Mostrando entradas con la etiqueta nmap. Mostrar todas las entradas
Mostrando entradas con la etiqueta nmap. Mostrar todas las entradas

10 comandos nmap que todo sysadmin debería de saber

A la mayoría de los Administradores de Sistemas nos toca a menudo jugar con nmap, y creo que es una muy buena herramienta que todos debería de conocer. No en profundidad, ya que da para un libro, pero sí cuando menos tener en mente siempre algunos comandos básicos. Hoy os dejo aquí los 10 que yo considero bastante habituales.
  1. Descubrir IPs de una red (no root)
    shell> nmap -sP 192.168.0.0/24
    
    Starting Nmap 6.40
    Nmap scan report for server1.local.net (192.168.0.2)
    Host is up (0.00053s latency).
    Nmap scan report for 192.168.0.3
    Host is up (0.00080s latency).
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00076s latency).
    Nmap scan report for 192.168.0.7
    Host is up (0.00067s latency).
    Nmap scan report for remote.local.net (192.168.0.11)
    Host is up (0.00088s latency).
    ...
    
  2. Escanear puertos abiertos de un equipo (no root)
    shell> nmap 192.168.0.5
    
    Starting Nmap 6.40
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00056s latency).
    Not shown: 997 closed ports
    PORT    STATE SERVICE
    22/tcp  open  ssh
    25/tcp  open  smtp
    873/tcp open  rsync
    
    Nmap: 1 IP address (1 host up) scanned in 0.04 seconds
    
  3. Escanear protocolo TCP (no root)
    shell> nmap -sT 192.168.0.5
    
    Starting Nmap 6.40
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00063s latency).
    Not shown: 997 closed ports
    PORT    STATE SERVICE
    22/tcp  open  ssh
    25/tcp  open  smtp
    873/tcp open  rsync
    
    Nmap: 1 IP address (1 host up) scanned in 0.04 seconds
    
  4. Identificar el sistema operativo de un equipo (root)
    shell> nmap -O 192.168.0.5
    
    Starting Nmap 6.40
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00022s latency).
    Not shown: 997 closed ports
    PORT    STATE SERVICE
    22/tcp  open  ssh
    25/tcp  open  smtp
    873/tcp open  rsync
    MAC Address: 00:BC:5D:71:99:4A (XenServer)
    Device type: general purpose
    Running: Linux 2.6.X
    OS CPE: cpe:/o:linux:linux_kernel:2.6
    OS details: Linux 2.6.32
    Network Distance: 1 hop
    
    OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
    Nmap: 1 IP address (1 host up) scanned in 1.70 seconds
    
  5. Identificar los hostname de una red (root)
    shell> nmap -sL 192.168.0.0/24
    
    Starting Nmap 6.40
    Nmap scan report for 192.168.0.0
    Nmap scan report for 192.168.0.1
    Nmap scan report for server1.local.net (192.168.0.2)
    Nmap scan report for 192.168.0.3
    Nmap scan report for 192.168.0.4
    Nmap scan report for zabbix.local.net (192.168.0.5)
    ...
    
  6. Escanear UDP y TCP Syn (root)
    shell> nmap -sS -sU -PN 192.168.0.5
    
    Starting Nmap 6.40
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00018s latency).
    Not shown: 1996 closed ports
    PORT    STATE SERVICE
    22/tcp  open  ssh
    25/tcp  open  smtp
    873/tcp open  rsync
    123/udp open  ntp
    MAC Address: 00:BC:5D:71:99:4A (XenServer)
    
    Nmap: 1 IP address (1 host up) scanned in 989.80 seconds
    
  7. Escanear de todos los puertos (root)
    shell> nmap -p 1-65535 192.168.0.5
    
    Starting Nmap 6.40
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00027s latency).
    Not shown: 65530 closed ports
    PORT      STATE SERVICE
    22/tcp    open  ssh
    25/tcp    open  smtp
    873/tcp   open  rsync
    10050/tcp open  unknown
    10051/tcp open  unknown
    MAC Address: 00:BC:5D:71:99:4A (XenServer)
    
    Nmap: 1 IP address (1 host up) scanned in 1.15 seconds
    
  8. Escaneo de host agresivo (no root)
    shell> nmap -T4 -A 192.168.0.0/24
    
    Starting Nmap 6.40
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00020s latency).
    Not shown: 997 closed ports
    PORT    STATE SERVICE VERSION
    22/tcp  open  ssh     OpenSSH 6.0p1 Debian 4 (protocol 2.0)
    | ssh-hostkey: 1024 d3:cd:5d:0f:f1:86:09:ff (DSA)
    |_2048 64:45:95:18:26:5a:f1:94 (RSA)
    25/tcp  open  smtp    Postfix smtpd
    |_smtp-commands: zabbix.local.net, PIPELINING, SIZE 31457280, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 
    | ssl-cert: Subject: commonName=zabbix
    | Not valid before: 2012-06-14T12:37:01+00:00
    |_Not valid after:  2022-06-12T12:37:01+00:00
    |_ssl-date: 2014-05-15T15:02:35+00:00; -12s from local time.
    873/tcp open  rsync   (protocol version 30)
    MAC Address: 00:BC:5D:71:99:4A (XenServer)
    Device type: general purpose
    Running: Linux 2.6.X
    OS CPE: cpe:/o:linux:linux_kernel:2.6
    OS details: Linux 2.6.32
    Network Distance: 1 hop
    Service Info: Host:  zabbix.local.net; OS: Linux; CPE: cpe:/o:linux:linux_kernel
    
    TRACEROUTE
    HOP RTT     ADDRESS
    1   0.20 ms zabbix.local.net (192.168.0.5)
    
    Nmap: 1 IP address (1 host up) scanned in 1.93 seconds
    
  9. Escaneo rápido (no root)
    shell> nmap -T4 -F 192.168.0.5
    
    Starting Nmap 6.40
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00042s latency).
    Not shown: 97 closed ports
    PORT    STATE SERVICE
    22/tcp  open  ssh
    25/tcp  open  smtp
    873/tcp open  rsync
    MAC Address: 00:BC:5D:71:99:4A (XenServer)
    
    Nmap: 1 IP address (1 host up) scanned in 0.13 seconds
    
  10. Escaneo detallado (no root)
    shell> nmap -T4 -A -v 192.168.0.5
    
    Starting Nmap 6.40
    NSE: Loaded 110 scripts for scanning.
    NSE: Script Pre-scanning.
    Initiating ARP Ping Scan at 17:03
    Scanning 192.168.0.5 [1 port]
    Completed ARP Ping Scan at 17:03, 0.02s elapsed (1 total hosts)
    Initiating SYN Stealth Scan at 17:03
    Scanning zabbix.local.net (192.168.0.5) [1000 ports]
    Discovered open port 25/tcp on 192.168.0.5
    Discovered open port 22/tcp on 192.168.0.5
    Discovered open port 873/tcp on 192.168.0.5
    Completed SYN Stealth Scan at 17:03, 0.04s elapsed (1000 total ports)
    Initiating Service scan at 17:03
    Scanning 3 services on zabbix.local.net (192.168.0.5)
    Completed Service scan at 17:03, 0.01s elapsed (3 services on 1 host)
    Initiating OS detection (try #1) against zabbix.local.net (192.168.0.5)
    NSE: Script scanning 192.168.0.5.
    Initiating NSE at 17:03
    Completed NSE at 17:03, 0.13s elapsed
    Nmap scan report for zabbix.local.net (192.168.0.5)
    Host is up (0.00020s latency).
    Not shown: 997 closed ports
    PORT    STATE SERVICE VERSION
    22/tcp  open  ssh     OpenSSH 6.0p1 Debian 4 (protocol 2.0)
    | ssh-hostkey: 1024 d3:87:ad:ca:6f:6e:09:ff (DSA)
    |_2048 64:45:95:c9:c8:06:f1:94 (RSA)
    25/tcp  open  smtp    Postfix smtpd
    |_smtp-commands: zabbix.local.net, PIPELINING, SIZE 31457280, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 
    | ssl-cert: Subject: commonName=zabbix
    | Issuer: commonName=zabbix
    | Public Key type: rsa
    | Public Key bits: 2048
    | Not valid before: 2012-06-14T12:37:01+00:00
    | Not valid after:  2022-06-12T12:37:01+00:00
    | MD5:   5870 5ed4 9962 6bcc cc3a 37dd 2ffa 5c13
    |_SHA-1: 66f3 3495 37b4 3ace b1e9 8bed 4a18 5e9a 57af 8794
    |_ssl-date: 2014-05-15T15:03:18+00:00; -11s from local time.
    873/tcp open  rsync   (protocol version 30)
    MAC Address: 00:BC:5D:71:99:4A (XenServer)
    Device type: general purpose
    Running: Linux 2.6.X
    OS CPE: cpe:/o:linux:linux_kernel:2.6
    OS details: Linux 2.6.32
    Uptime guess: 196.083 days (since Thu Oct 31 14:04:32 2013)
    Network Distance: 1 hop
    TCP Sequence Prediction: Difficulty=262 (Good luck!)
    IP ID Sequence Generation: All zeros
    Service Info: Host:  zabbix.local.net; OS: Linux; CPE: cpe:/o:linux:linux_kernel
    
    TRACEROUTE
    HOP RTT     ADDRESS
    1   0.20 ms zabbix.local.net (192.168.0.5)
    
    NSE: Script Post-scanning.
    Initiating NSE at 17:03
    Completed NSE at 17:03, 0.00s elapsed
    Read data files from: /usr/bin/../share/nmap
    OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
    Nmap: 1 IP address (1 host up) scanned in 1.93 seconds
    Raw packets sent: 1023 (45.806KB) | Rcvd: 1015 (41.290KB)
    
Leer más

Nmap idle-scan

Hoy os voy a hablar sobre una técnica de escaneo de puertos con nmap que intenta evitar el filtrado de firewall's. Es lo que se conoce como nmap idle-scan. idle-scan es el nombre con el que se conoce a la técnica de escaneo que haciendo uso de hosts zombies oculta completamente la IP origen del escaneo. No ofusca la IP origen de la conexión, sino que ni siquiera envía un sólo paquete al destino. Esta técnica es una de las mejores para saltarnos firewall's e IDS.
El funcionamiento de idle-scan es realmente una técnica compleja en cuanto a escaneos de puertos se refiere, pero se basa en las siguientes premisas (a groso modo):
  • Un sistema operativo escucha en determinados puertos TCP al igual que un servidor web escucha en el 80 o uno de correo en el 25.
  • Un puerto se considera abierto si un servicio está escuchando en dicho puerto, cerrado sino.
  • Para establecer una conexión a un puerto, se envía un paquete "SYN" al puerto. Si el puerto está abierto y a la escucha, enviará un "SYN/ACK", en caso contrario un "RST".
  • Una máquina que reciba un paquete "SYN/ACK" no solicitado responderá con un "RST". Un "RST" no solicitado será automáticamente ignorado.
  • Cada paquete IP tiene un número de identificación (identificación de fragmento). Muchos de los SO actuales incrementan este número por cada paquete que envían, por lo que la observación es este número puede indicar cuántos paquetes se enviaron desde la última conexión.
Realizando una combinación de todos las características anteriormente descritas es a nivel general en lo que se basa la técnica idle-scan, representada gráficamente a continuación.
nmap - idle-scan
Para poder usarlo tal como se muestra en la figura, debemos de seguir un par de sencillos pasos.
  1. Seleccionar un host 'zombie'
    Este host que debemos de seleccionar, para que la técnica funcione, debe tener el IPID incremental. Existen numerosas formas de averiguar si un equipo tiene o no el IPID incremental, una de ellas es directamente con el propio nmap (plugin ipidseq.nse). Otra es empleando metasploit. Para completar el ejemplo, vamos a emplear metasploit.
    shell> msfcli scanner/ip/ipidseq RHOSTS=192.168.0.0/24 E
    
    En ejecutar el comando anterior tardará un tiempo, así que sed pacientes. Cuando termine nos dará un listado de aquellos host's con el IPID incremental que haya en la red.
  2. Lanzar nmap
    Ahora que ya tenemos la víctima puente para poder lanzar el ataque y estar perfectamente camuflados, únicamente hay que lanzarlo.
    Vamos a suponer que el host zombie empleado sea el 192.168.0.201 y el equipo a escanear el 192.168.0.15. Si lanzamos un nmap directamente contra ese equipo, aparte de dejar rastros de la IP que hace el escaneo, puede que un posible firewall nos detecte e impida la conexión.
    shell> nmap -PN -P0 -p445 192.168.0.15
    PORT     STATE     SERVICE
    445/tcp  filtered  microsoft-ds
    
    Sin embargo, si empleamos el zombie, veremos los sigueinte,
    shell> nmap -PN -P0 -p445 -sI 192.168.0.201 192.168.0.15
    PORT     STATE     SERVICE
    445/tcp  open      microsoft-ds
    

¿Qué ventajas ofrece idle-scan?

  • Sigilo
    No se envía ningún paquete con la IP del atacante, por lo que su identidad está completamente a salvo.
  • Evasión
    Al no realizar ninguna conexión directa, tanto firewall como IDS tienen más difícil detectar como filtrar el escaneo. No existe una IP origen que bloquear, ya que puede que la IP "origen" sea un equipo de la propia red, el cual sí está permitido.
Más información sobre idle-scan en nmap.org

La entrada Nmap idle-scan la puede leer en Puppet Linux.
Leer más

nmap, netbios scan hostname

Hay veces que por alguna razón, bien interés, bien por que estemos haciendo una auditoría de red, sabemos que hay un equipo, una IP, que tiene un servicio NETBIOS corriendo, pero de él todavía no sabemos el nombre.
Por suerte, nmap nos puede ayudar a averiguarlo de una forma bastante rápida,

shell> nmap -script smb-os-discovery.nse -p445 192.168.0.35

Starting Nmap 6.00 ( http://nmap.org ) at 2013-04-06 18:36 CEST
Nmap scan report for 192.168.0.35
Host is up (0.0022s latency).
PORT    STATE SERVICE
445/tcp open  microsoft-ds

Host script results:
| smb-os-discovery: 
|  OS: Unix (Samba 3.5.6)
|  Computer name: samba
|  Domain name: domain.com
|  FQDN: samba.domain.com
|  NetBIOS computer name: 
|  NetBIOS domain name: HOME
|_ System time: 2013-04-06 18:36:08 UTC+2

Nmap done: 1 IP address (1 host up) scanned in 0.43 seconds

La entrada nmap, netbios scan hostname la puedes leer en El mundo en bits.
Leer más

Usar nmap para descubrir hosts

A todos nos ha pasado que alguna vez nos interesó saber los equipos que hay en la red a la que estemos conectados o tengamos acceso, pero todo ello sin realizar un escaneo de los puertos de los equipos.
Con nmap lo podemos realizar de forma simple. Primero deshabilitamos el escaneo de puertos y luego realizamos el escaneo de IP en el rango de nuestra red:
shell> nmap -sP 192.168.1.0/24
Simple y rápido.
Leer más

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios