Nmap

Nmap ("Network
Mapper")
• Nmap es una herramienta para
escanear las redes.
• El escaneo de puertos es un método
para descubrir canales de
comunicación que se puedan
explotar
• La idea es de probar todos lo que
este escuchando.
• Fue diseñada para escanear grandes
redes, aunque funciona muy bien
escaneando un simple host.
 Nmap ("Network
Mapper")...
• Nmap utiliza paquetes tipo raw de
ciertas maneras para determinar:
- Hosts disponibles en la red
- Servicios (puertos)
- Tipo de Sistema Operativo (versión
del SO)
- Tipos de filtros/firewalls que están
en uso
- Etc...
• Nmap corre en sistemas Unix, Unix-
like, windows.
 Nmap...

• Nmap está disponible en dos

versiones: versión de consola y
gráfico. Nmap es software libre,
disponible con código fuente, bajo la
licencia GNU GPL.
• Algunas veces se necesita velocidad
en los escaneos, otras veces se
necesita no causar mucho ruido
(stealth).
• En algunos casos se requiere eludir
firewalls o escanear diferentes
protocolos (UDP, TCP, ICMP, etc. Se
puede hacer todo esto con un solo
modo de escaneo
 Nmap soporta:

• Vanilla TCP connect() scanning,

• TCP SYN (half open) scanning,
• TCP FIN, Xmas, or NULL (stealth)
scanning
• TCP ftp proxy (bounce attack) scanning
• SYN/FIN scanning using IP fragments
(bypasses some packet filters)
• TCP ACK and Window scanning
• UDP raw ICMP port unreachable scanning
• ICMP scanning (ping-sweep)
• TCP Ping scanning
 Nmap soporta: (cont.)

• Direct (non portmapper) RPC

scanning
• Remote OS Identification by TCP/IP
Fingerprinting, and
• Reverse-ident scanning.
 Vanilla TCP connect()
scanning
• Utilizado para identificar puertos
TCP que esten escuchando. Estos
puertos identifican los protocolos (de
TCP)que estén corriendo basados en
la capa de aplicación (HTTP, FTP).
(SY
A N) B

Puerto Puerto
cerrado abierto
(RST) (ACK)
A B A B
 Vanilla TCP connect()
scanning
• (cont.)
• Nota: Algunos IDS no detectan
esto como un atentado de
ataque porque se completó la
conexión.
• Si el atacante no envía el
paquete final ACK, la conexión
quedará en un estado “half-
open”, Esto puede disparar la
alarma del IDS.
 TCP SYN (half open)

• El atacante lo utiliza para

detectar los puertos abiertos en
la máquina remota.
• A diferencia de Vanilla TCP
Connect Scan, TCP Half-Open
no incluye el paquete final del
ACK (el tercer paquete del 3
way handshake).
 TCP FIN Scan

• Utilizado para identificar los

números de puerto de TCP abiertos,
basado en la manera en que
reacciona la víctima a una petición
de cierre de transacción de un puerto
de TCP
• Este tipo de escaneo puede pasar por
desapercibido en firewalls básicos o
por ruteadores de frontera que estén
filtrando paquetes TCP con la
conbinación de las banderas (FIN) y
(ACK)
 TCP FIN Scan

Puerto Puerto
cerrado abierto
(RST) Descarta (FIN)
A B No Reply

A B
 Tcp Xmas Scan

• Utiliza una serie de paquetes TCP

extrañamente configurados que contienen
un número de secuencia de 0 y las
banderas Urgent(URG), Push(PSH) y FIN.
• Este tipo de escaneo puede pasar por
desapercibido ante firewalls básicos o
ruteadores de frontera
Puerto cerrado Puerto abierto

B B
No hay respuesta,
(RST)
Descartando TCP Xma
Scan

H H
 TCP NULL Scan

• Este tipo de escaneo utiliza

también una extraña
configuración de paquetes TCP,
con número de secuencia 0,
pero sin banderas
 TCP ACK Scan

• Utilizado para identificar web

sites activos que no respondan
un ping de ICMP.
• Este tipo de escaneo utiliza
paquetes de TCP con la bandera
ACK puesta a un número de
puerto (Ej: 80) probablemente
abierto en la máquina remota
 TCP SYN/FIN With
Fragments Scan

• Utilizado para poder pasar por

un dispositivo de filtrado.
• El atacante fragmenta un
paquete dentro del encabezado
TCP. Si el dispositivo de
filtrado no reensambla el
paquete, no sabrá que es un
paquete de tipo TCP SYN/FIN.
 UDP raw ICMP port unreachable
scanning

• El escaneo es más dificil, porque los

puertos abiertos no tienen que enviar
un ack en respuesta de que fueron
probados, y los puertos cerrados no
envían un paquete de error.
• La mayoría de los hosts envían un
error de tipo
ICMP_PORT_UNREACH cuando
tienen un puerto UDP cerrado
• No se puede garantizar su llegada.
ICMP Echo (Ping sweep)
Scan
• Enviando una serie de paquetes
de tipo ICMP echo request
(ICMP tipo 8) a varias
direcciones IP se puede
determinar que dispositivos
están activos
 Nmap Caract.

• retransmisión.
• parallel port scanning
• Especificación de puerto
flexible
• Detección de hosts abajo
• Detección de tu dirección IP
 Ejemplos de uso

• Para hacer un escaneo estandard de tcp

:>nmap target 
• Para checar la red clase C en la cual
warez.com pone sus servicios (via
fragmented SIN scan): #nmap -fsp
21,22,23,25,80,110warez.com/24 
• Para escanear la misma red por todos
los servicios en su /etc/services via tcp
(muy rapido) nmap -F
warez.com/24 
• Para escanear secret.pathetic.net
utilizando un ftp bounce attack off de
ftp.pathe.net :>nmap -Db
ftp.pathe.net secret.pathe.net 
 Ejemplos de uso

• Para encontrar hosts que esten

arriba en la clase C 193.14.12, .
13, .14, .15, ..., .30 .
nmap -P '193.14.[12-30].*' 
- De otra forma:
nmap -P 193.14.23-30.0-255