0

Comprensión del rastreo de paquetes de Nm





 En este artículo, veremos cómo capturar paquetes de red usando nmap. Y usaremos Wireshark para comparar su resultado con nmap. En este artículo, nos enfocamos principalmente en qué tipos de tráfico de red es capturado por nmap mientras usamos varios escaneos de ping de nmap.
El escaneo de ping en nmap se realiza para verificar si el host de destino está vivo o no. Como sabemos, el ping por defecto envía la solicitud de eco ICMP y obtiene una respuesta de eco ICMP si el sistema está activo. El escaneo de ping por defecto envía un paquete ARP y obtiene una respuesta para verificar si el host está activo.
NOTA: Los escaneos de Nmap cambian su comportamiento de acuerdo con la red que están escaneando.
  • Escaneando la red local con nmap donde nmap envía un paquete ARP con cada escaneo.
  • Si se va a escanear una red externa; nmap envía los siguientes paquetes de solicitud:
Solicitud de eco ICMP
Solicitud de marca de tiempo ICMP
TCP SYN al puerto 443
TCP ACK al puerto 80
La técnica implica el rastreo de paquetes a través de nmap
El módulo nmap es una interfaz con las funciones internas y las estructuras de datos de nmap. La API ofrece información de host de destino, como estados de puerto y resultados de detección de versión. También proporciona una interfaz con la biblioteca Nsock para una E / S de red efectiva.
Nsock es una biblioteca de sockets paralelos utilizada por NSE, detección de servicios (service_scan.cc) y DNS (nmap_dns.cc). Actúa como una capa de abstracción sobre las operaciones de socket y está optimizado para manejar múltiples sockets. "Mspool" se define en "nsock_internal.h" y contiene, entre otras cosas, una estructura event_lists que es una estructura que mantiene información sobre todos los eventos pendientes.
Creación de eventos
Los eventos se representan con la estructura msevent (nsock_internal.h) que contiene (entre otras cosas)
  • El controlador de devolución de llamada -> nsock_ev_handler (nsock_pool, nsock_event, void *)
  • Un puntero a una estructura msiod -> msiod * iod, que contiene toda la información relacionada con el descriptor de E / S ( IOD ).
  • Estructura de espacio de archivos iobuf (un búfer generalmente 1024 bytes que contiene los bytes de escritura / lectura )
  • El nse_type (nsock.h)
  • El nse_status (nsock.h)
  • Una identificación única -> nsock_event_id ( EID )
Los eventos se crean con las siguientes funciones especiales:
nsock_connect.c
  • nsock_connect_tcp
  • nsock_connect_udp
  • nsock_connect_ssl
  • nsock_reconnect_ssl
nsock_read.c
  • nsock_readlines
  • nsock_readbytes
  • nsock_read
nsock_write.c
  • nsock_write
  • nsock_printf
nsock_timer_create.c
  • nsock_timer_create
fuente: https://sock-raw.org/nmap-ncrack/nsock.html
¡¡Empecemos!!

Nmap Sweep Ping Analysis

El atributo -sn / -sP se utiliza para hacer ping de barrido e intentan identificar el host en vivo en la red. Usando –packet-trace a lo largo de nmap scan podemos observar el paquete de red.
Aquí puede observar los primeros dos paquetes SENT / RECD (recibidos) que muestran el paquete de solicitud ARP de 192.168.1.105 a 192.168.1.103 y luego usar las bibliotecas NSOCK para indicar que los paquetes de solicitud y respuesta reales viajan entre el enrutador de origen y el de destino.
  • NSOCK INFO que denota que se genera un nuevo nsock_event_id ( EID ) 8 para representar el descriptor de E / S (IOD) # 1 para la solicitud de conexión NSOCK UDP al enrutador en el puerto 53 .
  • NSOCK INFO que denota otro (EID) 18 se genera para representar la solicitud de lectura de (IOD) # 1.
  • NSOCK INFO que denota otro (EID) 27 se genera para representar la solicitud de escritura de 44 bytes a (IOD) # 1.
  • NSOCK INFO que denota una operación EXITOSA cuando nsock usó callback_handler para conectarse al EID 8.
  • NSOCK INFO que denota una operación EXITOSA cuando nsock usó callback_handler para escribir para el EID 27.
  • NSOCK INFO que denota una operación EXITOSA cuando nsock usó callback_handler para leer el EID 18.
  • NSOCK informa que el IOD # 1 es eliminado.
  • Información de NSOCK que nevent_delete está eliminando en el evento 34.
  • Por último, el informe de exploración de Nmap Host está activo.

Puedes observar el mismo tráfico que hemos capturado desde Wireshark
  • Paquete de solicitud Arp para 192.168.1.105 a 192.168.1.103
  • Paquete de respuesta Arp de 192.168.1.103 a 192.168.1.105

De manera similar, también puede elegir la opción –razón con el comando nmap para enumerar la respuesta de la red de host.
Como puede observar, ha demostrado claramente que Host está activo cuando recibe una respuesta arp.

Como hemos visto, de forma predeterminada, Nmap envió un paquete ARP para identificar el estado del host, por lo tanto, ahora rastrearemos el paquete nmap cuando se active –disable-arp-ping.
Aquí puede observar los siguientes paquetes ENVIADOS desde el origen 192.168.1.105 hasta el destino 192.168.1.103.
  • Solicitud de eco ICMP
  • Solicitud de marca de tiempo ICMP
  • TCP SYN al puerto 443
  • TCP ACK al puerto 80
Luego, el paquete RCVD ICMP Echo-reply desde el destino 192.168.1.103 y luego utilizó las bibliotecas NSOCK para indicar que los paquetes de solicitud y respuesta reales viajan entre el origen y el enrutador de destino.

Demostrando el funcionamiento de Ping Sweep usando Wireshark
De la imagen a continuación puede observar el siguiente paquete de solicitud y respuesta entre ambas IP de red.
  1. Solicitud de eco ICMP
  2. TCP SYN al puerto 443
  3. TCP ACK al puerto 80
  4. Solicitud de marca de tiempo ICMP
  5. Respuesta de eco ICMP
  6. TCP RST, ACK al puerto 443
  7. TCP RST al puerto 80
  8. Respuesta de marca de tiempo ICMP

De manera similar, también puede elegir la opción –razón con el comando nmap para enumerar la respuesta de la red de host.
Como puede observar, ha mostrado claramente que el host está activo cuando se recibe la respuesta de eco ICMP.

Análisis de ping Nmap TCP-SYN

El atributo -PS envía el paquete TCP SYN en el puerto 80 de manera predeterminada; podemos cambiarlo especificando los puertos con él, como -P22.
Aquí puede observar que este escaneo es la adición de nmap ping scan y nmap stealth scan porque, al principio, envía un paquete arp, luego usa bibliotecas nsock y al final implica de nuevo la mitad de la comunicación TCP.
Para que pueda observar la siguiente información que obtuvimos de nmap:
  • ENVIAR / RECEPTAR solicitud ARP y responder respectivamente.
  • Detalles de las bibliotecas Nsock
  • Paquete TCP-SYN de 192.168.1.105:36088 a 192.168.1.103:22.
  • Paquete TCP-SYN / ACK de 192.168.1.103:22 a 192.168.1.105:36088.

Del mismo modo, vimos el mismo patrón de tráfico de red en Wireshark.

De manera similar, también puede elegir la opción –razón con el comando nmap para enumerar la respuesta de la red de host.
Aquí puede observar que el puerto 22 está abierto y cuando recibe el paquete SYN / ACK del host.

Ahora descubra el tráfico de red cuando –disable-arp-ping esté activado.
Para que pueda observar la siguiente información que obtuvimos de nmap:
  • Paquete TCP-SYN ENVIADO en el puerto 80
  • RCVD TCP-RST / ACK desde el puerto 80.
  • Detalles de las bibliotecas Nsock
  • Paquete TCP-SYN de 192.168.1.105:63581 a 192.168.1.103:22.
  • Paquete TCP-SYN / ACK de 192.168.1.103:22 a 192.168.1.105:63851.

Del mismo modo, vimos el mismo patrón de tráfico de red en Wireshark también.

Nmap ICMP Ping Analysis

Atributo –PE envía el paquete de solicitud de eco ICMP [ICMP tipo 8] y recibe el paquete de respuesta de eco ICMP
Aquí puede ver los paquetes de solicitud de eco ICMP ENVIADOS desde el origen 192.168.1.105 al destino 192.168.1.103
Luego, el paquete RCVD ICMP Echo-reply desde el destino 192.168.1.103 y luego utilizó las bibliotecas NSOCK para indicar que los paquetes de solicitud y respuesta reales viajan entre el origen y el enrutador de destino.

Del mismo modo, vimos el mismo patrón de tráfico de red en Wireshark también.

Nmap Stealth Scan Analysis

Capturemos el paquete de red para el escaneo nmap predeterminado, también llamado escaneo oculto, que sigue a la media comunicación TCP

Aquí puede observar la comunicación TCP-half:
  • Paquete TCP-SYN enviado desde la fuente 192.168.1.105 a 192.168.1.103 en el puerto 22.
  • TCP-SYN, paquete ACK recibido de la fuente 192.168.1.103 a 192.168.1.105.
  • Paquete TCP-RST enviado desde la fuente 192.168.1.105 a 192.168.1.103.

Ahora verifiquemos con el parámetro –packet-trace y comparemos el resultado.
Para que pueda observar la siguiente información que obtuvimos de nmap, que es similar a TCP-SYN Ping.
  • ENVIAR / RECEPTAR solicitud ARP y responder respectivamente.
  • Detalles de las bibliotecas Nsock
  • Paquete TCP-SYN de 192.168.1.105:48236 a 192.168.1.103:22.
  • Paquete TCP-SYN / ACK de 192.168.1.103:22 a 192.168.1.105:48236.

Del mismo modo, también puede elegir la opción "–razón" con el comando nmap para enumerar la respuesta de la red de host.
Aquí puede observar que el puerto 22 está abierto y cuando recibe el paquete SYN / ACK del host.

Ahora descubramos el comportamiento del tráfico de red cuando –disable-arp-ping activado.
Aquí puede observar los siguientes paquetes ENVIADOS desde el origen 192.168.1.105 hasta el destino 192.168.1.103.
  • Solicitud de eco de ICMP ENVIADO
  • ENVIADO TCP SYN al puerto 443
  • ENVIADO TCP ACK al puerto 80
  • SENT ICMP solicitud de marca de tiempo
  • Entonces RCVD paquete ICMP Eco-respuesta desde el destino 192.168.1.103
  • Luego usé las bibliotecas NSOCK para indicar que los paquetes de solicitud y respuesta reales viajan entre las fuentes al enrutador de destino.
  • ENVIAR solicitud TCP-SYN en el puerto 22
  • RECV TCP-SYN, ACK responde desde el puerto 22.

Por otro lado, también vimos el mismo patrón de tráfico de red en Wireshark.

Análisis de escaneo TCP Nmap

Sabemos por nuestro conocimiento básico de comunicación de red que un escaneo TCP realiza un protocolo de enlace de tres vías. Aquí se realiza una exploración TCP nmap:
Para que pueda observar la siguiente información que obtuvimos de nmap, que es similar a TCP-SYN Ping.
ENVIAR / RECEPTAR solicitud ARP y responder respectivamente.
Detalles de las bibliotecas Nsock
Se está conectando TCP Localhost desde el host de destino 192.168.1.103:22.
TCP Localhost conectado desde el host de destino 192.168.1.103:22 con éxito.
 

Del mismo modo, también vimos el mismo patrón de tráfico de red en Wireshark.

Del mismo modo, también puede elegir la opción "–razón" con el comando nmap para enumerar la respuesta de la red de host.
Aquí puede observar que el puerto 22 está abierto y cuando recibe el paquete SYN / ACK del host.
 
Ar-themes Logo

XENTURIANS

No hay comentarios:

Publicar un comentario