Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 3. Escaneo y
enumeración
Índice
Esquema
Ideas clave
3.9. Scripts
3.10. Sniffing
A fondo
Fase de escaneo
Nmap en películas
Bettercap y HSTSHijack
Test
Esquema
En este tema vamos a estudiar en qué consiste la fase de fingerprinting y los tipos de
Fingerprinting
configuración y comportamiento.
Lo más típico para realizar esta tarea es el escaneo de puertos. Buscaremos los
▸ Hace mucho ruido, ya que esta técnica consiste en ir enviando paquetes a todos
los puertos de los servidores. Si se hace todo de golpe puede levantar sospechas
por parte del administrador de seguridad (si hay). Lo mejor es siempre hacer los
Nmap. Esta herramienta viene por defecto en la distribución Kali Linux y también
herramienta de línea de comandos, aunque Zenmap es otra que tiene las mismas
servidor esperando una respuesta de este. Dependiendo del tipo de paquete que
se envíe será un tipo de escaneo diferente, algunos son más sigilosos, otros son más
efectivos, otros no son solo para analizar puertos, sino también para saber si hay
algún tipo de firewall o incluso para analizar la seguridad de los certificados que
Este escaneo es el más utilizado por ser muy efectivo y silencioso. Puede llegar a
realizar de una manera muy rápida escaneos a miles de puertos por segundo.
TCP.
SYN+ACK es que está abierto el puerto. El emisor responderá con RST+ACK para
Para cada uno de los puertos que se desean analizar o escanear, se utilizará
esta técnica donde únicamente se envían paquetes del tipo SYN a dicho puerto.
servicio que esté escuchando por este puerto y por tanto no estará abierto. Por
este servicio y puerto TCP y sabremos que está abierto. En este último caso, se
de intercambio en tres vías, y algunos Firewalls o IDS no las registran. Para saber si
el puerto está cerrado o no, el proceso de TCP SYN Scan debe hacer lo siguiente:
▸ B responde con una petición RST/ACK, lo que indica que el puerto está cerrado.
▸ B responde con una petición SYN/ACK, lo que indica que el puerto está abierto.
Este escaneo sirve para buscar puertos UDP. Manda paquetes UDP a todos los
puertos y si contesta un ICMP es que el puerto está cerrado, si no, el puerto estará
abierto o filtrado.
destino y buscar evidencia de que el puerto está cerrado. Los puertos UDP
mecanismo con estado dentro del protocolo que requiera construir o establecer una
sesión. Por lo tanto, las respuestas a los datagramas UDP son específicas de la
abierto.
Los diferentes tipos de mensajes ICMP pueden indicar un puerto filtrado. El escaneo
UDP es más lento que el escaneo TCP: las características del protocolo de UDP
hacen que el escaneo de puertos sea intrínsecamente más difícil que con TCP,
para refinarlos. En general, los resultados del escaneo UDP son menos confiables o
Se le conoce como TCP Connect, puesto que realiza una llamada al sistema de
tipo Connect, para así saber de forma rápida el estado del puerto. Es un tipo de
Este escaneo no determina si un puerto está abierto, solo indica si un puerto tiene
un firewall delante. Enviará un paquete solo con el flag ACK activado, tanto los
puertos abiertos como los cerrados contestarán con el flag RST y solo los puertos
Este escaneo es diferente a los otros mencionados, pues nunca determina los
reglas del firewall, determinando si estos son de estado o no, y cuáles puertos son
filtrados.
El escaneo ACK prueba paquetes con solo la bandera ACK activa (a menos que
se utilice --scanflags ). Cuando se escanean sistemas sin filtrar, los puertos «abiertos»
«unfiltered» (sin filtrar), lo cual significa: estos son alcanzables por un paquete ACK,
respondiendo, o que envíen ciertos mensajes de error ICMP (como tipo 3, código 0,
Estos tres tipos de escaneo (incluso existen más con la opción --scanflags )
aprovechan una laguna sutil en el RFC de TCP para diferenciar entre puertos
abiertos y cerrados. Si el estado del puerto (de destino) está cerrado, un segmento
entrante que no contiene un RST hace que se envíe un RST en respuesta. Entonces,
la página siguiente analiza los paquetes enviados a puertos abiertos sin los bits
SYN, RST o ACK configurados, indicando que es poco probable que llegue, pero si
Cuando se escanean sistemas que cumplen con este texto de RFC, cualquier
paquete que no contenga bits SYN, RST o ACK dará como resultado un RST
Siempre que no se incluya ninguno de esos tres bits, cualquier combinación de los
otros tres (FIN, PSH y URG) está bien. Nmap aprovecha esto con tres tipos de
escaneo:
▸ Escaneo nulo (-sN). No establece ningún bit (el encabezado de la bandera TCP es
0)
▸ Escaneo de Navidad (-sX). Establece las banderas FIN, PSH y URG, iluminando el
excepto por los indicadores TCP establecidos en los paquetes de sondeo. Las
cortafuegos intentan evitar las conexiones TCP entrantes (mientras que permiten las
salientes) bloqueando cualquier paquete TCP con el bit SYN establecido y ACK
comando de firewall iptables de Linux ofrezca una opción especial --syn para
implementarla. Los escaneos NULL, FIN y Xmas borran el bit SYN y, por lo tanto,
Otra ventaja es que estos tipos de análisis son un poco más sigilosos, incluso
que un análisis SYN. Sin embargo, la mayoría de los productos IDS modernos se
Este escaneo es uno de los más complejos, ya que requiere de una máquina extra,
atacante deberá enviar paquetes de SYN+ACK para iniciar una conexión con el
posible «zombi», chequeando que los ID de respuesta que devuelva sean sucesivos
la máquina «zombi», por lo que las respuestas irán para esta máquina y no para el
atacante.
Los paquetes enviados tienen el funcionamiento de los vistos en el TCP SYN scan,
Como se puede ver, este escaneo es muy complejo, pero proporciona al atacante la
3.9. Scripts
Hay muchos más tipos de escaneo, pero los más usados son los que se han
mencionado. Además, Nmap posee muchas otras funciones como medidas para
poder saltarnos los filtrados firewall, como puede ser la fragmentación de paquetes
(opción –f), el reconocimiento del sistema operativo que hay detrás de un dispositivo
Con los scripts podemos hacer un fingerprinting más avanzado. Estos son de
diferentes tipos:
▸ Autenticación.
▸ Fuerza bruta.
▸ Descubrimiento.
▸ Denegación de servicio.
▸ Exploiting.
▸ Malware.
puerto TCP abierto e imprime todo lo que recibe del servidor durante 5 segundos.
Con estos scripts podemos analizar la seguridad que ofrecen los certificados
digitales de un sitio web: qué tipo de protocolo SSL soportan, si los algoritmos de
firma y/o cifrado son débiles, etc. También podremos realizar pruebas de inyección
todas las funciones de Nmap: Zenmap (de los creadores de Nmap). Esta
herramienta permite realizar todas las tareas de Nmap, incluida la ejecución de los
scripts.
3.10. Sniffing
cuestión: si es por cable, tendremos todos los paquetes sin cifrar, excepto aquellos
que vengan de conexiones seguras (SSL, TLS) y si es por red inalámbrica solo
máquina virtual probablemente sea necesario el uso de una tarjeta de red USB, ya
que las máquinas virtuales no son capaces de usar la tarjeta de red que utiliza el
sistema operativo host, sino que hacen conexiones mediante NAT o puentes.
haciéndonos pasar por un router o un servidor proxy. Para realizar esta técnica
máquina haga de servidor proxy para todas las conexiones de la víctima, pero la más
Para explicar el ARP Spoofing es necesario hablar un momento de las tablas ARP
capa de red) a direcciones MAC (de la capa de enlace), para poder enviar paquetes
a dicho dispositivo. Estas tablas pueden ser estáticas, nunca varían sus entradas sin
El ARP Spoofing se basa en la mayoría de las tablas ARP dinámicas, sobre todo en
paquetes ARP a dichos dispositivos para llenar las tablas dinámicas y hacer
que otra máquina se haga pasar por el router, para que todo el tráfico de la
Arpspoof
Dentro de las herramientas que podemos utilizar para realizar este tipo de ataques
local de manera muy intuitiva y sencilla. Esto hace que el tráfico desde el host
atacado a la puerta de enlace por defecto pueda ser capturado con herramientas
como Wireshark. Arpspoof también reenviará este tráfico, por lo que Windows no
en desuso e incluso se utiliza para otras labores diferentes a las vistas en este tema.
host que nos enviará su tráfico pensando que somos el host de destino (la puerta de
enlace por defecto).
▸ target-ip es el host que estamos fingiendo ser (en lo que respecta a victim-ip). Si
▸ --oneway hace que solo se redirija la dirección víctima -> objetivo. Por defecto, el
tráfico en las direcciones víctima -> objetivo y objetivo -> víctima se redirige al
ordenador local.
Como primer paso, podremos enumerar las interfaces disponibles para la captura
/ suplantación de identidad:
Haremos que el host 192.168.1.5 crea que nuestro ordenador es la puerta de enlace
por defecto 192.168.1.1, y así que nos envíe su tráfico hacia Internet. A su vez,
C:\>arpspoof.exe 192.168.1.5
Lo mismo, pero sólo en una dirección 192.168.1.5 -> 192.168.1.1. La otra dirección
tráfico. Para ello, llevaríamos a cabo la redirección tal y como hemos visto en el
anterior ejemplo.
Bettercap
Para hacerlo, usaremos otra herramienta disponible en Kali Linux, llamada Ettercap o
una versión altamente mejorada, llamada Bettercap. En nuestro caso, haremos uso
de esta última.
Bettercap es una evolución de Ettercap, famosa «navaja suiza» que ayuda a llevar a
cabo ataques en redes de datos IPv4 e IPv6. Bettercap está codificado en Go, lo
sistema operativo.
lectura y escritura.
▸ ARP, DNS, DHCPv6 y NDP spoofers para ataques MITM en redes basadas en IPv4
e IPv6.
▸ Un potente sniffer de red para la recolección de credenciales que también puede ser
▸ Una potente API REST con soporte para la notificación de eventos asíncronos en
bettercap es utilizando su interfaz oficial de usuario web. Para ello, nos deberemos
E l nombre de usuario por defecto será «user» y la contraseña, «pass». Una vez
dentro, podremos ver múltiples menús y módulos, aunque nos centraremos en los
comandos, ya que es lo más frecuente.
Para aproximarse a las posibilidades del programa, hay que leer la documentación
exactamente.
configuración:
help
nuestra víctima. Para ello, podremos utilizar NMAP para escanear toda la subred
Con esto podremos capturar los paquetes que utilicen el protocolo «HTTP» en
ello tenemos la posibilidad de capturar el tráfico y poder visualizar los datos haciendo
uso de sslstrip2 integrado con bettercap. Esto nos permitirá descifrar todo el tráfico
HTTPS.
víctima.
Otra opción sería iniciar bettercap y hacerlo por comandos dentro del intérprete que
sudo bettercap
Una vez dentro de bettercap, debemos ejecutar varias órdenes para configurarlo.
predeterminada.
Una vez configurado, si ejecutamos «help arp.spoof», nos mostrará todas las
arp.spoof.fullduplex true
arp.spoof on
Una vez realizada esta configuración, podremos ejecutar el programa Wireshark para
capturar todos los paquetes de la interfaz eth0, donde podremos analizar todo el
También podremos capturar todo el demás tráfico de red (DNS, TCP, UDP y
todos los protocolos). Pero en el caso del tráfico cifrado con esta configuración, como
Esto es posible llevarlo a cabo a través de la interfaz web. Para ello nos
disponibles en la red.
Para poder leer el tráfico que va cifrado con Bettercap, deberemos habilitar el
proxy HTTP con ssltrip activado, lo que nos permitirá «esnifar» todas las
comunicaciones HTTPS.
arp.spoof.fullduplex true
arp.spoof on
http.proxy on
net.sniff on
Una vez configurado, si la víctima visita una web con HTTPS, automáticamente se
forzará la comunicación al protocolo HTTP, por lo que tendremos la posibilidad de
capturar todo el tráfico de manera legible y podremos, entre muchas otras cosas,
Figura 25. Ataque ARP Spoofing con HTTPS. Fuente elaboración propia.
Si navegase por otras webs, también podríamos ver el tráfico sin mayor dificultad.
HSTS (HTTP Strict Transport Security) que fuerce que todo el tráfico esté cifrado
siempre.
HSTS es una política de seguridad web que evita este tipo de ataques ARP Spoofing
gracias al uso de cookies. El servidor web le forzará al navegador web para que
siempre que se vuelva a acceder a su página web, se haga uso del protocolo
Estas cookies tienen una caducidad, pero una buena política de configuración (de
cara al servidor web) es poner un valor muy alto, por ejemplo, un año (max-age = 31
536 000).
El único momento en que el ataque sería efectivo, teniendo una web con HSTS,
sería antes de la primera conexión histórica del usuario (al ser un navegador
nuevo, ordenador recién formateado, nunca se ha metido en esa web etc.) ya que no
Bettercap incorpora un caplet que nos permite hacer un ataque HSTS Hijack para
información. Los caplets son scripts en Bettercap que vienen preconfigurados, pero
que utiliza la aplicación NMAP para obtener información acerca de los sistemas. Se
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=8c75d3b7-96df-
4cc1-b6cf-afa10091795f
es.txt
https://www.professormesser.com/nmap/deciphering-nmaps-port-descriptions/
Nmap. (s. f.). TCP Idle Scan (-sl) | Nmap Network Scanning.
https://nmap.org/book/idlescan.html
https://nmap.org/presentations/CanSecWest03/CD_Content/idlescan_paper/idlescan.
html
Fase de escaneo
Follow The White Rabbit. (2016, noviembre 9). Curso Hacking Ético y Pentesting:
Accede al vídeo:
https://www.youtube.com/embed/TSreytGPHfc
HackerSploit. (2017, marzo 16). Nmap Tutorial For Beginners – 1 – What is Nmap?
Accede al vídeo:
https://www.youtube.com/embed/5MTZdN9TEO4
Vídeo explicativo de cómo instalar y utilizar nmap con las diferentes opciones que
nos brinda.
Nmap en películas
Nmap es la herramienta más mostrada en las escenas de hackeo. Así que han
Bettercap y HSTSHijack
Hox Framework. (2020, octubre 29). Capturing HTTPS traffic with BETTERCAP using
https://www.youtube.com/watch?v=Peu0AEpHUVs
Accede al vídeo:
https://www.youtube.com/embed/Peu0AEpHUVs
HSTS Hijack.
footprinting y fingerprinting?
2. Respecto a los diferentes tipos de escaneos de puertos con Nmap, indica cuál no
es correcto:
cerrados.
3. ¿Cuál de los siguientes casos debe cumplirse con el escaneo TCP IDLE?
máquina objetivo.
incorrecto.
diferentes.
6. ¿Cómo interpreta nmap que un puerto está cerrado en un escaneo TCP SYN?
SYN/ACK – RST/ACK.
8. NMAP es una…
puertos.
escaneos de vulnerabilidades.
9. El sniffing permite…
A. Obtener información de las DNS y las cachés de los equipos de una misma
red.
analizarlos.
D. Analizar los logs de las máquinas de una red para encontrar errores o
vulnerabilidades.
máquina objetivo.
C. Utilizar la pila ARP para poder obtener la dirección MAC de todas las
máquinas colindantes.