1. ¿Qué es Nmap?
Nmap (Network Mapper) es un software de código abierto que se utiliza para encontrar vulnerabilidades en una red mediante el escaneo de diferentes puertos.
El escaneo de puertos es la funcionalidad principal de Nmap, pero también puede utilizarse para recopilar características de una red, como qué servicios se están ejecutando y su número de versión, los sistemas operativos que se están utilizando y si existen reglas de firewall o filtros de paquetes.
Conocer esta información como hacker o experto en seguridad es un paso importante para identificar cualquier debilidad que un sistema pueda tener y los posibles exploits que se pueden usar.
2. Descubrimiento de Hosts, también conocido como escaneo de ping
Uno de los primeros pasos en cualquier hackeo es identificar el objetivo o lo que se conoce como el host que se puede usar para el ataque. Para un hacker, puede estar buscando un host que exista fuera de un conjunto de restricciones de firewall.
Por lo general, en una red solo hay algunas direcciones IP activas en cualquier momento. Esto suele ser cierto en redes privadas con grandes espacios de direcciones. Por ejemplo, ¡10.0.0.0/8 tiene 16 millones de hosts posibles! El descubrimiento de hosts puede encontrar qué direcciones IP están activas en la red.
A continuación, se muestran algunas opciones que se pueden usar para controlar el descubrimiento de hosts. Para obtener una lista completa, vaya a la página de documentación aquí.
La opción -sn se utiliza para realizar solo el descubrimiento de hosts porque Nmap, de forma predeterminada, realizará el escaneo de puertos después de que se haya encontrado un host.
3. Comprendiendo los estados de los puertos
Nmap utiliza 6 estados de puerto diferentes:
- Abierto: un puerto abierto es uno que está aceptando activamente conexiones TCP, UDP o SCTP. Los puertos abiertos son los que nos interesan más porque son los que son vulnerables a los ataques. Los puertos abiertos también muestran los servicios disponibles en una red.
- Cerrado: un puerto que recibe y responde a los paquetes de sonda de Nmap, pero no hay ninguna aplicación escuchando en ese puerto. Útil para identificar que el host existe y para la detección del sistema operativo.
- Filtrado: Nmap no puede determinar si el puerto está abierto porque el filtrado de paquetes impide que sus sondas lleguen al puerto. El filtrado puede provenir de firewalls o reglas de enrutadores. A menudo, se proporciona poca información de los puertos filtrados durante los escaneos, ya que los filtros pueden descartar las sondas sin responder o responder con mensajes de error inútiles, por ejemplo, «destino inaccesible».
- No filtrado: el puerto es accesible pero Nmap no sabe si está abierto o cerrado. Solo se utiliza en el escaneo ACK, que se utiliza para mapear conjuntos de reglas de firewall. Otros tipos de escaneo se pueden utilizar para identificar si el puerto está abierto.
- Abierto/Filtrado: Nmap no puede determinar entre abierto y filtrado. Esto sucede cuando un puerto abierto no responde. La falta de respuesta podría significar que la sonda fue descartada por un filtro de paquetes o que cualquier respuesta está bloqueada.
- Cerrado/Filtrado: Nmap no puede determinar si el puerto está cerrado o filtrado. Solo se usa en el escaneo de ID de IP en espera.
4. Técnicas básicas de escaneo de puertos
El comando más básico para escanear puertos es: nmap <objetivo>. Este comando escanea 1000 puertos TCP en el host. Es un escaneo SYN (-sS), que es muy rápido y relativamente sigiloso ya que no completa la conexión TCP. Si el escaneo SYN no está disponible debido a los privilegios, se utilizará el escaneo TCP (-ST) de forma predeterminada. El escaneo TCP es menos eficiente y ofrece menos control que el escaneo SYN.
Un escaneo UDP funciona enviando un paquete UDP a cada puerto objetivo. A menudo es bastante lento pero no debe evitarse porque muchos servicios se ejecutan en estos puertos. Nmap limita la velocidad de conexión para evitar inundar la red. Para acelerar esta búsqueda, podría examinar los puertos más populares, escanear más puertos en paralelo o usar la opción –host-timeout para evitar hosts lentos.
5. Técnicas avanzadas de escaneo de puertos
Puede combinar un escaneo UDP (-sU) con cualquier escaneo SCTP o TCP.
-sN, -sF, -sX se utilizan para diferenciar entre puertos abiertos y cerrados aprovechando una laguna en RFC TCP.
El escaneo de ACK (-sA) se utiliza principalmente para mapear reglas de firewall para averiguar si son estatales y qué puertos están filtrados.
-sZ es un escaneo de eco de cookies, que es un método más oscuro y, por lo tanto, menos probable que se detecte como un escaneo de puertos o se bloquee. Un puerto está abierto si se elimina el paquete o está cerrado si se envía la bandera ABORT. Una desventaja es que no puede diferenciar entre abierto/filtrado.
El escaneo de zombie (-sI<zombiehost>[:<probeport>]) es el mejor escaneo para cuando no desea dejar un rastro de su IP en el sistema de destino; es verdaderamente el escaneo furtivo definitivo. También tiene el beneficio adicional de descubrir IP de confianza ya que utiliza la IP del zombie. Experimentar con diferentes IP de zombie puede ser útil para descubrir qué IP son confiables para un sistema.
El escaneo de protocolo (-sO) se puede utilizar para identificar los protocolos compatibles con el sistema objetivo.
6. Especificación de puertos
Debido a que un sistema puede contener millones de direcciones IP diferentes y miles de puertos, puede ser útil especificar qué puertos desea escanear para reducir el tiempo de escaneo. Por defecto, Nmap escanea los 1000 puertos más probables.
El comando -p <rango de puertos>, por ejemplo, 1–1023 se utiliza para especificar los puertos que se escanearán. Inversamente, puede especificar –exclude-ports.
¡A la velocidad del rayo! Use -F para reducir los puertos escaneados a los 100 principales.
Para mas información visita la documentación de nmap justo Aquí
También puedes ver el writeup de la máquina venom