Técnicas de escaneo con Nmap a fondo

Con Nmap, y el módulo auxiliar para scanning de puertos de Metasploit,

podemos realizar multiples tipos de escaneo, a continuación te explicamos
el funcionamiento de los más importantes y útiles

Escaneo tipo TCP: Es la forma más sencilla de escaneo TCP. De forma

transparente a nosotros nuestro sistema operativo usa una función
llamada connect() para realizar una conexión a todos los puertos que
especifiquemos en la máquina objetivo. En caso de que el puerto en la
máquina remota este a la escucha (abierto), la ejecución de la función
connect() tendrá exito. La desventaja de este tipo de escaneo es que es muy
fácil de detectar por el sistema remoto y podríamos ser bloqueados por
algun sistema de seguridad o que nuestra IP quede registrada en sus logs.

Escaneo tipo SYN: Se conoce como escaneo "half open" (medio abierto),
porque nuestra máquina no inicia una conexión completa al servidor
remoto. El proceso inicia, como una típica conexión TCP, con el envio de un
paquete SYN, si la respuesta del servidor es un SYN/ACK quiere decir que el
puerto está a la escucha, si es un RST quiere decir que el puerto NO está a
la escucha. En el caso, entonces, de que recibamos SYN/ACK nuestra
máquina envía un RST inmediatamente para cortar la conexión. La ventaja
de este tipo de escaneo es que puede que no sea detectado por algún
sistema de seguridad o registrado en los logs.
Escaneo tipo ACK: Este escaneo es diferente a los otros vistos ya que nunca
determina puertos abiertos. Es usado para trazar reglas de firewalls,
determinando si son de tipo stateful o no y qué puertos estan filtrados.

El escaneo ACK, aunque suene obvio, solo envía la bandera ACK. Cuando
escaneamos sistemas con puertos no filtrados, los puertos tanto abiertos
como cerrados van a retornar un paquete RST (RESET), por lo que Nmap los
clasifica como "unfiltered" (No filtrados), explicando que son alcanzables
por el paquete ACK pero no se puede determinar exactamente si están
cerrados o abiertos. Los puertos que no responden o envían algun tipo de
error ICMP son clasificados como "filtered" (Están filtrados por un firewall)

Escaneo tipo Xmas: Envía los paquetes FIN PSH y URH, si recibimos como
respuesta un RST quiere decir que el puerto está cerrado, mientras que si
no recibimos ningun tipo de respuesta podemos interpretar que el puerto
está open|filtered (abierto|filtrado), si recibimos como respuesta algún tipo
de error ICMP el puerto esta filtered (filtrado)

La ventaja de este escaneo es que puede saltar ciertos firewalls y ciertos

Routers que filtran paquetes y es más silencioso que un escaneo de tipo
SYN. A pesar de estas ventajas es conocido que los IDS (Sistemas de
detección de intrusos) modernos pueden detectarlo. Hay ciertos sistemas
operativos que envían RST así el puerto esté cerrado o no (Microsoft
Windows, IBM, CISCO). Este escaneo funciona bien contra casi todos los
sistema de tipo UNIX.