XENTURIANS: Escaneo en red usando NMAP (Guía para principiantes)

Nmap ("Network Mapper") es una utilidad gratuita y de código abierto (licencia) para el descubrimiento de redes y la auditoría de seguridad. Muchos administradores de sistemas y redes también lo encuentran útil para tareas como el inventario de la red, la administración de los horarios de actualización del servicio y la supervisión del tiempo de actividad del host o del servicio. Nmap utiliza paquetes IP sin procesar de formas novedosas para determinar qué hosts están disponibles en la red, qué servicios (nombre y versión de la aplicación) están ofreciendo esos hosts, qué sistemas operativos (y versiones de SO) están ejecutando, qué tipo de paquetes de filtros / firewalls están en uso, y docenas de otras características. Fue diseñado para escanear rápidamente redes grandes, pero funciona bien con hosts únicos. Nmap se ejecuta en todos los principales sistemas operativos de la computadora, y los paquetes binarios oficiales están disponibles para Linux, Windows y Mac OS X.
Para más detalles visite nmap.org

Escaneo de host

El analizador de penetración utiliza el escaneo de host para identificar el host activo en una red mediante el envío de paquetes de solicitud ARP a todos los sistemas de esa red. Como resultado, mostrará un mensaje "El host está activo" al recibir la dirección MAC de cada host activo.
Sintaxis: nmap -sP <rango de IP de destino>
nmap -sn <rango de IP de destino>
La sintaxis anterior describe cómo ejecutar una exploración de host para descubrir hosts en vivo en una red utilizando Nmap. Por defecto, nmap está incorporado en kali Linux, ahora abra el terminal e ingrese el siguiente comando que enviará el paquete de solicitud ARP a cada sistema uno por uno.

nmap -sP 192.168.1.1-225

1	nmap - sP 192.168.1.1 - 225

De la imagen a continuación puede observar el resultado de la respuesta generada por nmap para el host activo.

Cómo funciona
Nmap usa el distintivo –sP / -sn para escanear el host y transmitir el paquete de solicitud ARP para identificar la IP asignada a una máquina host particular.
Transmitirá la solicitud ARP para una IP particular [supongamos que 192.168.1.100] en esa red puede ser parte del rango de IP [192.168.1.1-225] o CIDR [192.168.1.1/24 para la clase C] se utiliza para indicar que queremos escanear todas las 256 IP en nuestra red. Luego, el host activo unidifundirá el paquete ARP enviando su dirección MAC como respuesta, lo que da un mensaje de que el host está activo .

Escaneo de puertos / escaneo TCP

Si los probadores de penetración desean identificar el estado abierto o cerrado de un puerto en particular en la máquina de destino, entonces deben ir con la exploración de puertos nmap.
Estado del puerto: después de escanear, puede ver algunos resultados con un estado de puerto como filtrado, abierto, cerrado, etc. Permítanme explicar esto.

Abierto: Esto indica que una aplicación está escuchando conexiones en este puerto.
Cerrado: Esto indica que se recibieron las sondas pero no hay ninguna aplicación escuchando en este puerto.
Filtrado: esto indica que las sondas no se recibieron y que el estado no se pudo establecer. También indica que las sondas están siendo eliminadas por algún tipo de filtrado.
Sin filtrar: Esto indica que se recibieron las sondas pero no se pudo establecer un estado.
Abierto / Filtrado: Esto indica que el puerto fue filtrado o abierto pero Nmap no pudo establecer el estado.
Cerrado / filtrado: Esto indica que el puerto fue filtrado o cerrado pero Nmap no pudo establecer el estado.

Sintaxis: nmap -p [número de puerto] <rango de IP de destino>
nmap -sT [número de puerto] <rango de IP de destino>

nmap -p135 192.168.1.127

1	nmap - p135 192.168.1.127

El comando anterior intentará conectarse con el puerto 135 como resultado si el puerto está abierto, entonces mostrará el estado "abierto" y "servicio" ejecutándose en ese puerto en particular.

Cómo funciona
Nmap usa el argumento -p para definir el rango de puertos a escanear. Esta bandera se puede combinar con cualquier método de escaneo. En el ejemplo anterior, usamos el argumento –p135 para indicarle a Nmap que solo estamos interesados en el puerto 135. Puede aplicarlo el CIDR / 24 en 192.168.1.1/24 que se usa para indicar que queremos escanear todos Las 256 IPs en nuestra red.
Hay varios formatos aceptados para el argumento –p:

Lista de puertos

nmap -p135,139  192.168.1.127

1	nmap - p135 , 139 192.168.1.127

Si los probadores de penetración desean escanear más de un puerto de destino, entonces deben ir con Escaneo de lista de puertos donde pueden agregar múltiples puertos para escanear. Este escaneo es bastante útil para identificar el estado de múltiples puertos seleccionados que también describen el estado "host está activo" si se encuentra abierto un puerto único.

rango de puertos

Con el escaneo de rango de puertos puede escanear un rango particular de puertos de la red de destino según sus necesidades.

nmap -p1-1000 192.168.1.127

1	nmap - p1 - 1000 192.168.1.127

El comando anterior realizará el escaneo desde el puerto número 1 hasta el puerto número 1000 e identificará el estado y el servicio para los puertos abiertos.

TODOS los puertos

Si los probadores de penetración desean escanear todos los puertos 65535; entonces deben ejecutar el siguiente comando que enumerará los puertos abiertos del sistema de destino:
Sintaxis: nmap -p- <target>
La sintaxis anterior se usa para escanear todos los puertos de la red de destino, tenga paciencia mientras ejecuta el formato anterior porque llevará un tiempo enumerar el puerto abierto o también puede ejecutar el siguiente comando que usa el parámetro "–open" para realizar la misma tarea a fin de ahorrar tiempo.

nmap -p1-65535 192.168.1.127 --open

1	nmap - p1 - 65535 192.168.1.127 -- open

Puertos específicos por protocolos

Por defecto, el escaneo de puertos prefiere enumerar el estado de los puertos TCP, pero si desea escanear el puerto TCP y el puerto UDP, ejecute el siguiente comando que se muestra a continuación:
Sintaxis: nmap -pT: 25, U: 53 <target>

Nombre del servicio portuario

Si no conoce el número de puerto exacto para la enumeración, también puede mencionar el nombre del servicio para el escaneo del estado del puerto.
Sintaxis: nmap –p [servicio] <target>

nmap -p msrpc 192.168.1.127

1	nmap - p msrpc 192.168.1.127

De la imagen dada puede observar que se ha obtenido el mismo resultado ejecutando el comando anterior sin referir ningún número de puerto.

Escaneo UDP

Los servicios UDP se ignoran en su mayoría durante las pruebas de penetración, pero los probadores de penetración fina saben que a menudo exponen información esencial del host o que incluso pueden ser vulnerables si se utilizan para comprometer un host. Este método muestra cómo utilizar Nmap para enumerar todos los puertos UDP abiertos en un host.
Sintaxis: nmap –sU <target>

nmap -sU 192.168.1.127

1	nmap - sU 192.168.1.127

De la imagen a continuación puede observar el resultado de la exploración del puerto UDP.

nmap -sU -p 137 192.168.1.127

1	nmap - sU - p 137 192.168.1.127

Para escanear un puerto UDP en particular, se sugiere que use el indicador -p para la selección de Puerto. Aquí puede observar que hemos elegido el puerto 137, que es un puerto UDP para el servicio NetBIOS.
Hay muchas maneras de realizar el escaneo UDP según sus requisitos, por ejemplo, lea el método siguiente para realizar el escaneo UDP:
Rango de puerto UDP
Si desea escanear múltiples puertos UDP o el rango de puertos UDP, utilice el indicador –p para abordar el rango del puerto.
Sintaxis: nmap -p1-500 -sU <target>
TODO PUERTO UDP
Sintaxis: nmap -sU -p- <target>
La sintaxis anterior es aplicable para escanear todos los puertos UDP de la red de destino.
Cómo funciona
El escaneo UDP funciona enviando un paquete UDP a cada puerto de destino y analiza la respuesta para determinar el estado del puerto; Es una conexión sin protocolo. Para algunos puertos comunes como 53 y 161, se envía una carga útil específica del protocolo para aumentar la tasa de respuesta, un servicio responderá con un paquete UDP, lo que demuestra que está "abierto". Si el puerto está "cerrado", se recibe un mensaje ICMP Port Unreachable desde el destino. Si no se recibe respuesta después de las retransmisiones, el puerto se clasifica como "abierto | filtrado". Esto significa que el puerto podría estar abierto, o tal vez los filtros de paquetes están bloqueando la comunicación.

Exploración de detección del sistema operativo

Además de la enumeración de puertos abiertos, nmap es bastante útil en las huellas digitales del sistema operativo. Este análisis es muy útil para el probador de penetración con el fin de concluir posibles vulnerabilidades de seguridad y determinar las llamadas disponibles del sistema para establecer las cargas útiles de explotación específicas.
Sintaxis: nmap -O <target>

nmap -O 192.168.1.127

1	nmap - O 192.168.1.127

El comando anterior volcará la siguiente información:
Tipo de dispositivo: todas las huellas digitales se clasifican con uno o más tipos de dispositivos de alto nivel, como enrutador, impresora, firewall, uso general. Estos se describen con más detalle en la sección denominada "Clasificación de dispositivos y sistemas operativos (líneas de clase)". Si observa la siguiente imagen aquí "Tipo de dispositivo: uso general".
En ejecución: este campo también está relacionado con el esquema de clasificación del sistema operativo descrito en la sección denominada "Clasificación de dispositivos y sistemas operativos (líneas de clase)". Muestra la familia del sistema operativo (Windows en este caso) y la generación del sistema operativo si está disponible. Si hay varias familias de SO, están separadas por comas. Cuando Nmap no puede reducir las generaciones del sistema operativo a una opción específica, las opciones están separadas por el símbolo de canalización ('|') Los ejemplos incluyen OpenBSD 3.X, NetBSD 3.X | 4.X y Linux 2.4.X | 2.5.X | 2.6.X.
Si volverá a ver la imagen que se muestra a continuación, aquí observará que las generaciones de SO se especifican como 7 | 2008 | 8.1
OS CPE: muestra una representación de enumeración de plataforma común (CPE) del sistema operativo cuando está disponible. También puede tener una representación CPE del tipo de hardware. El CPE del sistema operativo comienza con cpe: / o y el CPE de hardware comienza con cpe: / h.
Detalles del sistema operativo: esta línea proporciona la descripción detallada de cada huella digital que coincida. Si bien el tipo de dispositivo y las líneas en ejecución provienen de listas enumeradas predefinidas que son fáciles de analizar por una computadora, la línea de detalles del sistema operativo contiene datos de forma libre que son útiles para que un humano lea el informe. Esto puede incluir números de versión más exactos, modelos de dispositivos y arquitecturas específicas para una huella digital determinada.

Cómo funciona
La opción -O informar a Nmap para permitir la detección del sistema operativo que identifica una amplia variedad de sistemas, incluidos enrutadores residenciales, cámaras web IP, sistemas operativos y muchos otros dispositivos de hardware
También puede ejecutar el siguiente comando para la detección del sistema operativo
Sintaxis: nmap -O -p- –osscan-guess <target>
En caso de que falle la detección del sistema operativo, puede usar el argumento –osscan-guess para intentar adivinar el sistema operativo:
Para iniciar la detección del sistema operativo solo cuando las condiciones de escaneo son ideales, use el argumento –osscan-limit:
Sintaxis: nmap -O –osscan-limit <target>

Escaneo de versión

Al realizar evaluaciones de vulnerabilidad de sus empresas o clientes, realmente desea saber qué servidores y versiones de correo y DNS se están ejecutando. Tener un número de versión preciso ayuda dramáticamente a determinar a qué vulnerabilidades es vulnerable un servidor. La detección de versiones le ayuda a obtener esta información. Las huellas digitales de un servicio también pueden revelar información adicional sobre un objetivo, como los módulos disponibles y la información específica del protocolo. El escaneo de versiones también se clasifica como " Captura de banner " en las pruebas de penetración.
Sintaxis : nmap -sV <target>
El siguiente comando volcará el resultado de la versión instalada de los servicios en ejecución de la máquina de destino.

nmap -sV 192.168.1.127

1	nmap - sV 192.168.1.127

De la imagen a continuación se puede observar que ha mostrado la versión instalada actual de la aplicación en ejecución. . Se incluirá información adicional entre paréntesis. El campo de nombre de host y dos campos más que la detección de versión puede descubrir son el sistema operativo y el tipo de dispositivo se informa en una línea de Información de servicio que sigue a la tabla de puertos.

Escaneo de versión de puerto específico
Para escanear la versión de un puerto o servicio en particular, puede usar el argumento –p en el comando como se muestra a continuación.
Sintaxis: nmap -sV -p135 <target>
Cómo funciona
El indicador –sV informa a nmap para que funcione enviando diferentes consultas desde nmap-service-sondas a la lista de puertos abiertos supuestos para la captura de pancartas. Como resultado, dará salida como una tabla que tiene una columna adicional llamada VERSIÓN, que muestra la versión particular del servicio. Se incluirá información adicional entre paréntesis.

Escaneo de protocolo

La exploración del protocolo IP es bastante útil para determinar qué protocolos de comunicación está utilizando un host. Este método muestra cómo usar Nmap para enumerar todos los protocolos IP, donde envía un paquete IP sin encabezado de protocolo adicional a cada protocolo en la máquina de destino. Para los protocolos IP TCP, ICMP, UDP, IGMP y SCTP, Nmap establecerá valores de encabezado válidos, pero para el resto, se usará un paquete IP vacío.
Sintaxis: nmap -sO <target>
Los resultados mostrarán qué protocolos son compatibles, junto con sus estados.

nmap -sO 192.168.1.254

1	nmap - sO 192.168.1.254

A partir de la imagen que se muestra a continuación, puede observar el resultado de la exploración del protocolo para el estado abierto y abierto.

Cómo funciona
El indicador -sO le dice a Nmap que realice una exploración de protocolo IP. Este tipo de exploración se repite en todos los protocolos que se encuentran en el archivo nmap-protocolos, y crea paquetes IP para cada entrada.
Para verificar el estado del puerto, Nmap clasifica las diferentes respuestas recibidas, de la siguiente manera:

Cuando recibió un tipo de error de protocolo inalcanzable ICMP = 3 o código = 2, el estado del puerto se marca como "cerrado".
Los errores de ICMP inalcanzables tipo = 3 o código 1,3,9,10 o 13 indican que un estado de puerto está "filtrado".
Si no se recibe respuesta, el estado del puerto se marca como "filtrado | abierto".
Cualquier otra respuesta hará que el estado del puerto se marque como "abierto".

Para especificar qué protocolos deben analizarse, podemos establecer el argumento -p:
Sintaxis: nmap -p1,3,5 -sO <target>
nmap -p1-10 -sO <target>

Exploración rápida

La opción -F escanea solo los puertos enumerados en el archivo nmap_services (o el archivo de protocolos si el tipo de escaneo es -sO). Esto es mucho más rápido que escanear los 65.535 puertos.
Si compara el tiempo escaneado con el resultado escaneado anterior, notará la diferencia de tiempo entre estos escaneos, además, no ha mostrado puertos abiertos de otros servicios en ejecución que el escaneo anterior ha mostrado.
Sintaxis: nmap –F <target>

nmap –F 192.168.1.127

1	nmap – F 192.168.1.127

De la imagen a continuación puede observar el tiempo escaneado : 14,42 segundos, mientras que en el método de escaneo anterior [escaneo de protocolo] tiempo escaneado: 307,45 segundos

Escaneo de plantilla de tiempo

La opción de temporización principal se configura a través del parámetro -T si desea tener más control sobre la temporización para poder terminar el escaneo más rápido. Sin embargo, Nmap ajusta sus tiempos automáticamente según la velocidad de la red y los tiempos de respuesta de la víctima.
Nmap ofrece un enfoque más simple, con seis plantillas de temporización. Puede especificarlos con la opción -T y su número (0–5) o su nombre como se muestra a continuación:

T0: paranoico
T1: furtivo
T2: educado
T3: normal
T4: agresivo
T5: loco

Sintaxis: nmap T [opción] <target>

nmap –T4 192.168.1.127

1	nmap – T4 192.168.1.127

El comando anterior realizará un escaneo agresivo y reducirá el tiempo de escaneo para la enumeración del sistema del objetivo, aquí, a partir de la imagen a continuación, puede observar el tiempo escaneado: 14.36 segundos.

Excluir escaneo

Habrá circunstancias en las que se requiera una excepción de host para evitar el escaneo de ciertas máquinas. Tal como el sitio web del gobierno o IP, es posible que no tenga la autorización o que el host ya haya sido escaneado. Opción Nmap: excluir ayuda para eliminar un host o una lista de hosts del escaneo completo de la red.
Sintaxis: nmap <IP range> –exclude <target IP>
La sintaxis anterior define que, desde un rango dado de IP, no realice el escaneo de la IP objetivo excluida, de lo contrario, volcará el resultado escaneado para las IP restantes.

nmap -F 192.168.1.110-255 --exclude 192.168.1.114

1	nmap - F 192.168.1.110 - 255 -- exclude 192.168.1.114

El comando anterior realizará el escaneo de todas las IP entre 192.168.1.110 y 192.168.1.255, excepto "192.168.1.114", que puede confirmar a partir de la imagen a continuación.

Cómo funciona
Los argumentos -F –excluyen 192.168.1.114 informan a Nmap para que realice un escaneo rápido de todas las IP [entre 192.168.1.110 y 192.168.1.255] en esta red privada, excluyendo las máquinas con las IP 192.168.1.114.

nmap -sV -O --exclude-file remove.txt 192.168.1.1/24

1	nmap - sV - O -- exclude - file remove . txt 192.168.1.1 / 24

Excluyendo una lista de hosts de sus escaneos, Nmap también admite el argumento –exclude-file <filename> para excluir los destinos enumerados en <filename>

Escaneo agresivo

Esta opción habilita opciones avanzadas y agresivas adicionales. Actualmente, esto permite la detección del sistema operativo (-O), el escaneo de versiones (-sV), el escaneo de scripts (-sC) y traceroute (–traceroute). Esta opción solo habilita las funciones, y no las opciones de temporización (como -T4) u opciones de verbosidad (-v) que también desee. Puede ver esto utilizando uno de los siguientes comandos:
Sintaxis: nmap -A <target>

nmap –A 192.168.1.127

1	nmap – A 192.168.1.127

Si observa la imagen a continuación, observará que el resultado obtenido es la combinación de escaneo múltiple. Como su "versión" de volcado de la aplicación en ejecución, "huella digital del sistema operativo", "traceroute" y "escaneo de scripts de host" g, que muestra información muy esencial relacionada con el sistema host.

Cómo funciona
El argumento: informe a nmap para realizar un escaneo agresivo avanzado para enumerar la versión del servicio en ejecución, la detección del sistema operativo, el traceroute de salto y el escaneo de script de host de la máquina host. Por lo tanto, llevará un tiempo escanear, puede agregar la plantilla de temporización –T4 para aumentar la velocidad de escaneo.

Escaneo de lista

Cuando desee escanear varios hosts para realizar más de un escaneo, se utiliza la opción –iL que admite nmap para cargar los objetivos desde un archivo externo. Solo necesita agregar toda la IP dirigida en un archivo de texto y guardarla en una ubicación.

Para cargar los destinos desde el archivo destinos.txt, se puede usar el siguiente comando:
Sintaxis : nmap -iL destinos.txt [ruta del archivo]

nmap -iL /root/Desktop/scan.txt

1	nmap - iL / root / Desktop / scan . txt

Fuente
https://nmap.org/book/osdetect-usage.html

XENTURIANS

Escaneo en red usando NMAP (Guía para principiantes)