
-P0 4onPt /ing 3osts 5needed to scan QQQ=microsoft=com and ot3ers7
E#ectivamente' mediante esta opci"n lo( amos que' antes de eali0a el escaneo de pue tos p opiamente dic%o' el so#t&a e no co$pruebe si el 5ost est acti/o. ; os p e(unta +is' ?pa a qu+ demonios me (usta !a a m! que no se eali0a a esa comp obaci"nA /ues es una t+cnica mu* com6n el dene(a ' v!a #i e&all' la salida de paquetes IC P ec5o repl8. 9s!' al eali0a un pin( a un %ost' +ste no esponde * puede pa ece que est+ inactivo. / obad a eali0a un pin( a &&&.mic oso#t.com * lue(o visitad su &eb. 9%o a ima(inad que el obGeti/o de nuest o escaneo va a se toda una red ,po e7emplo 192.168.0.0F24.' en lu(a de un 6nico %ost. 5o p ime o que nos inte esa ) es sabe qu% 5osts estn acti/os' pues si escanea$os toda la red con la opci"n -P0' pe de emos muc%o tiempo mandando paquetes * espe ando la espuesta de equipos que en ealidad est)n inactivos. /e o cabe la posibilidad de que al(unos equipos nos %a(an c ee que est)n inactivos cuando en ealidad no lo est)n... * aqu! es donde ent an las dive sas t+cnicas de pin" s.eep. Jediante esta t+cnica' se eali0a un barrido comp obando qu+ %ost dent o de un an(o se encuent an acti/ados. 5os m+todos pa a comp oba esto son va iosTCP ec5o: Env!o de paquetes TCP al pue to ec%o ,TCP-F.. Ki recibe respuesta' el %ost est) activo. UDP ec5o: Env!o de paquetes UDP al pue to ec%o ,UDP-F.. Ki recibe respuesta' el %ost est) activo. TCP #C+: Env!o de paquetes TCP #C+. Ki se obtiene respuesta 1(T' el %ost est) activo. TCP ()*: Env!o de paquetes TCP ()*. Ki se obtiene respuesta 1(T o ()*-#C+' el %ost est) activo. IC P ec5o: Este es el pin( de toda la vida. IC P ec5o request e IC P ec5o repl8.
%&'(na )-
9unque todas ellas son v)lidas' incluso el pin( cl)sico' las $s e3ecti/as son TCP #C+ 8 TCP ()*. TCP ec5o 8 UDP ec5o no son $u8 usadas ni 6tiles' pues p )cticamente nin(6n %ost tend ) abie to el pue to ec%o * si lo tiene' es poco p obable que bloquee los intentos de pin( no males. En nmap podemos invoca un pin" s.eep mediante estos comandos@</ 9<M- nmap -vv -sP -P !!!.!!!.!!!.!!!'!! @</ K;D- nmap -vv -sP -P" !!!.!!!.!!!.!!!'!! 8<J/ ec%o- nmap -vv -sP -P( !!!.!!!.!!!.!!!'!! @</ 9<M e 8<J/ ec%o en pa alelo- nmap -vv -sP -PB !!!.!!!.!!!.!!!'!! 5a t+cnica TCP #C+ e IC P ec5o en paralelo eali0a a la ve0 ambas t+cnicas' de #o ma que se pueda e/adir un 3ire.all que implemente p otecci"n cont a una de esas t%cnicas. Este modo es el usado po n$ap en caso de no especi#ica nin(uno ,nmap -vv -sP !!!.!!!.!!!.!!!'!!.. Es 6til re3or0ar la exploracin del modo 4/B con un pin" TCP ()* ,4/K.' pues cie tos #i e&alls bloquean tanto los intentos de pin( 8<J/ ec%o como @</ 9<M.
%&'(na ).
T%cnicas a/an0adas
;a conocemos' adem)s de las bases t+cnicas' una ( an va iedad de t+cnicas 2est)nda 3 de escaneo de pue tos- las m)s sencillas * comunes. /e o existen ot as t%cnicas $s co$pleGas que a%o a vamos a t ata . El que sean m)s comple7as no es sinni$o de $a8or e3ecti/idad' pues *a %emos visto va ias veces que no %a* un 6nico escaneo que sea 6til pa a todo' sino que la t+cnica a usa depende de la situaci"n... * casi siemp e lo me7o es usar una co$binacin de t%cnicas. Ec%emos un vista0o a estas t+cnicas 2especiales3-
1e/erse Ident
9ntes de %abla del escaneo 8dent inve so' debemos %abla del Protocolo de Identi3icacin que est) de#inido en el 1!C E:P:< MOIdenti3ication ProtocolO ,#tp-FF#tp. #c4edito .o (Fin4notesF #c1413.txt.. El #in del p otocolo 8dent es p opo ciona in3or$acin acerca de la identidad del usuario de una conexin TCP' pa a lo cual existe un demonio a la escuc%a al que' enviando una quer8 en una dete minada est uctu a ,de#inida en el IN<.' devuelve la in#o maci"n del usua io. Esto es lo que se llama 8dent... ?* entonces qu+ es 8dent inve soA Jediante Ident in/erso somos nosot os los que establece$os una conexin con el 5ost re$oto * lue(o p e(untamos a 8dent po su usua io. =e ca a al %ost emoto' el usua io de esa conexi"n se(ui ) siendo el usua io de su sistema' aunque la conexi"n la %a*amos establecido nosot os. =ado que esta t+cnica requiere que se estable0ca co$pleta$ente una conexin TCP' su base es el escaneo TCP connect&'. >na ve0 establecida la conexi"n con el pue to en el %ost emoto' edi i(imos una que * al pue to 8dent * obtenemos as! in#o maci"n bastante inte esante sob e qui+n es el usua io t as esa conexi"n. Qbviamente no tiene el mismo inte +s un demonio co iendo con p ivile(ios de nobod* ,%ttpd. o con p ivile(ios de oot... Es impo tante tene en cuenta que no todos los 5osts corren el ser/icio de Ident' * de los que lo %acen' muc%os usan al(6n tipo de sistema de identi#icaci"n. Do obstante' puede esulta mu* 6til ba7o dete minadas ci cunstancias... Ssta t+cnica #ue desc ita po p ime a ve0 po =ave Loldsmit% en 1996' en un co eo a la lista de Lu"traq. <ompo tamiento del escaneo3ost 2oca2 ---L%)NM---> 3ost 2oca2 @---L%)N?#(,M--3ost 2oca2 ---L#(,M---> 3ost 2oca2 ---L9uerRM---> 3ost 2oca2 @---L!dentM--L1M L1M L1M L1M L1M Puerto Puerto Puerto Puerto Puerto .(P a0ierto en e2 3ost remoto .(P a0ierto en e2 3ost remoto .(P a0ierto en e2 3ost remoto .(P?113 a0ierto en e2 3ost remoto .(P?113 a0ierto en e2 3ost remoto
3ost 2oca2 ---L%)NM---> LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 @---L$%.M--- LKM Puerto .(P cerrado en e2 3ost remoto 3ost 2oca2 ---L%)NM---> LNM Puerto .(P si2encioso en e2 3ost remoto -%!N $;%P";%.#-
En nmap podemos invoca un escaneo re/erse Ident mediante el comandonmap -vv -P0 -s -( !!!.!!!.!!!.!!!
%&'(na )/
2o$bie scan
Este tipo de escaneo' tambi+n conocido como Du$b scan' IP ID Jeader scan' e Idle scan #ue desc ito po p ime a ve0 po antire0 en un co eo a la lista de Lu"traq. Ku #uncionamiento es bastante in"enioso ,* al(o ebuscado. * basa su t+cnica en particularidades de la pila TCP-IP de la ma*o !a de los sistemas ope ativos. Do malmente el escaneo dumb se eali0a basado en la t%cnica del escaneo ()*' pe o nada nos impedi !a eali0a lo con cualquie ot a. Iequisito indispensable pa a pode lleva a cabo este escaneo es pode conta con un 5ost 0o$bie ,du$$8 5ost' du$b 5ost..... ?; qu+ es un %ost 0ombieA 9l cont a io que un %ost basti"n' un %ost 0ombie es aquel que estando online tiene un tr3ico $u8 baGo o ,me7o a6n. nulo. $a* que deci que encont a un %ost de este tipo es mu* complicado * equie e buenas dosis de paciencia * de pin" s.eep... /o tanto' en este escaneo pa ticipan t es %osts- 5ost# ,nosot os.' 5ostL ,%ost 0ombie. * 5ostC ,%ost emoto a escanea .. En p ime lu(a ' nos ase(u amos de que 5ostL es un 5ost 0o$bie real$ente' * pa a ello le lan0amos un pin" que nos pe mita anali0a el ca$po ID encapsulado en la cabecera IP60 0Rtes from AAA=AAA=AAA=AAAS se9I1 tt2I64 idI+1 QinI0 timeI96 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I2 tt2I64 idI+1 QinI0 timeI88 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I3 tt2I64 idI+1 QinI0 timeI92 ms
Oemos que el incre$ento de la ID es de uno en cada paso del pin(. /odemos asu$ir que el 5ostL no tiene tr3ico. 9%o a es cuando viene lo inte esante del escaneo- $anda$os a 5ostC un paquete ()* 3alseado ,pac1et spoo#in(. con di ecci"n ori"en 5ostL. El compo tamiento de 5ostC se ) pa ecido al caso de un escaneo K;D est)nda 3ostA @---L%)N?#(,M--- L1M Puerto .(P a0ierto en 3ost( 3ostA @---L$%.?#(,M--- LKM Puerto .(P cerrado en 3ost(
9s! pues' 5ostL se encont a ) con un paquete que no esperaba ,+l no %a lan0ado nin(6n intento de conexi"n.. 5a reaccin de 5ostL viene dada po su implementaci"n de la pila @</F8/ * depende del paquete ecibido3ostA @---L%)N?#(,M--- L1M Puerto .(P a0ierto en 3ost( 3ostA ---L$%.M---> L1M Puerto .(P a0ierto en 3ost( 3ostA @---L$%.?#(,M--- LKM Puerto .(P cerrado en 3ost( -%!N $;%P";%.#-
9s! pues' si el pue to escaneado en 5ostC est) abierto' esta emos 3or0ando a 5ostL a en/iar un paquete de espuesta' mient as que si el pue to de 5ostC est) cerrado' 5ostL i"norar el paquete 1(T-#C+ * no envia ) nada. Qbviamente en el caso de que el pue to de 5ostC est+ silencioso no %ab ) nin"9n tipo de en/>o de t )#ico. ?<"mo podemos sabe qu+ #la(s #ue on enviados ent e %ost< * %ostB desde %ost9A /ues lo sab emos po que du ante todo este p oceso' esta emos manteniendo un pin( en pa alelo constante con %ostB. Ki el puerto de 5ostC est abierto ,%ost< manda K;DF9<M a %ostB * +ste esponde con IK@.60 0Rtes from AAA=AAA=AAA=AAAS se9I25 tt2I64 idI+1 QinI0 timeI92 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I26 tt2I64 idI+3 QinI0 timeI80 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I27 tt2I64 idI+2 QinI0 timeI83 ms
Ki el puerto de 5ostC est cerrado ,%ost< manda IK@F9<M * %ostB no esponde. " el pue to de %ost< est) silencioso ,no manda nada.60 0Rtes from AAA=AAA=AAA=AAAS se9I25 tt2I64 idI+1 QinI0 timeI92 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I26 tt2I64 idI+1 QinI0 timeI80 ms 60 0Rtes from AAA=AAA=AAA=AAAS se9I27 tt2I64 idI+1 QinI0 timeI83 ms
%&'(na 20
Qbse vando el ca$po ID vemos que' en caso de que el puerto de 5ostC est% abierto * obli(a a %ostB a manda un paquete' el incre$ento es $a8or que en el caso de que no env!e nada. /odemos asumi po tanto' que en el caso de que el inc emento de 8= sea ma*o en un dete minado momento' nos indica que el pue to escaneado estaba abie to. Este comple7o m+todo de escaneo es mu* in(enioso' po que de ca a a %ost<' el escaneo p ovino de %ostB' * de ca a a %ostB' nosot os solamente est)bamos %aciendo pin(... U-4. En nmap podemos invoca un escaneo 0o$bie mediante el comandonmap -vv -P0 -p- -s( )om.)om.)om.)om !!!.!!!.!!!.!!!
!TP bounce scan

El escaneo N@/ bounce se pa ece en cie to modo al escaneo 0ombie... pe o en su #o ma son totalmente distintos. El escaneo N@/ bounce se basa en unas peculia idades del p otocolo N@/' desc ito en el 1!C E?Q? MO!ile Trans3er ProtocolO ,#tp-FF#tp. #c4edito .o (Fin4notesF #c959.txt.. <uando establecemos una conexin !TP' en p ime lu(a se eali0a una conexi"n ent e el cliente * el puerto de control de datos del ser/idor ,no malmente @</F21.. /e o pa a poder reali0ar trans3erencias de #ic%e os ent e cliente * se vido ' es necesa io establecer otra conexin de datos. Esto' mediante comandos I9R' se eali0a con el co$ando PK1T' que indica la 8/ * el pue to con el que el se vido puede establece la conexi"n de datos. El 2#allo3 est) en que $ediante el co$ando PK1T, pode$os indicar una IP cualquiera' aunque no sea desde la que se inici" la conexi"n. 5as consecuencias de ello son que pode$os establecer una conexin de control de datos con un se vido N@/ ,me7o si es an"nimo. *' mediante el comando PK1T' intentar establecer conexiones de datos con los distintos pue tos de la m)quina a escanea . (e"9n la respuesta que nos devuelva el se vido N@/' el pue to se encont a ) abie to o ce ado. En caso de que el pue to est+ abierto' el se vido N@/ podr establecer una conexin de datos * esponde ) 2==; Trans3er co$plete@3H * en caso de que el pue to est+ cerrado * el se vido no pueda establecer la conexin' esponde ) 2P=Q Can't open data connection@3. Esta t+cnica #ue desc ita po p ime a ve0 po RJobbitR en 1985 <ompo tamiento del escaneo3ost 2oca2 5P1$. a/untando a 3ost remoto7 | | | | | T T T T T %er'idor &.P @---------> L1M Puerto .(P a0ierto en e2 3ost remoto | | | | | T T T T T 5226 .ransfer com/2ete=7 3ost 2oca2 3ost 2oca2 5P1$. a/untando a 3ost remoto7 | | | | | T T T T T %er'idor &.P @---------> LKM Puerto .(P cerrado en e2 3ost remoto | | | | | T T T T T 5425 (anPt o/en data connection=7 3ost 2oca2
En nmap podemos invoca un escaneo !TP bounce mediante el comandonmap -vv -P0 -b usuario*+tp.+tp.+tp.+tp:puerto !!!.!!!.!!!.!!!
%&'(na 2)
!ra"$entacin TCP
5a 3ra"$entacin TCP no es un $%todo de escaneo en s> $is$o' sino una t+cnica avan0ada de ocultacin del escaneo. Ke puede usa con cualquier tipo de escaneo @</' aunque no malmente se utili0a con los escaneos K;D' N8D' Dull * Tmas. 5a t+cnica en s! misma consiste en 3ra"$entar ,dividi . la propia cabecera TCP en # a(mentos m)s peque:os. Lene almente se env!a en p ime a instancia un paquete de 64 bits con el pue to de o i(en * destino' pa a envia despu+s la iniciali0aci"n de las bande as @</. El reensa$blado del paquete se eali0a mediante IP &Internet Protocol odule' anali0ando equivalencias ent e campos de la cabece a @</ ,o i(en' destino' p otocolo e identi#icaci"n.. Ku ( an venta7a eside en que la $a8or>a de los ID( detectan los escaneos de pue tos mediante siste$as de 3ir$as' po lo que dividiendo las cabece as @</ lo( a emos evadi estos sistemas. /e o esta t+cnica tambi+n conlleva "randes proble$as * esultados ext a:os e imp evisibles' pues ciertos 5osts pueden se incapaces de parsear 8 reensa$blar los # a(mentos que le enviamos' * se pueden p oduci cuel"ues' reinicios' e incluso /olcados de $onitori0acin de los dispositi/os de red. 5o cual ba7o cie tas ci cunstancias ,potenciales ataques. puede se bueno' pe o pa a eali0a un escaneo no lo es. 9dem)s' los paquetes TCP 3ra"$entados pueden ser bloqueados por colas de 3ra"$entacin en el kernel o detenidos po cie tos tipos de #i e&alls co ectamente con#i(u ados. En nmap podemos invoca un escaneo de 3ra"$entacin TCP ,en este caso K;D. mediante el comandonmap -vv -P0 -s" -+ !!!.!!!.!!!.!!!
%&'(na 22
Deteccin del 3in"erprint

Kiemp e %a esultado inte esante el saber el siste$a operati/o ,* su ve si"n. * la arquitectura que co e un %ost a la %o a de eali0a una audito !a del sistema. >n bu( en un demonio puede a*uda nos a obtene una s%ell de oot en el %ost' pe o la s5ellcode no depende del de$onio sino del siste$a operati/o... El $%todo clsico pa a ave i(ua qu+ sistema ope ativo co e un dete minado %ost e a el de consultar los banner de las conexiones. 9l conecta a un se vido de telnet' se vido &eb ,'() * +))P*1.0,n.' se vido N@/... e a ,* es. mu* %abitual el encont a se con una l>nea de in3or$acin &banner' que nos di(a la /ersin del so3t.are 8 la del siste$a operati/o. Esta t+cnica no resulta 3iable en absoluto pues pa a empe0a estos banne cada ve0 est)n m)s li$itados' * adem)s es una in#o maci"n 3cil$ente 3alsi3icable ,es dive tido tene un 9pac%e que di(a que es un 88K vulne able al codeFdecode... -4/.. /e o %o* en d!a tenemos ot a t+cnica' una poderosa 5erra$ienta pa a dete mina el sistema ope ativo de un %ost- el anlisis de la 5uella di"ital &3in"erprint' de su pila TCP-IP. Este an)lisis es posible ( acias a las particularidades de los distintos siste$as a la %o a de mane7a la pila de protocolos TCP-IP. 9 lo la (o del manual %e comentado en va ias ocasiones lo a#icionados que son en Iedmond a pasa se po el #o o los est)nda es... bien' pues eso nos va a veni de pe las a la %o a de identi#ica una m)quina Rindo&s. H4. Oeamos las distintas t+cnicas de an)lisis de #in(e p int4a prueba !I* Ke manda un paquete con el 3la" !I* a un pue to abie to. El est)nda de#inido po el 1!C de TCP es no responder' pe o cie tos sistemas que no cumplen el est)nda ,Jic oso#t Rindo&s' BK=8' <8K<Q' $/F>T' JOK' e 8I8T. esponden con un paquete 1(T. 4a prueba de la bandera LKHU( Ke manda un paquete $al3or$ado con un 3la" TCP sin de3inir ,LKHU( 3la". en la cabece a ,(ene almente el bit F' antes se usaba el 8 pe o a%o a es usado como campo E<D. de un paquete ()*. 5inux ante io a 2.0.35 esponden manteniendo la bande a BQL>K' * cie tos sistemas esetean la conexi"n. El esto' eliminan la bande a mal#o mada. 4a prueba del n9$ero de secuencia inicial Ke anali0a el n9$ero de secuencia inicial de una conexin TCP. 5as posibles espuestas son ;Pk ,>D8T anti(uos.' incre$entos aleatorios ,Kola is mode nos' 8I8T' N eeBK=' =i(ital >D8T' < a*....' aleatorios ,5inux a pa ti de 2.0.P' QpenOJK' 98T mode nos....' $odelos dependientes del tie$po con inc ementos e(ula es ,Jic oso#t Rindo&s.... e incluso n9$eros de secuencia iniciales constantes ,cie tos %ubs 3com' imp eso as 9pple 5ase R ite ..... 4a prueba IP ID ;a %ablamos del IP ID en el escaneo 0o$bie' as! que *a sabemos qu+ es. El 8/ 8= puede calcularse mediante un incre$ento de siste$a por cada paquete mandado' se aleatorio ,QpenBK=.' se B en caso de ma ca el bit de no 3ra"$entacin ,5inux.' incre$entos 3iGos po cada paquete ,Jic oso#t Rindo&s. e incluso aleatorios. El que el 8/ 8= sea #)cilmente p edecible es mu* positivo a la %o a de lan0a un escaneo 0ombie... 4a prueba TCP ti$esta$p Ke anali0a la opcin TCP ti$esta$p en una conexi"n @</. <ie tos sistemas no la soportan' ot os eali0an incre$entos 3iGos ,2%0' 100%0' 1000%0.... * ot os devuelven siemp e un valo de B.
%&'(na 2*

4a prueba del bit de no 3ra"$entacin
9l(unos sistemas acti/an el bit de no 3ra"$entacin en cie tos paquetes de los que mandan. 9nali0ando los casos en que esto ocu e se obtiene in#o maci"n del sistema. 4a prueba del ta$aSo inicial de /entana Qbse vando el ta$aSo inicial de /entana en las conexiones @</ se puede obtene in#o maci"n del sistema. /o e7emplo 98T usa Bx<!=Q' ot os como Jic oso#t Rindo&s' N eeBK= * QpenBK= usan BxPB=E... 4a prueba del n9$ero de con3ir$acin 9unque deber>a ser estndar' tambi+n %a* cie tos sistemas que se toman 2licencias3 a la %o a de implementa esta ca acte !stica. Enviando un paquete !I*-P(J-U1H se debe !a obtene como respuesta un n9$ero de con3ir$acin que coincida con el n9$ero de secuencia enviado... aunque cie tas imp eso as * Jic oso#t Rindo&s env!an el n9$ero de secuencia inicial incre$entado en una unidad ,V1.. Qt o caso es el compo tamiento de Jic oso#t Rindo&s manda le un paquete ()*-!I*-U1H-P(J- unas veces devolve ) el n6me o de con#i maci"n correcto' ot as veces le su$ar una unidad' ot as veces esponde ) con un n6me o de con#i maci"n aleatorio... 4a prueba del control de $ensaGes de error IC P Esta p ueba se basa en lo *a comentado en el escaneo UDP. Examinando las li$itaciones de $ensaGes de error IC P podemos obtene in#o maci"n del sistema- 5inux limita los mensa7es a AB cada P se"undos' Kola is los limita a = por se"undo' Jic oso#t Rindo&s no los li$ita... 4a prueba de re3erencia de $ensaGes IC P El est)nda del IN< #i7a que los $ensaGes de error IC P deben %ace una pequeSa re3erencia a un mensa7e 8<J/ que causa va ios e o es. /a a mensa7es de puerto inalcan0able' casi todos los sistemas mandan la cabecera IP $s A b8tes. /e o Kola is manda al(unos b*tes m)s' * 5inux m)s a6n' lo que pe mite econoce los a6n sin nin(6n pue to abie to. 4a prueba de eco de inte"ridad de $ensaGes de error IC P Esta p ueba se basa en la misma re3erencia de $ensaGe que la ante io . <ie tos sistemas usan la cabece a que les env!as como espacio para escribir en el p ocesamiento inicial' lo que %ace que se devuelvan un tanto modi#icados. 98T * BK=8 modi#ican el campo de Tlon"itud totalO' al(unos BK=8' N eeBK=' QpenBK=' >5@I8T' * O9Ten est opean la IP ID enviada' * tambi+n N eeBK= * 98T mandan c5ecksu$s inconsistentes o a 0 ,al cambia el @@5 tampoco iban a esulta v)lidas..... 4a prueba del tipo de ser/icio En mensa7es de IC P puerto inalcan0able' el tipo de ser/icio &TK(' se establece a 0 de #o ma est)nda . Kin emba (o' 4inux usa BxCB que no es un est)nda de valo @QK sino pa te del campo de p ecedencia ,que no es usado.. 4a prueba de $aneGo de 3ra"$entacin <uando un sistema ecibe paquetes 3ra"$entados' el orden de pre3erencia a la 5ora de sobreescribir los datos epetidos ca acte i0a tambi+n al sistema. 9l(unos dan p e#e encia a los datos 8a existentes en bu##e * ot os dan p e#e encia a los datos nue/os.
%&'(na 24

4a prueba de las opciones TCP
5as opciones TCP son una de las me7o es #o mas pa a distin(ui a los sistemas. El motivo viene dado po que no todos los siste$as i$ple$entan todas las opciones' o no las i$ple$entan de i"ual 3or$a' o no las tratan de i"ual 3or$a... adem)s' al pode incluirse todas en un solo paquete ,-!n"o. /cale0101 23P1 4a5 /egment /!6e 0 2671 )!mestamp1 (n" o# 3ps1. nos pe mite obtene datos mu* inte esantes de una #o ma mu* )pida. Kistemas como N eeBK= o 5inux supe io a 2.1.x sopo tan todas' mient as que 5inux in#e io es a 2.0.x no sopo tan prctica$ente nin"una. /e o como cada ve0 es m)s com6n que los sistemas implementen todas las opciones' se puede tambi+n estudia el valo de las mismas. Jandando un (( & ax (e"$ent (i0e' $u8 pequeSo' los sistemas 5inux lo aceptarn 8 respondern el eco' pe o ot os sistemas lo rec5a0arn 8 respondern con /alores $s altos. 96n obteniendo las mismas opciones * los mismos valo es' puede que el o den esulte alte ado- Kola is esponde con **T*N E ,8no op98no op98t!mestamp98no op98.!n"o. scale98ec:oe" 4//9. mient as que 5inux supe io a 2.1.x esponde con E**T*N. 4a prueba de cronolo">a de exploits 9 la %o a de distin(ui ent e la pila TCP-IP de siste$as Nindo.s?Q, Nindo.s?A 8 Nindo.s*T existen bastantes p oblemas. 9 pesa del tiempo pasado ent e ve siones' la pila @</F8/ ent e 95 * 98 no ca$bi absoluta$ente nada' * pa a D@ ca$bi $u8 poco' con todo ,lo malo. que ello implica. /e o a6n as! es posible distin(ui ent e estos sistemas po lo vulne ables que %an sido' en o den c onol"(ico' a distintos ataques de dene"acin de ser/icio. K!' es penoso' ?ve dadA x=. 5an0ando ataques como Pin" K3 Deat5' Nin*uke' Teardrop o 4and * comp obando despu+s si el sistema si(ue en pie se puede toma una idea de qu+ tipo de sistema Rindo&s se t ata. 4a prueba de resistencia a ()* 3lood <ie tos sistemas son m)s sensibles que ot os al llamado ()* 3lood &inundacin ()*'. <uando mandamos $uc5os paquetes ()* 3alsi3icados ,pa a evita que nuest o p opio sistema co te la conexi"n. a un mismo pue to en un %ost emoto' es com6n que +ste se bloquee * no per$ita acepta nuevas conexiones. 9l(unos sistemas como 5inux solucionan esto mediante el uso de ()* cookies' po lo que no esultan vulne ables. En nmap podemos invoca la deteccin del 3in"erprint mediante el comandonmap -vv -P0 -, !!!.!!!.!!!.!!!
%&'(na 2+
Proteccin 3rente a escaneos

9%o a sabemos c"mo reali0ar escaneos de pue tos en toda clase de condiciones' c"mo interpretar los resultados de distintas t+cnicas * c"mo co$binarlas pa a obtene esultados bastante #iables. Es %o a de sabe c"mo prote"er nuestro propio siste$a de +stas mismas t+cnicas. 5o p ime o que debemos deci es que no es $alo tener puertos abiertos- sin pue tos abie tos 8nte net no existi !a pues nadie pod !a conecta se con ot a pe sona. /e o %a* que tene unas nor$as bsicas a la %o a de o# ece se vicios' ab i * ce a pue tos... :M #brir sola$ente los puertos necesarios: 5os 6nicos pue tos abie tos en nuest o sistema deben se los necesa ios pa a que #uncionen co ectamente los se vicios que que emos o# ece desde nuest a m)quina. Ki deseamos adem)s evita mi adas indisc etas' me7o si los colocamos a la escuc%a en pue tos no est)nda . =M Controlar los puertos abiertos din$ica$ente: <ualquie aplicaci"n que eali0a conexiones debe ab i de #o ma din)mica pue tos pa a pode eali0a la conexi"n. Do malmente se utili0an pue tos a bit a ios supe io es al 1024' pe o en cie tas ci cunstancias ,po e7emplo pa a el =<< de 8I<. conviene cont ola el an(o de pue tos pe mitidos o asi(na los a mano ,po e7emplo pa a aplicaciones /2/.. <M Prote"er los puertos que no use$os: El esto de los pue tos debe )n esta ce ados' o me7o a6n' silenciosos. PM Prote"er el acceso a los ser/icios que deban ser restrin"idos: Ki debemos o# ece un se vicio pe o no de #o ma p6blica' +ste debe se p ote(ido mediante sistemas de autenti#icaci"n adecuados. QM Prote"er las conexiones: Kiemp e que sea posible' usa conexiones ci# adas- KK5 es vuest o ami(o' no le abandon+is- +l nunca lo %a !a. -4. ;M Usar un 3ire.all: 8mp escindible su uso' bien se t aten de m)quinas independientes o dependientes del p opio %ost. Dadie tiene excusa pa a no usa uno' pues existen muc%os #i e&alls de esc ito io ( atuitos. FM Usar un ID(: >n #i e&all p ote(e nuest a ed se(6n las e(las con las que est+ dise:ado. >n 8=K detecta ,* act6a en consecuencia. ataques se(6n una se ie de e(las p o( amadas po nost os. 5a combinaci"n pe #ecta- #i e&all V 8=K. AM Usar esque$as de se"uridad redundantes: ?Wu+ me7o que un #i e&allA B=osC Ki tienes un oute que act6a como #i e&all' instala ot o en el sistema ope ativo de tu o denado - dos ba e as suponen ma*o es complicaciones que una. ?M Kcultar in3or$acin sensible: <uanta menos in#o maci"n ten(a un potencial atacante de nuest o sistema' me7o pa a nosot os. $a* que desactiva los banne s de in#o maci"n de cualquie se vicio' oculta las ve siones... incluso se puede' mediante 8/tables' #alsi#ica la %uella de la pila @</F8/ pa a en(a:a a los sistemas de detecci"n de #in(e p int que vimos en el punto ante io . Es un tema inte esant!simo... qui0) me pon(a a ello pa a ot o a t!culo... -4mE :BM Usar siste$as de se"uridad a/an0ados: 9p ovec%a los 6ltimos sistemas de se(u idad. 8ma(inad que que emos o# ece un se vicio pe o no tene absolutamente nin(6n pue to abie to. ?8mposibleA Do. Existe una t+cnica llamada po t 1noc1in( mediante la cual un sistema con todos los pue tos ce ados tiene un demonio a la escuc%a de los lo(s del #i e&all. <uando +ste econoce una secuencia dete minada de intentos de conexi"n a dete minados pue tos * en un dete minado o den' ab e un pue to' establece un soc1et pa a ab i una conexi"n con el %ost emoto * vuelve a ce a lo pa a que nadie m)s pueda conecta se al se vicio. Qt o tema mu* inte esante... RM Tener el so3t.are actuali0ado: =e nada le si ve a un atacante sabe la ve si"n de nuest o 9pac%e si no %a* #allos conocidos. <onviene as! mismo esta al tanto de estos #allos pa a eacciona un paso po delante del atacante. 5a lista de co eo de bu(t aq es un ( an ecu so a este especto.
%&'(na 2,
Introduccin a * #P
9 lo la (o de todo el texto %emos ido viendo poco a poco al(unas de las #unciones de nmap' pudiendo comp oba que se t ata de una de las %e amientas de an)lisis de ed m)s polivalentes que existen. En mi opini"n' es el $eGor escaneador de puertos 8 siste$a de deteccin de 3in"erprint que existe %o* en d!a' * adem)s es so3t.are libre. <omo *a %emos visto las distintas opciones de escaneo de n$ap' no vamos a volve a %abla de ellas' pues tanto la pa te t+cnica como los comandos conc etos de nmap *a %an sido vistos. Oamos a cent a nos en el resto de 3uncionalidades de n$ap * a ve al(unos e7emplos. 6erbose: $ab +is visto que siemp e que utili0o el comando nmap a:ad!a dos pa )met os- MPB * M//. ;a sabemos que MPB sir/e para e/itar que 5a"a$os pin" al 5ost' as! que nos queda sabe pa a qu+ si ve M//. Ke t ata del $odo detallado &/erbose' de nmap' pa a obtene po pantalla in3or$acin adicional ace ca de las acciones llevadas a cabo * sus esultados. >s)ndolo una /e0 &M/' obtend emos in3or$acin adicional' us)ndolo dos /eces &M//' obtend emos $s a9n' * usando Mbb obtend emos m)s a6n ,se(6n el manual de nmap' nos /ol/ere$os locos 5aciendo scroll en pantalla..... >so- nmap ;P0 -vv ;s/ 555.555.555.555 1an"o de puertos: Do siemp e que emos escanea los 65535 pue tos de un %ost... * mediante el pa )met o 4p pod emos establecer el ran"o que que emos escanea * a%o a nos tiempo. /o de#ecto' nmap escanea el ran"o :M:B=P * adem)s los que se encuent an de#inidos en 'etc'services. >so pa a un pue to ,80.- nmap ;P0 ;&& ;s/ -p -0 555.555.555.555 >so pa a un an(o ,141024.- nmap ;P0 ;&& ;s/ -p .-.0/0 555.555.555.555 Puerto de ori"en: Ki estamos det )s de un #i e&all o al(6n dispositivo que bloquea la salida de in#o maci"n desde dete minados pue tos' podemos especi#ica qu+ pue to que emos usa pa a lan0a el escaneo. >so ,6969.- nmap ;P0 ;&& ;s/ -g 1212 555.555.555.555 *9$ero $xi$o de sockets: <uando usamos el escaneo @</ connect,.' podemos de#ini el n6me o m)ximo de soc1ets a ab i con el #in de no colapsa el %ost que que emos escanea . >so ,7.- nmap ;P0 ;&& -s -M 3 555.555.555.555 odo rpido: Ki 6nicamente que emos escanea los se vicios listados en el #ic%e o 'etc'services debemos usa la opci"n 4N. >so- nmap ;P0 ;&& ;s/ -# 555.555.555.555 Uso de seSuelos: Esta #uncionalidad es una delicia. Jediante el uso de una se ie de seSuelos' podemos %ace que nmap mande' adem)s de los paquetes del escaneo en cuesti"n' una se ie de paquetes 3alsi3icados &packet spoo3in"' pa a que pa e0can p oveni de ot os %osts. =e esta #o ma' se (ene a )n en los lo(s una lista de 5osts que %an eali0ado el escaneo de pue tos * no se sabr cul de ellos 5a sido el /erdadero autor. El o den a la %o a de coloca los se:uelos * nosot os mismos ,JE. es indi#e ente' si bien conviene que nuest o p opio %ost no sea de los pri$eros' con lo que evita emos que cie tos #i e&alls siquie a lo(een nuest a 8/. Es impo tante ase(u a se de que los se:uelos usados estn online pa a e/itar causar un ()* 3lood en la v!ctima ,o... es impo tante ase(u a se de que est+n o##line pa a p ovoca un K;D #lood..... >so- nmap ;P0 ;&& ;s/ -Ds4..s4..s4..s4.,s4/.s4/.s4/.s4/,5...6,M7,5...6,s4n.s4n.s4n.s4n 555.555.555.555
%&'(na 2-
Uso de IP/;: Es posible usa nmap con el p otocolo 8/v6 en lu(a de 8/v4. >so- nmap ;P0 ;&& ;s/ -1 5555<5555<5555<5555<5555<5555<5555<5555 Pol>tica de precaucin: Jediante esta opci"n &MT' establecemos el retardo ent e unos paquetes * ot os. <uanto $s rpido los mandemos' antes ter$inar el escaneo pe o $s lla$ati/o resultarH * cuanto $s lento lo ealicemos' $s tardar en ter$inar' pe o $s di3>cil de detectar esulta ). /o de#ecto se usa no mal. >so ,/a anoico.- nmap ;P0 ;&& ;s/ - Paranoid 555.555.555.555 >so ,Nu tivo.- nmap ;P0 ;&& ;s/ - "nea89 555.555.555.555 >so ,Educado.- nmap ;P0 ;&& ;s/ - Polite 555.555.555.555 >so ,Do mal.- nmap ;P0 ;&& ;s/ - %ormal 555.555.555.555 >so ,9( esivo.- nmap ;P0 ;&& ;s/ - Agressive 555.555.555.555 >so ,=emente.- nmap ;P0 ;&& ;s/ - (nsane 555.555.555.555 1esolucin de D*(: 9 veces nos inte esa ) que se esuelvan los nomb es de dominio * ot as que no se %a(a. /o de#ecto se eali0a a veces' dependiendo de la ci cunstancia. >so ,no esolve .- nmap ;P0 ;&& ;s/ -n 555.555.555.555 >so , esolve siemp e.- nmap ;P0 ;&& ;s/ -: 555.555.555.555 #rc5i/o de re"istro: /odemos (ua da un e(ist o de la salida po pantalla en un #ic%e o de va ios tipos' se(6n la necesidad. >so ,texto plano.- nmap ;P0 ;&& ;s/ -o% ;+ichero.algo< 555.555.555.555 >so ,TJ5.- nmap ;P0 ;&& ;s/ -o& ;+ichero.algo< 555.555.555.555 >so ,t atable po ( ep.- nmap ;P0 ;&& ;s/ -o= ;+ichero.algo< 555.555.555.555 IP e inter3a0 usada: En caso de que %a*a va ias inte #aces' o en caso de que nmap no la autodetecte' se puede especi#ica +sta a mano. >so ,8/.- nmap ;P0 ;&& ;s/ -" (P.(P.(P.(P 555.555.555.555 >so ,inte #a0.- nmap ;P0 ;&& ;s/ -e ;int&< 555.555.555.555 odo interacti/o: 9 anca nmap como modo inte activo ,una ve0 a ancado' pulsando % obtenemos a*uda m)s detallada.. >so- nmap --interactive Especi3icacin de obGeti/os: Do siemp e que emos escanea una 6nica 8/' o puede que no que amos esc ibi la cada ve0' o que la ten(amos en un #ic%e o de lo(s... >so ,Ent ada po #ic%e o.- nmap ;P0 ;&& ;s/ -i> ;+ichero.algo< >so ,Ian(o con notaci"n de m)sca a.- nmap ;P0 ;&& ;s/ !!!.!!!.!!!.!!!'!! >so ,Ian(o pe sonali0ado.- nmap ;P0 ;&& ;s/ ?!!!.!!!.!!!.!!!-999.999.999.999? >so ,Ian(o pe sonali0ado con aste iscos.- nmap ;P0 ;&& ;s/ !9@.!9@.!9@.!9@
%&'(na 2.
(o3t.are
9dem)s de nmap' existen muc%os ot os p o( amas inte esantes o ientados al escaneo de pue tos *Fo a la detecci"n del #in(e p int de un sistema ope ativo. Oamos a esumi los m)s inte esantes ,po o den al#ab+tico.Ft5 (p5ere Portscan (sc$ner "e puertos Xltima ve si"n- 1.2 Kistema- Rindo&s 5icencia- N ee&a e =esca (a- %ttp-FF&&&.0one4%.o (Fdo&nloadF#ileG3982F C5eops ,%ttp-FF&&&.ma 1o.netFc%eopsF. (sc$ner "e puertos #!ngerpr!nt Xltima ve si"n- 0.61 Kistema- >nix 5icencia- L/5 =esca (a- #tp-FF#tp.ma 1o.netFpubFc%eopsFc%eops40.61.ta .(0 Essential*etTools ,%ttp-FF&&&.tamos.comFp oductsFnettoolsF. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 3.2 Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.&ebattac1.comFdlno&F di .dllAidG101212 H*U *etcat ,%ttp-FFnetcat.sou ce#o (e.netF. (sc$ner "e puertos Xltima ve si"n- 0.7.1 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FFcesnet.dl.sou ce#o (e.netFsou ce#o (eFnetcatFnetcat40.7.1.ta .(0 IPMTools ,%ttp-FF&&&.1s4so#t.netFip4tools.en(F. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 2.30 Kistema- Rindo&s5icencia- <op* i(%t =esca (a- %ttp-FF%ostmonito .bi0Fdo&nloadFip4tools.exe 4#*"uard ,%ttp-FF&&&.(#i.comFlan(ua dF. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 5.0 Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.(#i.comFlannetscanFnet&o 1scanne Y# ee&a e.%tm e"aPin" ,%ttp-FF&&&.ma(netoso#t.comFp oductsFme(apin(Fme(apin(Y#eatu es.%tm. (sc$ner "e puertos Xltima ve si"n- 4.3 Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.ma(netoso#t.comFdo&nloadsFJe(a/in(Ketup.exe
%&'(na 2/

*essus ,%ttp-FF&&&.nessus.o (F. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 2.0.12 Kistema- >nix 5icencia- L/5 =esca (a- #tp-FF#tp.(&d(.deFpubFlinuxFmiscFnessusFnessus42.0.12Fs cF
*etcat ,%ttp-FF&&&.atsta1e.comF esea c%FtoolsFnet&o 1YutilitiesF. (sc$ner "e puertos (pue"e ser&!r tamb!=n <;P) Xltima ve si"n- 1.10 Kistema- >nix Z Rindo&s 5icencia- N ee&a e =esca (a ,>nix.- %ttp-FF&&&.atsta1e.comF esea c%FtoolsFnet&o 1YutilitiesFnc110.t(0 =esca (a ,Rindo&s.- %ttp-FF&&&.atsta1e.comF esea c%FtoolsFnet&o 1YutilitiesFnc11nt.0ip *eNT ,%ttp-FF&&&.tenablesecu it*.comFne&t.%tml. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 2.0 Kistema- Rindo&s 5icencia- L/5 =esca (a- %ttp-FFc(i.tenablesecu it*.comFtenableF equestNo m.p%p * #P ,%ttp-FF&&&.insecu e.o (FnmapF. (sc$ner "e puertos "e #!ngerpr!nt Xltima ve si"n- 3.55 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FFdo&nload.insecu e.o (FnmapFdistFnmap43.55.ta .b02 * #P 3or Nindo.s ,%ttp-FF&&&.insecu e.o (FnmapF. Esc)ne de pue tos * de #in(e p int Xltima ve si"n- 1.3.1 Kistema- Rindo&s 5icencia- L/5 =esca (a- %ttp-FFdo&nload.insecu e.o (FnmapFdistFnmap&inY1.3.1.exe pB3 ,%ttp-FF# es%meat.netFp o7ectsFp0#F. (sc$ner "e #!ngerpr!nt pas!&o Xltima ve si"n- 2.04 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FF# es%meat.netF edi Fp0#F43121Fu lYt(0Fp0#42.0.4.t(0 Uue(K (sc$ner "e #!ngerpr!nt Xltima ve si"n- 0.980922b Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FF#tp.debian.o (FdebianFpoolFmainFqFquesoFquesoY0.980922b.o i(.ta .(0 1etina *et.ork (ecurit8 (canner ,%ttp-FF&&&.ee*e.comF%tmlFp oductsF etinaFindex.%tml. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- Do p opo cionada en la &eb del #ab icante Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.ee*e.comF%tmlFp oductsF etinaFdo&nloadFindex.%tml
%&'(na *0
(5ado. (ecurit8 (canner ,%ttp-FF&&&.sa#et*4lab.comFenFp oductsF1.%tm. (sc$ner "e puertos &ulnerab!l!"a"es Xltima ve si"n- 7.01 Kistema- Rindo&s 5icencia- <op* i(%t =esca (a- %ttp-FF&&&.sa#et*4lab.comFc(iFdo&nload.plAlan(GenZp o(GK%ado&Kecu it*Kcanne (ip5on ,%ttp-FFsip%on.datane ds.netF. (sc$ner "e #!ngerpr!nt Xltima ve si"n- 0.666 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FFsip%on.datane ds.netFsip%on4v.666.ta .(0 Nin!in"erprint ,%ttp-FF&in#in(e p int.sou ce#o (e.netF. (sc$ner "e #!ngerpr!nt Xltima ve si"n- 0.5.11 Kistema- Rindo&s 5icencia- L/5 =esca (a- %ttp-FF%eanet.dl.sou ce#o (e.netFsou ce#o (eF&in#in(e p intF&in#in(e p int40.5.11a.0ip ,probe= ,%ttp-FF&&&.s*s4secu it*.comF%tmlFp o7ectsFT.%tml. (sc$ner "e #!ngerpr!nt Xltima ve si"n- 0.2 Kistema- >nix 5icencia- L/5 =esca (a- %ttp-FF&&&.s*s4secu it*.comFa c%iveFtoolsFxp obe2Fxp obe240.2.ta .(0
%&'(na *)
Distribucin de este docu$ento

Este documento se dist ibu*e en #o mato /=N eali0ado ba7o QpenQ##ice.o ( 1.1.2. !ic5eros a distribuir: Domb e- 2Kabuesos.pd#3 =esc ipci"n- =ocumento p incipal. Domb e- 2Kabuesos.pd#.si(3 =esc ipci"n- Ni ma di(ital /L/ del #ic%e o 2Kabuesos.pd#3 eali0ada po el auto . Domb e- 2%as%.txt3 =esc ipci"n- <ontiene la cadena %as% J=5 de los #ic%e os 2Kabuesos .pd#3 * 2Kabuesos .pd#.si(3. Datos adicionales: El %as% J=5 puede esulta 6til pa a comp oba la inte( idad del #ic%e o desca (ado' pe o no es (a ant!a de la inalte abilidad del documento' pues puede %abe sido alte ado 7unto a la cadena de %as%. /a a comp oba la completa autenticidad e inalte abilidad del #ic%e o' usa el sistema /L/ pa a valida el #ic%e o .si( ,J8JEF/L/. de #i ma. <ualquie modi#icaci"n no auto i0ada del documento %a ) que la #i ma del mismo no sea v)lida' * +sta es imposible de #alsi#ica .
Deat5
#utenti3icacin:
44444BEL8D /L/ JEKK9LE44444 q9DWI1=B&>&=[o@5*([(u79B=F9L0%*7e=exIWM&s0=@T[T/KQ1FNa7O4*$D>(;8 #70[1s51d0<L95p$\LM86bLdtd7c7D[F0\5Je eu1LOi[ev%8<@7W31Q0Q/lQ8c0 1#955a5\us0R7Od\b253<e;lLV7Ddu5O7l*9@<eVFFl>O7Ea/bNoFE7>bO<I;qNL N[M@K>@F/c$N;@o&L$t/u<<@Nm5m3;>dF@K2<N/m=oOaRQl9\24tsKWqOODcE\(1 &[o4K=Bl8t090BE7LQWD601ctBo<e10e86[eE;0V@s>0uJe1[$(a&v8n7 RT$8\9 E04<bvJ#&N0e10o816J6 M 8Jdlv*a036Otc65mO481N[2vKe<*LI*ca(c815QB< $vE5O%T5c7TlEKF40iIMuQ1e9usvlTL9D\mc8q=@1id$Qv T8M@39Ddca7RO[@l3 K50m\l9uD0e/KRlT[E06715090\&NBJ4*l#1W0/6Kx7@8>0$&VuoQQ5$LeqMF5vN @3bo59O1baWi20i 4RB*q>0e6n;/a0K4DV79e=9Db>51R1db;3d48(<M=%(4/OED aBt7v5noE5vvD#o#[1xm4ML# K=vvx7e3LM%[<l7a0Mx\qpW9L[lqV5/Bb6Jq1LW 7@>7Tu/&qb8d[VxaIe25$<TBl>Q1BDl=02I1nv9%<0lavq8N3@F$77/8E%5[@1FB 732xB95<7&E6DQ(\5R5i=$u12N3t\>#O0V7<#i OOK\>\8QTd55911 <Tp(a;#b7 VpRD;@*Mbq0#W4#JRo a50MN0q@o7oWb 8e6t1[o41q7@QF*l7ob49B*OW3 Fo;2 vO1E*BM*tnF8OxKxvx09<&1855&6D&$2eN1$27@aM5;8s3c7\#clq#<1ELL66cpM u7c<RLDeoViTbl1sm8ln/=0eInaK*O q dp8nLEV9sE9KOmD p/8;iRE@4b5$t67 (eeJ[T<(E(uJ&bd;%7dR[9>J4iN=<o1osKF#Tm0o*1RKN7&&emeiRs3m0n38VaQ7 5oDaM&**&p/ 07 d<\i($t#98[=Op1WeJmJ&EM%buT;9Lp9T< e@[9s1>q8(Nuqe 1@1QF7b c<p838t1NIN5 caLa2D&dBDMc6c@eqR<NFx8WV9;74i4s3J3nsDslRbn 1KN%Q4%oIqE0>1#\%2t 1dINco7q sp b&97vs1a;3=a3<M45019mEo4;9E18</i JDQJ@cp >\71N3*8se5Q7#Oio>Qi5d9Rtte*(63aK9q5l1#\0l8nNR1@254s18Fl 98;n@0e8$=uWLN7I1/ENu&2;[v(5L9cD/cR5qJOdqvT=c001#i7$0T1@5ta$db(I b$pq8%&N\5;@<7 WuTm49cTt<095&Ex0mKuD0@>44Vl3b&1q\VsxuOKb*IOt\4BW pO#/c09NB>Otix18MT38pV;pnsK*/nneQE>i#5tLO4Tt0t @0R;O5%/metD5i(ts (>V11Om\Vu6V7q1#&\2FB<81=0#629K[xT8[5>m $%>I(%DV#E7OJ375T<u(l5q1 %Oo3bd<q/eq1@*m B8cJ97FJ&O<KW<\TdJb3RDaKKJo*lRl%4<8Vi8[#I[;=bE19 7dImu9M3>[TTDW%NVo qBtR50$O%&*bJ4uoqds\01V1R98\cd0 &0s$4W6o5> sJ M$bb%%i@R<8&=$3R4=J7\><ni$&eu8L(ci[7tJ& p>m07WDO=lb9@e/m DL$1v16 lDaE65mRI8m176##=\0\7mW&MInNx@=(nM19q[5ucNu/2$7%o@b>%4<nQ*iW=v10 [W57 K#OKs$%81I[BdMNWn$@[B4\5<pe0aDM5(um0QeMcJE[NN4G Gap<n 44444ED= /L/ JEKK9LE44444
aster
%&'(na *2
4icencia
Kabuesos en la Ied- El escaneo de pue tos ] %ttp-FF&&&.deat%4maste .t1F ] Oe si"n 1.0 Este documento %a sido libe ado po su auto ba7o la licencia LD> N ee =ocumentation 5icense ,LN=5.' * su utili0aci"n' copia o ep oducci"n queda su7eta a los t+ minos de la citada licencia' que puede se consultada en el si(uiente sitio &ebH*U !ree Docu$entation 4icense: %ttp-FF&&&.(nu.o (Fcop*le#tF#dl.%tml LN=5 Oe sion 1.2' Dovembe 2002 <op* i(%t ,<. 2000' 2001' 2002 N ee Ko#t&a e Noundation' 8nc.
Cop8ri"5t &c' =BBP Deat5 aster /e mission is ( anted to cop*' dist ibute andFo modi#* t%is document unde t%e te ms o# t%e LD> N ee =ocumentation 5icense' Oe sion 1.2 o an* late ve sion publis%ed b* t%e N ee Ko#t&a e NoundationH &it% t%e 8nva iant Kections bein( 2=ist ibuci"n de este documento3 and 25icencia3' no N ont4<ove @exts' and no Bac14<ove @exts. 9 cop* o# t%e license is included in t%e section entitled ^LD> N ee =ocumentation 5icense^. <ualquie copia' modi#icaci"n' dist ibuci"n o utili0aci"n en (ene al de este documento debe espeta la auto !a o i(inal del mismo' co espondiente a Deat5 aster. Blood%ounds in t%e Det- @%e po t scannin( ] %ttp-FF&&&.deat%4maste .t1F ] Oe sion 1.0 @%is document %as been # eed b* its aut%o unde t%e license LD> N ee =ocumentation 5icense ,LN=5.' and its use' cop* o ep oduction is sub7ect to t%e te ms o# t%e mentioned license t%at can be consulted in t%e #ollo&in( &ebsiteH*U !ree Docu$entation 4icense: %ttp-FF&&&.(nu.o (Fcop*le#tF#dl.%tml LN=5 Oe sion 1.2' Dovembe 2002 <op* i(%t ,<. 2000' 2001' 2002 N ee Ko#t&a e Noundation' 8nc.
Cop8ri"5t &c' =BBP Deat5 aster /e mission is ( anted to cop*' dist ibute andFo modi#* t%is document unde t%e te ms o# t%e LD> N ee =ocumentation 5icense' Oe sion 1.2 o an* late ve sion publis%ed b* t%e N ee Ko#t&a e NoundationH &it% t%e 8nva iant Kections bein( 2=ist ibuci"n de este documento3 and 25icencia3' no N ont4<ove @exts' and no Bac14<ove @exts. 9 cop* o# t%e license is included in t%e section entitled ^LD> N ee =ocumentation 5icense^. 9n* cop*' modi#ication' dist ibution o (ene al pu pose use o# t%is document s%ould espect t%e o i(inal esponsibilit* o# it' co espondin( to Deat5 aster.
R End K3 !ile R
%&'(na **

Sabu Esos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sabu Esos

Cargado por

Copyright:

Formatos disponibles

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Estableciendo conexiones: sockets, puertos e IP's

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Cabeceras de paquetes TCP, UDP e IC P

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

@ipo de 8<J/- destination un eac%able' time exceeded' sou ce quenc%.

@ipo de 8<J/- pa amete p oblem.

@ipo de 8<J/- edi ect.

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

@ipo de 8<J/- timestamp' timestamp epl*.

@ipo de 8<J/- ec%o' ec%o epl*.

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

#spectos i$portantes en conexiones TCP

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

En nmap podemos invoca un escaneo #C+ mediante el comandonmap -vv -P !!!.!!!.!!!.!!!

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

En nmap no se encuentra i$ple$entado este tipo de escaneo.

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

!TP bounce scan

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Deteccin del 3in"erprint

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Death Master, 2004 !"D#$

Sabuesos en la Red: El escaneo de puertos

Proteccin 3rente a escaneos