EJERCICIOS DE DESCUBRIMIENTO

DE HOST CON NMAP

MÓDULO: MANTENIMIENTO ELECTRÓNICO-VOZ Y DATOS
ÁLVARO GUARDIA CARABALLO
09/04/2024
Introducción

En está práctica vamos a realizar un escaneo de recursos y de host activos mediante dos
sistemas operativos diferentes instalados en dos máquinas virtuales: Windows 7 y Kali
Linux. Mediante el sowftware virtual box seremos capaces de recrear un entorno real
donde nosotros seremos los atacantes mediante el sistema Kali Linux, y el sistema que
tiene Windows instalado será la víctima.

El objetivo de la práctica es escanear la red en busca de host activos, identificar la

dirección del sistema Windows y atacarlo usando un exploit.

En mi caso he usado el exploit EternalBlue, el cuál nos permite utilizar una amplia
variedad de comandos para extraer información de la víctima en cuestión. En este caso
este preparado para que se pueda realizar el ataque, ya que aprovechamos una
vulnerabilidad que se explotaba mediante el protocolo SMB de Microfost.

Tras responder las preguntas del cuestionario, he añadido el proceso de forma breve
de como sería conseguir la contraseña del sistema de Windows así como sacar una
captura o grabar la pantalla de la víctima.

1
1. Realiza con la herramienta nmap un escaneo con la opción “-sn”. Indica qué hace
nmap para realizar el descubrimiento de hosts. Para ello puedes utilizar un
analizador de tráfico de red. ¿Podría realizar un descubrimiento de hosts en otra
red diferente de la que se encuentra el host? Justifica tu respuesta.

Nmap es una herramienta de escaneo de red, utilizada para descubrir hosts y servicios
de la red que se quiere escanear. Se trabajo con nmap mediante comandos.
En el caso del comando -sn, lo que realiza es un escaneo de ping para determinar los
hosts que están activos dentro de esa red sin mostrar un escaneo de puertos completo.
Para ejecutar correctamente el comando -sn se debe ejecutar de la siguiente manera
nmap -sn <rango-de-IP>
No es obligatorio pero si recomendable usar siempre nmap con el comando sudo, el cuál
nos da privilegios de administrador, para que no se nos restrinja ninguna opción del
escaneo
Al ejecutar el comando nmap envía paquetes de solicitud de eco ICMP (ping) a las
direcciones Ip que se encuentran dentro del rango de red establecido. Si recibe
respuesta considera que el host está activo
Para realizar el descubrimiento de hosts nmap utiliza varias técnicas entre ellas las
siguientes
• Ping: Como se mencionó anteriormente, Nmap envía paquetes de ping para
verificar la disponibilidad de los hosts.
• ARP (Address Resolution Protocol): En redes locales, Nmap puede consultar la
tabla ARP para obtener direcciones MAC y mapearlas a direcciones IP.
• DNS (Domain Name System): Nmap consulta registros DNS para obtener
información sobre nombres de host y direcciones IP.
• TCP SYN: En un escaneo de puertos, Nmap envía paquetes TCP SYN a puertos
específicos para determinar si están abiertos o cerrados.
Descubrimiento en redes diferentes
Nmap puede realizar un descubrimiento de hosts en otras redes siempre que haya
conectividad entre ellas, sin embargo se debe tener permiso para escanear redes ajenas.
Hay que tener especial cuidado en escanear redes ajenas, ya que realizar escaneos no
autorizados puede considerarse una violación de la política de seguridad y ser ilegal.
Para realizar la búsqueda de host abrimos Nmap, aunque podríamos relizarlo desde la
consola directamente

2
Tras insertar el comando obtenemos como resultado lo siguiente:

El marco rojo encuadra a la IP del sistema Windows que tenemos abierto desde otra
máquina virtual en la misa red. Cuando se ejecuta el comando, si observamos la lista de
paquetes en el Wireshark, vemos lo siguiente:

3
2. Realiza con la herramienta netdiscover un descubrimiento de hosts dentro del
mismo segmento de red. ¿Podría utilizarse netdiscover para el descubrimiento de
hosts en otras redes? Justifica tu respuesta.

Netdiscover es una utilidad especializada en descubrir equipos dentro de la misma red

local. Emplea métodos como la exploración de protocolo ARP y el seguimiento de
dispositivos asignados por DHCP para detectar y listar dispositivos en funcionamiento
en la red local.

El resultado que nos da el comando es el siguiente:

En este caso solo me ha identificado 3 host, aunque suele tardar el proceso dependiendo
de los valores de procesador que le demos a la máquina virtual. En otra pruebas que he
realizado han aparecido hasta 5 host .

4
Resultado visto en Wireshark:

No se podría utilizar la herramienta Netdiscover para el descubrimiento de hosts en

otras redes ya que está diseñado principalmente para redes locales y segmentos de red
específicos. Netdiscover se basa en ARP (Protocolo de Resolución de Direcciones) para
descubrir hosts en la misma subred. ARP es un protocolo de capa 2 y funciona solo
dentro de una red local. No puede cruzar las fronteras de red, lo que significa que no
puede descubrir dispositivos en redes remotas.
También hay que saber que las redes se dividen en segmentos o subredes para mejorar
la seguridad y la eficiencia del tráfico. Si se ejecuta Netdiscover en una red diferente, es
poco probable que esté en el mismo segmento de red que los dispositivos que se están
intentando descubrir.
3. Realiza con la herramienta nmap un escaneo con la opción “-sL”. Indica qué hace
nmap para realizar el descubrimiento de hosts. Para ello puedes utilizar un
analizador de tráfico de red. Indica cuál es la misión de la opción “-sL”.
Cuando se utiliza el comando -sL en Nmap, este realiza lo que se conoce como un
"escaneo de lista". Básicamente, lo que hace Nmap es generar una lista de direcciones
IP de hosts que potencialmente podrían estar activos en la red especificada, sin enviar
ningún paquete de sondeo a los puertos de destino.
Lo que hace Nmap con este comando es básicamente lo siguiente
• Genera una lista de direcciones IP.
• No realiza sondeos de puertos.
• No verifica la disponibilidad de los hosts.

5
6
lo que nos aparece en el Wireshark al ejecutar el comando -sL es lo siguiente:

4. Repite el ejercicio anterior pero esta vez utilizando la opción “-n” junto con la
opción “-sL”. Analiza el tráfico de red e indica qué diferencias encuentras.
Cuando realizo el mismo comando pero usando la extensión -n, me realiza el mismo
proceso pero más rápido. Se puede ver mediante las capturas de pantalla que el proceso
en el ejercicio 3 tarda 169.48 segundos, mientras que con el comando -n lo hace
instantáneamente.
Lo que hace realmente el comando -n es desactivar la resolución de DNS, por lo que
nmap no intentará resolver los nombres de dominio en direcciones IP.

7
Observando el Wireshark tras ejecutar el comando -sL -n no se ve ningún registro de
paquetes. Esto se debe a que nmap no realiza ningún envío de paquetes a los hosts
donde simplemente se enumera los hosts que están activos en la red especificada.
5. Realiza con nmap un escaneo con la opción “-PR”. Indica cómo realiza nmap el
descubrimiento de hosts con este parámetro. ¿Podría realizar un descubrimiento
de hosts en otro segmento de red diferente al que se encuentra la máquina que
realiza el escaneo? Justifica la respuesta.
Cuando se utiliza la opción -PR con nmap, este realiza un escaneo de descubrimiento
de hosts utilizando paquetes AR. Este tipo de escaneo se realiza enviando solicitudes
ARP a direcciones IP en la red especificada y observando las respuestas para
determinar qué hosts están activos. Lo que hace Nmap es enviar solicitudes ARP
(paquetes ARP) a todas las direcciones IP dentro del rango especificado. Estas
solicitudes ARP son utilizadas para determinar si hay hosts activos en la red. Si un
host responde a la solicitud ARP, Nmap considera que está activo y lo incluye en la
lista de hosts descubiertos.

En el caso de analizar segmentos de red diferentes, si que se podría usar el comando

-PR, ya que usa paquetes ARP que se envían a nivel de capa 2 dentro de la red local.
Esto es posible siempre y cuando los demás segmentos de red tengan conectividad
entre sí mediante enrutadores o siwtches.

8
Además de hacer un descubrimiento de hosts el comando -PR también analiza el
estado (abierto, cerrado o filtrado) de los 1000 puertos conocidos. Al ejecutarlo
obtenemos lo siguiente por pantalla:

Nos envía un informe por cada host, en la siguiente imagen vemos la IP de la

máquina virtual con Windows la cuál es 10.0.2.4

9
6. Realiza un escaneo de tipo “-Pn” al host 8.8.8.8 y a un host que se encuentra en tu
mismo segmento de red. Indica para qué vale la opción “-Pn” y qué diferencias
aprecias.

El comando -Pn desactiva el escaneo ping por completo, por lo que no envía
paquetes ICMP para verificar la disponibilidad del host. Lo que realiza es un escaneo
directo de puertos y de los servicios.

10
En cuanto a las diferencias que se puedan encontrar estas pueden ser las siguientes:
• Escaneo de 8.8.8.8 (servidor DNS público de Google): Se espera que el escaneo
tenga éxito, ya que 8.8.8.8 es un servidor DNS público bien conocido y no se
espera que bloquee los escaneos de puertos. El escaneo mostrará los puertos
abiertos y servicios disponibles en el servidor DNS.
• Escaneo de un host en el mismo segmento de red: Dependiendo de la
configuración de la red y del host, puede haber una variedad de resultados. Si el
host está configurado para bloquear escaneos de puertos no autorizados, lo más
probable es que no responda al escaneo. En el caso contrario, el escaneo
mostrará los puertos abiertos y servicios disponibles.
7. Realiza un descubrimiento de recursos (no escaneo de puertos) al segmento de red
192.168.3.0/24. ¿Qué tipo de protocolo se utiliza para realizar el descubrimiento?
Indica ventajas/inconvenientes de este tipo de escaneo para el auditor y/o posible
víctima.

El comando que he usado es el -sP (sondeo de ping), el cuál realiza un descubrimiento

de recursos sin hacer un escaneo de puertos. Los protocolos que usa este comando es
el protocolo ICMP y TCP.

11
8. Con los datos del ejercicio anterior, ¿sería posible realizar un descubrimiento de
activos utilizando el comando nmap 192.168.3.0/24 -sn -Pn -n? Justifica tu
respuesta.
Si se puede realizar un descubrimiento de activos mediante el comando mencionado
en el enunciado. En la siguiente imagen se ve como realiza la misma función que -sP
pero sin darnos información sobre la latencia.

9. Indica la función de cada una de las siguientes opciones analizando el tráfico de

red que se genera sobre un target: “-sU”, “-sS”, “-sT”, “-sA”. ¿Qué opción realiza
nmap por defecto? Justifica tu respuesta.
-sU (Escaneo UDP):

• Realiza un escaneo de puertos UDP.

• Detecta servicios que utilizan el protocolo UDP.
• Útil para encontrar servicios como DNS, SNMP, entre otros.

12
Lo que se ve por pantalla en wireshark

13
-sS (Escaneo TCP SYN):

• Realiza un escaneo de puertos TCP utilizando paquetes SYN.

• Detecta puertos abiertos y servicios.
• Es rápido y sigiloso.

Lo que vemos en el Wireshark es lo siguiente:

14
-sT (Escaneo TCP Connect):

• Realiza un escaneo de puertos TCP estableciendo conexiones completas.

• Detecta puertos abiertos y servicios.
• Menos sigiloso que el escaneo SYN.

15
Lo que vemos en Wireshark es l siguiente:

-sA (Escaneo TCP ACK):

• Realiza un escaneo de puertos TCP enviando paquetes ACK.

• Detecta si los puertos están filtrados por firewalls.
• No identifica puertos abiertos, solo verifica el estado de los puertos.

Lo que vemos en el Wireshark es lo siguiente:

16
10. Vamos a suponer que en una máquina Windows queremos detectar si los puertos
445/TCP y 53/TCP se encuentran abiertos. ¿Cómo podríamos realizar un escaneo
de puertos TCP sólo sobre los puertos indicados? Justifica tu respuesta.
Para detectar los puertos 445/TCP y 53/TCP debemos usar la opción -p junto al comando
nmap, el cuál se puede ver en la siguiente captura:

Como se puede ver el puerto 53/TCP esta cerrado y el puerto 445/TCP esta abierto
donde podemos ver además el servicio que está usando (Microsoft-ds).
11. Imagina que ahora quieres realizar un escaneo TCP de los 65536 puertos TCP.
¿Cómo puedes hacerlo? ¿Y para que el orden de los puertos sea secuencial
(0,1,2,…,65535)?
Para realizar un escaneo TCP de todos los 65536 puertos TCP, podemos utilizar la
herramienta nmap con la opción -p-, que indica a nmap que escanee todos los puertos
TCP disponibles.
En la siguiente imagen se puede ver el resultado por pantalla que me devuelve el
comando:

17
18