Tema 3. Escaneo y Enumeración

Tema 3
Hacking Ético y Análisis de Malware
Tema 3. Escaneo y
enumeración
Índice
Esquema
Ideas clave
3.1. Introducción y objetivos
3.2. Recopilación de información activa
3.3. Escaneo TCP SYN (-sS)
3.4. Escaneo UDP (-sU)
3.5. Escaneo TCP Connect (-sT)
3.6. Escaneo TCP ACK (-sA)
3.7. Escaneo TCP FIN, NULL y Xmas (-sF, -sN, -sX)
3.8. Escaneo TCP IDLE (-sI)
3.9. Scripts
3.10. Sniffing
3.11. ARP Spoofing
3.12. Lecciones magistrales
3.13. Referencias bibliográficas
A fondo
Fase de escaneo
Nmap para principiantes
Nmap en películas
Bettercap y HSTSHijack
Test
Esquema
Hacking Ético y Análisis de Malware 3

Tema 3. Esquema
© Universidad Internacional de La Rioja (UNIR)
Ideas clave
3.1. Introducción y objetivos
La importancia de recopilar información a la hora de generar un vector de ataque se
convierte en algo crucial si queremos desarrollar un ataque certero.
En este tema vamos a estudiar en qué consiste la fase de fingerprinting y los tipos de
escaneo más comunes a la hora de realizar este tipo de recopilación de información.
Gracias a esta información, el estudiante tendrá los conocimientos mínimos para
poder realizar posteriormente un análisis de potenciales vulnerabilidades y
desarrollar un ataque con su posterior explotación y posexplotación.

Tema 3. Ideas clave
Ideas clave
3.2. Recopilación de información activa
Fingerprinting
Es el proceso de recolección de información en el que se interactúa
directamente con los sistemas para aprender más sobre su
configuración y comportamiento.
Lo más típico para realizar esta tarea es el escaneo de puertos. Buscaremos los
puertos abiertos en los servidores de la entidad e intentaremos identificar qué hay
detrás de esos puertos.
Hay dos principales problemas con la técnica del escaneo de puertos:
▸ Hace mucho ruido, ya que esta técnica consiste en ir enviando paquetes a todos
los puertos de los servidores. Si se hace todo de golpe puede levantar sospechas
por parte del administrador de seguridad (si hay). Lo mejor es siempre hacer los
escaneos poco a poco.
▸ Hay mecanismos para bloquear estos escaneos y sistemas para alertar de
ellos. Los firewall o cortafuegos pueden ser dispositivos hardware o programas
software que mitigan estos escaneos de puertos, filtrando los paquetes de IP

externas o filtrando el tipo de paquetes (sobre todo los de tipo ICMP o ping). Los IDS
(Intrusion Detection System) son sistemas de alarma que se colocan dentro de una
red (normalmente suelen ser ordenadores analizando el tráfico) y que alertan de
comportamientos anómalos en el sistema.

Tema 3. Ideas clave
Ideas clave
L a herramienta más popular y potente para realizar el escaneo de puertos es
Nmap. Esta herramienta viene por defecto en la distribución Kali Linux y también
e s t á disponible para Windows, Mac OS X y cualquier otro Linux. Es una
herramienta de línea de comandos, aunque Zenmap es otra que tiene las mismas
funcionalidades y tiene interfaz gráfica.
Figura 1. Escaneo de puertos con NMAP a un router. Fuente: Elaboración propia.
Nmap se basa en el envío de paquetes de diferentes tipos a los puertos de un
servidor esperando una respuesta de este. Dependiendo del tipo de paquete que
se envíe será un tipo de escaneo diferente, algunos son más sigilosos, otros son más
efectivos, otros no son solo para analizar puertos, sino también para saber si hay
algún tipo de firewall o incluso para analizar la seguridad de los certificados que
proporciona un servidor web.
Los diferentes tipos de escaneo son:

Tema 3. Ideas clave
Ideas clave
Tabla 1. Tipos de escaneo. Fuente: elaboración propia.

Tema 3. Ideas clave
Ideas clave
3.3. Escaneo TCP SYN (-sS)
Este escaneo es el más utilizado por ser muy efectivo y silencioso. Puede llegar a
realizar de una manera muy rápida escaneos a miles de puertos por segundo.
Además es relativamente discreto, ya que nunca se completarán las conexiones
TCP.
Se basa en el protocolo TCP, que envía un paquete SYN al receptor y si responde
SYN+ACK es que está abierto el puerto. El emisor responderá con RST+ACK para
finalizar la conexión sin que se establezca.
Figura 2. Escaneo TCP SYN. Fuente: Elaboración propia.
Para cada uno de los puertos que se desean analizar o escanear, se utilizará
esta técnica donde únicamente se envían paquetes del tipo SYN a dicho puerto.

Tema 3. Ideas clave
Ideas clave
Si recibimos como respuesta un paquete RST/ACK, será que no existe ningún
servicio que esté escuchando por este puerto y por tanto no estará abierto. Por
contra, si nos envían un paquete SYN/ACK, tendremos la certeza de la existencia de
este servicio y puerto TCP y sabremos que está abierto. En este último caso, se
enviará un paquete RST/ACK para no establecer la conexión.
Este tipo de exploración de puertos no es tan ruidosa, ya que no termina el proceso
de intercambio en tres vías, y algunos Firewalls o IDS no las registran. Para saber si
el puerto está cerrado o no, el proceso de TCP SYN Scan debe hacer lo siguiente:
▸ Supongamos la comunicación entre un host A y B.
Figura 3. Esquema de comunicación TCP SYN. Fuente: Messer Studios, s. f.
▸ A envía a B una petición de conexión SYN.
▸ B responde con una petición RST/ACK, lo que indica que el puerto está cerrado.
▸ B responde con una petición SYN/ACK, lo que indica que el puerto está abierto.
▸ A responde con una petición RST para romper la conexión y no terminar el
intercambio de tres vías.

Tema 3. Ideas clave
Ideas clave
3.4. Escaneo UDP (-sU)
Este escaneo sirve para buscar puertos UDP. Manda paquetes UDP a todos los
puertos y si contesta un ICMP es que el puerto está cerrado, si no, el puerto estará
abierto o filtrado.
Los métodos de escaneo UDP implican enviar un datagrama UDP al puerto de
destino y buscar evidencia de que el puerto está cerrado. Los puertos UDP
abiertos generalmente no responden a los datagramas UDP, ya que no existe un
mecanismo con estado dentro del protocolo que requiera construir o establecer una
sesión. Por lo tanto, las respuestas a los datagramas UDP son específicas de la
aplicación y no se puede confiar en ellas como método para detectar un puerto
abierto.
El escaneo UDP se basa en gran medida en los mensajes de diagnóstico ICMP
para determinar el estado de un puerto remoto. Durante un escaneo UDP, se envía
un datagrama a un puerto de destino. Si se devuelve un mensaje de error «Puerto
ICMP tipo 3 inaccesible», el puerto se considera cerrado.
Los diferentes tipos de mensajes ICMP pueden indicar un puerto filtrado. El escaneo
UDP es más lento que el escaneo TCP: las características del protocolo de UDP
hacen que el escaneo de puertos sea intrínsecamente más difícil que con TCP,
además de depender de ICMP para un escaneo preciso. Debido a las ambigüedades

que pueden surgir entre los puertos abiertos y los puertos filtrados, los resultados del
escaneo UDP a menudo requieren un alto grado de interpretación y más pruebas
para refinarlos. En general, los resultados del escaneo UDP son menos confiables o
precisos que el escaneo basado en TCP.

Tema 3. Ideas clave
Ideas clave
3.5. Escaneo TCP Connect (-sT)
Este proceso de intercambio de exploración de puertos se lleva a cabo mediante
tres vías para poder realizar de forma completa la exploración de puertos.
Se le conoce como TCP Connect, puesto que realiza una llamada al sistema de
tipo Connect, para así saber de forma rápida el estado del puerto. Es un tipo de
exploración de puertos bastante ruidosa, ya que es fácilmente identificada por los
sistemas de filtrados de paquetes Firewall o por los sistemas detectores de intrusos
(IDS). Es una exploración de puertos segura y confiable en lo referente a las
respuestas de los estados de los puertos, es recomendable para hacer auditorías
internas a los sistemas, sin embargo, no es recomendable hacerlo con host o
máquinas ajenas (sin previa autorización), ya que puede considerarse como un
delito en muchos países.
Figura 4 - Esquema de escaneo TCP Connect. Fuente: Messer Studios, s. f.

Tema 3. Ideas clave
Ideas clave
3.6. Escaneo TCP ACK (-sA)
Este escaneo no determina si un puerto está abierto, solo indica si un puerto tiene
un firewall delante. Enviará un paquete solo con el flag ACK activado, tanto los
puertos abiertos como los cerrados contestarán con el flag RST y solo los puertos
filtrados no contestarán o contestarán algún mensaje especial de error.
Este escaneo es diferente a los otros mencionados, pues nunca determina los
puertos «abiertos o (abiertos|filtrados)». Es utilizado para mapear conjuntos de
reglas del firewall, determinando si estos son de estado o no, y cuáles puertos son
filtrados.
El escaneo ACK prueba paquetes con solo la bandera ACK activa (a menos que
se utilice --scanflags ). Cuando se escanean sistemas sin filtrar, los puertos «abiertos»
y «cerrados» devuelven un paquete RST. Nmap, entonces, los etiqueta como
«unfiltered» (sin filtrar), lo cual significa: estos son alcanzables por un paquete ACK,
pero no se puede determinar si están «abiertos» o «cerrados». Los puertos no
respondiendo, o que envíen ciertos mensajes de error ICMP (como tipo 3, código 0,
1, 3, 9, 10 o 13), son etiquetados como «filtrados».

Tema 3. Ideas clave
Ideas clave
Figura 5. Resultado de escaneo TCP ACK. Fuente: Elaboración propia.

Tema 3. Ideas clave
Ideas clave
3.7. Escaneo TCP FIN, NULL y Xmas (-sF, -sN, -sX)
Estos tres tipos de escaneo (incluso existen más con la opción --scanflags )
aprovechan una laguna sutil en el RFC de TCP para diferenciar entre puertos
abiertos y cerrados. Si el estado del puerto (de destino) está cerrado, un segmento
entrante que no contiene un RST hace que se envíe un RST en respuesta. Entonces,
la página siguiente analiza los paquetes enviados a puertos abiertos sin los bits
SYN, RST o ACK configurados, indicando que es poco probable que llegue, pero si
lo hace, elimine el segmento y regrese (Information Sciences Institute University of
Southern California, 1981)
Cuando se escanean sistemas que cumplen con este texto de RFC, cualquier
paquete que no contenga bits SYN, RST o ACK dará como resultado un RST
devuelto si el puerto está cerrado y ninguna respuesta si el puerto está abierto.
Siempre que no se incluya ninguno de esos tres bits, cualquier combinación de los
otros tres (FIN, PSH y URG) está bien. Nmap aprovecha esto con tres tipos de
escaneo:
▸ Escaneo nulo (-sN). No establece ningún bit (el encabezado de la bandera TCP es
0)
▸ Escaneo FIN (-sF). Establece solo el bit TCP FIN.
▸ Escaneo de Navidad (-sX). Establece las banderas FIN, PSH y URG, iluminando el
paquete «como un árbol de Navidad».
Estos tres tipos de exploración tienen exactamente el mismo comportamiento,
excepto por los indicadores TCP establecidos en los paquetes de sondeo. Las

Tema 3. Ideas clave
Ideas clave
respuestas se tratan como se muestra en la Tabla 2:
Tabla 2. Respuestas de escaneos. Fuente: elaboración propia.
L a ventaja clave de estos tipos de análisis es que pueden colarse a través de
ciertos cortafuegos sin estado y enrutadores de filtrado de paquetes. Dichos
cortafuegos intentan evitar las conexiones TCP entrantes (mientras que permiten las
salientes) bloqueando cualquier paquete TCP con el bit SYN establecido y ACK
desactivado. Esta configuración es lo suficientemente común como para que el
comando de firewall iptables de Linux ofrezca una opción especial --syn para
implementarla. Los escaneos NULL, FIN y Xmas borran el bit SYN y, por lo tanto,
pasan directamente por esas reglas.
Otra ventaja es que estos tipos de análisis son un poco más sigilosos, incluso
que un análisis SYN. Sin embargo, la mayoría de los productos IDS modernos se
pueden configurar para detectarlos.

Tema 3. Ideas clave
Ideas clave
Tabla 3. Escaneo TCP FIN, NULL y Xmas. Fuente: elaboración propia.

Tema 3. Ideas clave
Ideas clave
3.8. Escaneo TCP IDLE (-sI)
Este escaneo es uno de los más complejos, ya que requiere de una máquina extra,
la máquina «zombi» o intermediaria. Para encontrar una máquina «zombi», el
atacante deberá enviar paquetes de SYN+ACK para iniciar una conexión con el
posible «zombi», chequeando que los ID de respuesta que devuelva sean sucesivos
o predecibles y, además, la máquina «zombi» no debe tener tráfico. Estas
condiciones se deben cumplir para que este ataque funcione.
Una vez tengamos la máquina «zombi», el atacante enviará paquetes SYN a la
máquina víctima haciendo IP Spoofing (suplantación de IP) haciéndose pasar por
la máquina «zombi», por lo que las respuestas irán para esta máquina y no para el
atacante.
Los paquetes enviados tienen el funcionamiento de los vistos en el TCP SYN scan,
por lo que la víctima, si tiene el puerto cerrado, responderá con un paquete
RST+ACK a la máquina «zombi», que lo descartará; si el puerto está abierto,
responderá con un SYN+ACK a la máquina «zombi» y esta devolverá un RST, pero
aumentará el ID de respuesta. Por ello, si el atacante pregunta por este ID y ve
que ha aumentado, puede saber que el puerto de la víctima estaba abierto.
Como se puede ver, este escaneo es muy complejo, pero proporciona al atacante la
capacidad de seguir oculto.

Tema 3. Ideas clave
Ideas clave
Figura 6. Idle Scan. Fuente: Nmap, s. f.
Figura 7. IDLE Scan en un puerto abierto. Fuente: Nmap, s. f.

Tema 3. Ideas clave
Ideas clave
Figura 8. IDLE Scan en un puerto cerrado. Fuente: Nmap, s. f.
Figura 9. IDLE Scan en un puerto filtrado. Fuente: Nmap, s. f.

Tema 3. Ideas clave
Ideas clave
3.9. Scripts
Hay muchos más tipos de escaneo, pero los más usados son los que se han
mencionado. Además, Nmap posee muchas otras funciones como medidas para
poder saltarnos los filtrados firewall, como puede ser la fragmentación de paquetes
(opción –f), el reconocimiento del sistema operativo que hay detrás de un dispositivo
(opción –O) o la generación de scripts, lo que le da mucho potencial a Nmap.
Con los scripts podemos hacer un fingerprinting más avanzado. Estos son de
diferentes tipos:
▸ Autenticación.
▸ Fuerza bruta.
▸ Configuraciones por defecto.
▸ Descubrimiento.
▸ Denegación de servicio.
▸ Exploiting.
▸ Ataques externos e intrusión.
▸ Malware.
▸ Detección de versiones y vulnerabilidades.
Un script muy útil puede ser el de identificación de banner: Nmap se conecta a un
puerto TCP abierto e imprime todo lo que recibe del servidor durante 5 segundos.

Tema 3. Ideas clave
Ideas clave
Figura 10. Script en Nmap. Fuente: Elaboración propia.
Con estos scripts podemos analizar la seguridad que ofrecen los certificados
digitales de un sitio web: qué tipo de protocolo SSL soportan, si los algoritmos de
firma y/o cifrado son débiles, etc. También podremos realizar pruebas de inyección
SQL, fuerza bruta y detección de vulnerabilidades.
Todos los scripts e información sobre ellos (función, parámetros, requisitos…) se
pueden encontrar en la página http://nmap.org/nsedoc/
Como se ha comentado, hay una herramienta en modo gráfico que implementa
todas las funciones de Nmap: Zenmap (de los creadores de Nmap). Esta
herramienta permite realizar todas las tareas de Nmap, incluida la ejecución de los
scripts.

Tema 3. Ideas clave
Ideas clave
Figura 11. Interfaz de Zenmap. Fuente: Elaboración propia.

Tema 3. Ideas clave
Ideas clave
3.10. Sniffing
Otra técnica muy importante de fingerprinting es el sniffing o captura de paquetes
de una red para obtener mucha información de la víctima.
El sniffing de paquetes es una técnica basada en capturar los paquetes
enviados y recibidos en redes locales, ya sea inalámbricas o por cable.
Al capturar estos paquetes, podemos intentar acceder a toda la
información que viaja en ellos, como contraseñas, usuarios, etc.
Para realizar esta captura usaremos la herramienta Wireshark, que es

multiplataforma (Windows, Linux y Mac OS X) y viene preinstalada en la
distribución Kali Linux.
Figura 12. Captura con Wireshark. Fuente: Elaboración propia.

Tema 3. Ideas clave
Ideas clave
Para capturar el tráfico de red, necesitaremos estar conectados a la red en
cuestión: si es por cable, tendremos todos los paquetes sin cifrar, excepto aquellos
que vengan de conexiones seguras (SSL, TLS) y si es por red inalámbrica solo
tendremos los paquetes descifrados de las redes abiertas.
Igualmente, hay formas de conseguir descifrar los paquetes, pero necesitaremos
otros métodos como el Man-in-the-middle (MITM).
Si utilizamos wireshark o cualquier herramienta de captura de paquetes en una
máquina virtual probablemente sea necesario el uso de una tarjeta de red USB, ya
que las máquinas virtuales no son capaces de usar la tarjeta de red que utiliza el
sistema operativo host, sino que hacen conexiones mediante NAT o puentes.
La técnica Man-in-the-middle o Mitm consiste básicamente en situarnos entre el
cliente y el servidor e interceptar todos los mensajes que intercambien,
haciéndonos pasar por un router o un servidor proxy. Para realizar esta técnica
tenemos múltiples maneras de hacerlo, como establecer manualmente que nuestra
máquina haga de servidor proxy para todas las conexiones de la víctima, pero la más
típica es hacer una falsificación de ARP o ARP Spoofing.

Tema 3. Ideas clave
Ideas clave
3.11. ARP Spoofing
Para explicar el ARP Spoofing es necesario hablar un momento de las tablas ARP
de un dispositivo. Estas tablas guardan la dirección MAC del resto de
dispositivos que conoce de la red y sirven para traducir direcciones IP (de la
capa de red) a direcciones MAC (de la capa de enlace), para poder enviar paquetes
a dicho dispositivo. Estas tablas pueden ser estáticas, nunca varían sus entradas sin
la intervención humana, o dinámicas, se van actualizando automáticamente solas
sin intervención humana.
El ARP Spoofing se basa en la mayoría de las tablas ARP dinámicas, sobre todo en
ordenadores de sobremesa o portátiles. Consiste en enviar constantemente
paquetes ARP a dichos dispositivos para llenar las tablas dinámicas y hacer
que otra máquina se haga pasar por el router, para que todo el tráfico de la
máquina víctima pase por ella.
Arpspoof
Dentro de las herramientas que podemos utilizar para realizar este tipo de ataques
vamos a ver arpspoof, disponible en https://github.com/alandau/arpspoof.
Arpspoof elabora un ataque de suplantación de ARP contra un host en la red
local de manera muy intuitiva y sencilla. Esto hace que el tráfico desde el host
atacado a la puerta de enlace por defecto pueda ser capturado con herramientas
como Wireshark. Arpspoof también reenviará este tráfico, por lo que Windows no
tiene por qué ser configurado como un router.
Anteriormente se utilizaba la herramienta Caín & Abel pero en la actualidad ha caído
en desuso e incluso se utiliza para otras labores diferentes a las vistas en este tema.
Dentro de arpspoof temenos las siguientes opciones:

Tema 3. Ideas clave
Ideas clave
arpspoof.exe --list | [-i iface] [--oneway] victim-ip [target-ip]
▸ list enumera las interfaces de red disponibles.
▸ victim-ip es la IP del host contra el que se monta el ataque de spoofing, es decir, el
host que nos enviará su tráfico pensando que somos el host de destino (la puerta de
enlace por defecto).
▸ target-ip es el host que estamos fingiendo ser (en lo que respecta a victim-ip). Si
no se especifica, la puerta de enlace por defecto se utiliza como objetivo y, por lo

tanto, se puede capturar el tráfico de la víctima en Internet.
▸ --oneway hace que solo se redirija la dirección víctima -> objetivo. Por defecto, el
tráfico en las direcciones víctima -> objetivo y objetivo -> víctima se redirige al
ordenador local.
▸ -i iface. Se detectará automáticamente una interfaz en la que falsificar los ARP,
basándose en las direcciones IP y en las máscaras asignadas a las interfaces

locales y a la víctima-ip. Podemos utilizar --list para ver las opciones disponibles. Se
admiten los formatos -i 1 y -i \Device\NPF_{A91C1830-2930-4B12-8017-6664270142F4}.
Como primer paso, podremos enumerar las interfaces disponibles para la captura
/ suplantación de identidad:
Figura 13. Listado de interfaces disponibles. Fuente: Elaboración propia.
Haremos que el host 192.168.1.5 crea que nuestro ordenador es la puerta de enlace

Tema 3. Ideas clave
Ideas clave
por defecto 192.168.1.1, y así que nos envíe su tráfico hacia Internet. A su vez,
haremos que la puerta de enlace 192.168.1.1 crea que nuestro ordenador es

192.168.1.5, y así nos enviará las respuestas:
C:\>arpspoof.exe 192.168.1.5
Lo mismo, pero sólo en una dirección 192.168.1.5 -> 192.168.1.1. La otra dirección
no pasará por nuestro ordenador:
C:\>arpspoof.exe --oneway 192.168.1.5
El ejemplo más simple sería combinarlo con otra herramienta de captura de
tráfico. Para ello, llevaríamos a cabo la redirección tal y como hemos visto en el
anterior ejemplo.
Figura 14. Redirección de tráfico. Fuente: Elaboración propia.
Una vez tenemos esta redirección, ya podremos abrir el programa Wireshark (o
tcpdump) en nuestra máquina y filtrar por la MAC de la víctima.
tcpdump ether host 00:11:22:33:44:55
Cuando hayamos realizado esto, podremos parar la herramienta de arpspoof.
Figura 15. Terminar proceso de arpspoof. Fuente: Elaboración propia.
Ya tendríamos todo el tráfico en Wireshark para su análisis.

Tema 3. Ideas clave
Ideas clave
Bettercap
Para hacerlo, usaremos otra herramienta disponible en Kali Linux, llamada Ettercap o
una versión altamente mejorada, llamada Bettercap. En nuestro caso, haremos uso
de esta última.
Bettercap es una evolución de Ettercap, famosa «navaja suiza» que ayuda a llevar a
cabo ataques en redes de datos IPv4 e IPv6. Bettercap está codificado en Go, lo
que permite que sea prácticamente multiplataforma y pueda usarse en cualquier
sistema operativo.
La instalación de Bettercap es realmente sencilla. Tiene dependencias, pero,
ejecutando apt-get install bettercap , el proceso se realiza automáticamente.
Las características principales de Bettercap son:
▸ Escaneo de redes WiFi, ataques de desautentificación, ataque de asociación PMKID
sin cliente y captura automática de handshakes de clientes WPA/WPA2.
▸ Escaneo de dispositivos Bluetooth Low Energy, enumeración de características,
lectura y escritura.
▸ Escaneo de dispositivos inalámbricos de 2.4 Ghz y ataques de MouseJacking con
inyección de frames HID over-the-air (con soporte de DuckyScript).
▸ Sondeo y reconocimiento de hosts de red IP pasivos y activos.

Tema 3. Ideas clave
Ideas clave
▸ ARP, DNS, DHCPv6 y NDP spoofers para ataques MITM en redes basadas en IPv4
e IPv6.
▸ Proxies a nivel de paquete, a nivel de TCP y a nivel de aplicación HTTP/HTTPS
totalmente programables con plugins javascript fáciles de implementar.
▸ Un potente sniffer de red para la recolección de credenciales que también puede ser
utilizado como un fuzzer de protocolo de red.
▸ Un escáner de puertos muy rápido.
▸ Una potente API REST con soporte para la notificación de eventos asíncronos en
websocket para orquestar sus ataques fácilmente.
▸ Una interfaz de usuario web fácil de usar.
Bettercap tiene la posibilidad de lanzar una interfaz GUI para facilitar la
usabilidad y gestión de la herramienta. La forma más fácil de empezar a jugar con
bettercap es utilizando su interfaz oficial de usuario web. Para ello, nos deberemos
asegurar que tenemos la última versión de bettercap:
sudo bettercap -eval "caplets.update; ui.update; q"

Tema 3. Ideas clave
Ideas clave
Figura 16. Inicio de la interfaz web Fuente: Elaboración propia.
Figura 17. Interfaz gráfica. Fuente: Bettercap, s. f.
Ya podremos abrir el navegador web y utilizar la interfaz gráfica. Para ello,
navegaremos a la URL http://127.0.0.1 podremos acceder a la interfaz gráfica de

usuario.

Tema 3. Ideas clave
Ideas clave
Figura 18. Login interfaz web. Fuente: Bettercap, s. f.
E l nombre de usuario por defecto será «user» y la contraseña, «pass». Una vez
dentro, podremos ver múltiples menús y módulos, aunque nos centraremos en los
comandos, ya que es lo más frecuente.
La principal característica funcional de bettercap no son sólo los ataques man in a
middle. Gracias a los caplets y scripts, es posible implementar una variedad de
ataques de phishing y ataques basados en la manipulación de datos, cuyo
punto de partida es un ataque de man in a middle.
Para aproximarse a las posibilidades del programa, hay que leer la documentación
y también familiarizarse con el repositorio de caplets: muchos de ellos tienen
comentarios en el código fuente que ayudan a entender lo que el programa hará
exactamente.
Una vez seleccionamos cualquier módulo de bettercap, podremos ejecutar el

Tema 3. Ideas clave
Ideas clave
comando de ayuda para visualizar todo aquello que necesitamos para su
configuración:
help
Figura 19. Opciones en bettercap. Fuente elaboración propia.
En este apartado y, debido a la complejidad y posibilidades de la herramienta, nos
centraremos en los comandos básicos.
Bettercap sobre HTTP
El primer paso para realizar un ataque de ARP Spoofing será conocer la IP de
nuestra víctima. Para ello, podremos utilizar NMAP para escanear toda la subred
y averiguar las IPs disponibles.
nmap -sV 192.168.248.0/24

Tema 3. Ideas clave
Ideas clave
Con esta información ya podríamos realizar el ataque:
bettercap -G 192.168.248.1 -I wlan0 -T 192.168.248.129
Con esto podremos capturar los paquetes que utilicen el protocolo «HTTP» en
texto plano, aunque la mayoría de la información importante utiliza «HTTPS». Para
ello tenemos la posibilidad de capturar el tráfico y poder visualizar los datos haciendo
uso de sslstrip2 integrado con bettercap. Esto nos permitirá descifrar todo el tráfico
HTTPS.
Para esto último, utilizaremos el siguiente comando:
bettercap -I wlan0 -T 192.168.248.129 -G 192.168.248.1 --proxy -P POST
Con esto ya tendríamos configurado el «bypass» del HSTS o HTTPS y podremos

obtener toda la información de los sitios cifrados en los que navega nuestra
víctima.
Otra opción sería iniciar bettercap y hacerlo por comandos dentro del intérprete que
incluye. Para ello, ejecutaremos bettercap:
sudo bettercap
Una vez dentro de bettercap, debemos ejecutar varias órdenes para configurarlo.
Como en lo anterior, deberemos definir el objetivo: en nuestro caso, la máquina con
IP 192.168.248.129. No es necesario poner también la puerta de enlace
predeterminada.
set arp.spoof.targets 192.168.248.129
Figura 20. Configuración máquina víctima. Fuente elaboración propia.

Tema 3. Ideas clave
Ideas clave
Una vez configurado, si ejecutamos «help arp.spoof», nos mostrará todas las
opciones disponibles en este módulo. Una de las más interesantes es
«arp.spoof.fullduplex», opción que nos permite hacer un ARP Spoofing, tanto al
objetivo, como a la puerta de enlace predeterminada (gateway). Cabe destacar que,
si el router tiene protección frente a ataques ARP Spoofing, fallará el ataque.
arp.spoof.fullduplex true
arp.spoof on
Figura 21. Configuración ARP Spoofing Fuente elaboración propia.
Una vez realizada esta configuración, podremos ejecutar el programa Wireshark para
capturar todos los paquetes de la interfaz eth0, donde podremos analizar todo el
tráfico entrante y saliente de la víctima. Podemos ver en la Figura 22 el tráfico
ICMP de 192.168.248.129, es decir, el equipo que estamos atacando.
Figura 22. Captura de wireshark sobre la víctima. Fuente elaboración propia.

Tema 3. Ideas clave
Ideas clave
También podremos capturar todo el demás tráfico de red (DNS, TCP, UDP y
todos los protocolos). Pero en el caso del tráfico cifrado con esta configuración, como
ya vimos anteriormente, no será posible su interpretación.
Figura 23. Tráfico de la máquina víctima. Fuente elaboración propia.
Esto es posible llevarlo a cabo a través de la interfaz web. Para ello nos
deberemos ir al módulo «LAN» y allí seleccionaremos el objetivo o los objetivos que
se deseen para el ataque. Después los añadiremos a «arp.spoof.targets» y haremos
click en «Full-Duplex spoofing». Aquí nos aparecerá el listado de máquinas
disponibles en la red.
Figura 24. Configuración web y selección de targets. Fuente elaboración propia.

Tema 3. Ideas clave
Ideas clave
Bettercap sobre HTTPS
Para poder leer el tráfico que va cifrado con Bettercap, deberemos habilitar el
proxy HTTP con ssltrip activado, lo que nos permitirá «esnifar» todas las
comunicaciones HTTPS.
set http.proxy.sslstrip true
set net.sniff.verbose false
arp.spoof.fullduplex true
arp.spoof on
http.proxy on
net.sniff on
Una vez configurado, si la víctima visita una web con HTTPS, automáticamente se
forzará la comunicación al protocolo HTTP, por lo que tendremos la posibilidad de
capturar todo el tráfico de manera legible y podremos, entre muchas otras cosas,
obtener credenciales de usuario.
En la Figura 25 se muestra cómo la víctima accede a la página web de
«pccomponentes» con su usuario y contraseña y gracias al ataque de ARP
Spoofing se captura tanto el usuario (email) como la contraseña.

Tema 3. Ideas clave
Ideas clave
Figura 25. Ataque ARP Spoofing con HTTPS. Fuente elaboración propia.
Si navegase por otras webs, también podríamos ver el tráfico sin mayor dificultad.
Figura 26. Tráfico HTTPS en otras webs. Fuente elaboración propia.
HSTS (HTTP Strict Transport Security)
La manera de protegernos ante este ataque será configurar en la página web
HSTS (HTTP Strict Transport Security) que fuerce que todo el tráfico esté cifrado
siempre.

Tema 3. Ideas clave
Ideas clave
HSTS es una política de seguridad web que evita este tipo de ataques ARP Spoofing
gracias al uso de cookies. El servidor web le forzará al navegador web para que
siempre que se vuelva a acceder a su página web, se haga uso del protocolo
HTTPS, por lo que la comunicación estará cifrada punto a punto y, aunque
interceptemos la comunicación «sniffeando» el tráfico, no podremos ver el tráfico
intercambiado porque no podemos usar bettercap para «levantar» el cifrado TLS.
Estas cookies tienen una caducidad, pero una buena política de configuración (de
cara al servidor web) es poner un valor muy alto, por ejemplo, un año (max-age = 31
536 000).
El único momento en que el ataque sería efectivo, teniendo una web con HSTS,
sería antes de la primera conexión histórica del usuario (al ser un navegador
nuevo, ordenador recién formateado, nunca se ha metido en esa web etc.) ya que no
tendrá activo el HSTS.
Bettercap incorpora un caplet que nos permite hacer un ataque HSTS Hijack para
eludir esta protección: se basa en hacer un DNS Spoofing y reenviar a la víctima
a otro dominio bajo nuestro control para, posteriormente, capturarle toda la
información. Los caplets son scripts en Bettercap que vienen preconfigurados, pero
que nosotros podemos modificar fácilmente.

Tema 3. Ideas clave
Ideas clave
3.12. Lecciones magistrales
En el vídeo Uso de NMAP y sus escaneos se explicarán los diferentes mecanismos
que utiliza la aplicación NMAP para obtener información acerca de los sistemas. Se
profundizará acerca de los protocolos de comunicación IP para entender el
funcionamiento e intercambio de datagramas entre máquinas.
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=8c75d3b7-96df-
4cc1-b6cf-afa10091795f

Tema 3. Ideas clave
Ideas clave
3.13. Referencias bibliográficas
Bettercap. (s. f.). WEB UI. https://www.bettercap.org/usage/webui/
Information Sciences Institute University of Southern California. (1981, septiembre).
Protocolo de control de transmission. (RFC 793). https://www.rfc-es.org/rfc/rfc0793-
es.txt
Messer Studios. (s. f.). Deciphering Nmap’s Port Descriptions.
https://www.professormesser.com/nmap/deciphering-nmaps-port-descriptions/
Nmap. (s. f.). TCP Idle Scan (-sl) | Nmap Network Scanning.
https://nmap.org/book/idlescan.html
Nmap. (s. f.). Idle Scanning and related IPID games.
https://nmap.org/presentations/CanSecWest03/CD_Content/idlescan_paper/idlescan.
html

Tema 3. Ideas clave
A fondo
Fase de escaneo
Follow The White Rabbit. (2016, noviembre 9). Curso Hacking Ético y Pentesting:
Fase de escaneo [Vídeo]. Youtube. https://www.youtube.com/watch?v=TSreytGPHfc
Accede al vídeo:
https://www.youtube.com/embed/TSreytGPHfc
Vídeo explicativo de los pasos a seguir en la fase de escaneo contra un entorno

controlado.

Tema 3. A fondo
A fondo
Nmap para principiantes
HackerSploit. (2017, marzo 16). Nmap Tutorial For Beginners – 1 – What is Nmap?
[Vídeo]. Youtube. https://www.youtube.com/watch?v=5MTZdN9TEO4
Accede al vídeo:
https://www.youtube.com/embed/5MTZdN9TEO4
Vídeo explicativo de cómo instalar y utilizar nmap con las diferentes opciones que
nos brinda.

Tema 3. A fondo
A fondo
Nmap en películas
Nmap (s. f.) Nmap in the movies. https://nmap.org/movies/
Nmap es la herramienta más mostrada en las escenas de hackeo. Así que han
catalogado los casos conocidos aquí.

Tema 3. A fondo
A fondo
Bettercap y HSTSHijack
Hox Framework. (2020, octubre 29). Capturing HTTPS traffic with BETTERCAP using
SSLSTRIP and HSTSHijack – Explained – testing MiTM [Vídeo]. Youtube.
https://www.youtube.com/watch?v=Peu0AEpHUVs
Accede al vídeo:
https://www.youtube.com/embed/Peu0AEpHUVs
Realización de un ataque de ARP Spoofing sobre HTTPS utilizando la técnica de
HSTS Hijack.

Tema 3. A fondo
Test
1. ¿A qué no consideramos información útil a la hora de realizar un proceso de
footprinting y fingerprinting?
A. Puertos UDP abiertos en una máquina.
B. Hora de la última modificación de un documento.
C. Versión del antivirus.
D. Apodo del usuario que creó un documento.
2. Respecto a los diferentes tipos de escaneos de puertos con Nmap, indica cuál no
es correcto:
A. El escaneo TCP XMAS manda un paquete con tres flag a 1.
B. El escaneo TCP IDLE requiere de una máquina «zombi».
C. El ataque TCP ACK es el más utilizado.
D. El ataque TCP NULL se utiliza exclusivamente para detectar puertos
cerrados.
3. ¿Cuál de los siguientes casos debe cumplirse con el escaneo TCP IDLE?
A. No se debe realizar conexiones TCP/IP mientras se realiza el escaneo.
B. La máquina «zombi» tiene que tener un IPID diferente al IPID de la
máquina objetivo.
C. El IPID no será relevante siempre y cuando en envío de un SYN ACK sea
incorrecto.
D. Todas son correctas.

Tema 3. Test
Test
4. Los escaneos TCP Connect y TCP ACK…
A. Inician la comunicación con el three way handshake y, una vez obtenida la
información del estado del puerto, cierran con RST la comunicación.
B. Inician la comunicación con el three way handshake pero en el caso del
TCP ACK envía un RST antes de terminarlo.
C. Ambos envían como primer datagrama un SYN/ACK para conocer el
estado del puerto.
5. Los escaneos TCP FIN, NULL y Xmas...
A. Sirven para obtener información acerca de puertos abiertos o cerrados.
B. Los indicadores TCP establecidos en los paquetes de sondeo son
diferentes.
C. Son capaces de «bypassear» algunos firewalls.
Permiten todo lo nombrado.
6. ¿Cómo interpreta nmap que un puerto está cerrado en un escaneo TCP SYN?
A. Después de enviar la máquina atacante un SYN/ACK en respuesta a la
máquina destino, si pasado un tiempo no hay respuesta.
B. Después de enviar la máquina atacante un ACK en respuesta a la máquina
destino, si el destino vuelve a responder con SYN/ACK.
C. Después de enviar la máquina atacante un SYN/ACK en respuesta a la

máquina destino, si el destino vuelve a responder con RST/ACK.
D. Todas son incorrectas.
SYN/ACK – RST/ACK.

Tema 3. Test
Test
7. Los IPS o firewalls pueden:
A. Filtrar la información y no dejarnos obtener información acerca de si la
máquina tiene un puerto abierto o no.
B. Arrojarnos información acerca de las consultas y peticiones que se realizan
a través de ARP spoofing gracias al content type.
C. Crear concurrencias inmersivas que permitan al escaneo TCP IDLE ser
fructífero en cualquier entorno.
8. NMAP es una…
A. Herramienta de código cerrado que sirve para efectuar escaneo de
puertos.
B. Herramienta de código libre creado únicamente para escanear puertos.
C. Herramienta de código libre que permite mapear sistemas operativos en
búsqueda de información pública.
D. Herramienta de código libre que permite escanear puertos y lanzar
escaneos de vulnerabilidades.
9. El sniffing permite…
A. Obtener información de las DNS y las cachés de los equipos de una misma
red.
B. Suplantar la identidad de otro equipo mediante ingeniería social.

C. Monitorizar y capturar los paquetes de una red con el objetivo de
analizarlos.
D. Analizar los logs de las máquinas de una red para encontrar errores o
vulnerabilidades.

Tema 3. Test
Test
10. Con el ARP Spoofing podemos:
A. Enviar paquetes ARP con el objetivo de asociar la dirección MAC del
atacante con la dirección IP de otro nodo.
B. Capturar el tráfico ARP de una red para poder suplantar la identidad de la
máquina objetivo.
C. Utilizar la pila ARP para poder obtener la dirección MAC de todas las
máquinas colindantes.

Tema 3. Test

Tema 3. Escaneo y Enumeración

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 3. Escaneo y Enumeración

Cargado por

Copyright:

Formatos disponibles

Tema 3

Hacking Ético y Análisis de Malware

3.1. Introducción y objetivos

3.2. Recopilación de información activa

3.3. Escaneo TCP SYN (-sS)

3.4. Escaneo UDP (-sU)

3.5. Escaneo TCP Connect (-sT)

3.6. Escaneo TCP ACK (-sA)

3.7. Escaneo TCP FIN, NULL y Xmas (-sF, -sN, -sX)

3.8. Escaneo TCP IDLE (-sI)

3.11. ARP Spoofing

3.12. Lecciones magistrales

3.13. Referencias bibliográficas

Nmap para principiantes

Hacking Ético y Análisis de Malware 3

3.1. Introducción y objetivos

La importancia de recopilar información a la hora de generar un vector de ataque se

convierte en algo crucial si queremos desarrollar un ataque certero.

escaneo más comunes a la hora de realizar este tipo de recopilación de información.

Gracias a esta información, el estudiante tendrá los conocimientos mínimos para

poder realizar posteriormente un análisis de potenciales vulnerabilidades y

desarrollar un ataque con su posterior explotación y posexplotación.

Hacking Ético y Análisis de Malware 4

3.2. Recopilación de información activa

Es el proceso de recolección de información en el que se interactúa

directamente con los sistemas para aprender más sobre su

puertos abiertos en los servidores de la entidad e intentaremos identiﬁcar qué hay

detrás de esos puertos.

Hay dos principales problemas con la técnica del escaneo de puertos:

escaneos poco a poco.

▸ Hay mecanismos para bloquear estos escaneos y sistemas para alertar de

ellos. Los firewall o cortafuegos pueden ser dispositivos hardware o programas

software que mitigan estos escaneos de puertos, filtrando los paquetes de IP

Hacking Ético y Análisis de Malware 5

L a herramienta más popular y potente para realizar el escaneo de puertos es

e s t á disponible para Windows, Mac OS X y cualquier otro Linux. Es una

funcionalidades y tiene interfaz gráfica.

Figura 1. Escaneo de puertos con NMAP a un router. Fuente: Elaboración propia.

Nmap se basa en el envío de paquetes de diferentes tipos a los puertos de un

proporciona un servidor web.

Los diferentes tipos de escaneo son:

Hacking Ético y Análisis de Malware 6

Tabla 1. Tipos de escaneo. Fuente: elaboración propia.

Hacking Ético y Análisis de Malware 7

3.3. Escaneo TCP SYN (-sS)

Además es relativamente discreto, ya que nunca se completarán las conexiones

Se basa en el protocolo TCP, que envía un paquete SYN al receptor y si responde

finalizar la conexión sin que se establezca.

Figura 2. Escaneo TCP SYN. Fuente: Elaboración propia.

Hacking Ético y Análisis de Malware 8

Si recibimos como respuesta un paquete RST/ACK, será que no existe ningún

contra, si nos envían un paquete SYN/ACK, tendremos la certeza de la existencia de

enviará un paquete RST/ACK para no establecer la conexión.

Este tipo de exploración de puertos no es tan ruidosa, ya que no termina el proceso

▸ Supongamos la comunicación entre un host A y B.

Figura 3. Esquema de comunicación TCP SYN. Fuente: Messer Studios, s. f.

▸ A envía a B una petición de conexión SYN.

▸ A responde con una petición RST para romper la conexión y no terminar el

intercambio de tres vías.

Hacking Ético y Análisis de Malware 9

3.4. Escaneo UDP (-sU)

Los métodos de escaneo UDP implican enviar un datagrama UDP al puerto de