0

Investigación forense de Nmap Scan utilizando Wireshark

 



 Hoy estamos discutiendo cómo leer bytes hexadecimales de un paquete IP que ayuda a un administrador de red a identificar varios tipos de escaneo NMAP. Pero antes de seguir adelante, lea nuestros dos artículos anteriores " Paquete forense de paquetes de red " y " Escaneo NMAP con Wireshark ", lo ayudará a comprender mejor este artículo.
Requisito
Herramienta de ataque : Nmap
Herramienta de análisis : Wireshark
Vamos a calcular los bytes hexadecimales de Wireshark utilizando la tabla siguiente y, como sabemos, el paquete de red de captura Wireshark principalmente de 4 capas que se describen a continuación en la tabla según el modelo de capa OSI y el modelo de capa TCP / IP.

Escaneo ARP Nmap

¡¡Empecemos!!
Con suerte, el lector debe estar al tanto de las técnicas básicas de escaneo de NMAP; de lo contrario, léalo desde aquí , ahora abra el terminal y ejecute el siguiente comando conocido como "HOST SCAN" para identificar un host en vivo en la red.
Nmap utiliza el distintivo –sP / -sn para las exploraciones de host y difunde el paquete de solicitud ARP para identificar qué IP se asigna a la máquina host en particular. De la imagen a continuación puede observar el mensaje "1 host up".
Funcionamiento de ARP Scan para Live Host
  1. Enviar solicitud ARP para dirección MAC
  2. Reciba la dirección MAC a través del paquete de respuesta ARP

Paso para identificar Nmap ARP Scan
  • Recopilar detalles del encabezado Ethernet
Aquí utilizamos Wireshark para capturar el paquete de red que proviene de la red de la víctima y para analizar solo el paquete ARP, hemos aplicado el filtro " ip.addr == VICTIM IP || arp "como se muestra en la imagen a continuación. Aquí encontrará 2 paquetes arp, básicamente, el primer paquete arp está transmitiendo IP para pedir la dirección MAC de esa red y el segundo paquete es unicast contiene la respuesta de consulta IP.
Ahora leamos el valor hexadecimal del encabezado Ethernet para identificar las direcciones Mac de origen y de destino, además de que también podemos enumerar los bytes utilizados para un paquete encapsulado, para identificar el tipo de Ether que se está utilizando aquí.

Por lo tanto, desde el encabezado Ethernet, podemos concluirlo como un paquete de difusión ARP que solicita la dirección Mac de destino. No debería haber ninguna incertidumbre en relación con la dirección de Mac de origen que es responsable del envío del paquete, pero si hablamos de la dirección de Mac de destino, entonces tenemos ff: ff: ff: ff: ff: ff: ff, lo que significa que el destino exacto es la máquina No está disponible aquí. Más adelante, encontramos que el tipo de Ether 0x0806 resaltado en color amarillo se usa para el protocolo ARP.

Recopilar encabezado ARP (solicitud / respuesta)
Para identificar la exploración ARP, debe investigar algunos parámetros importantes que podrían ayudar a un administrador de red a hacer una suposición correcta en relación con la exploración ARP.
Intente recopilar los siguientes detalles como se indica a continuación:
  • Opcode (solicitud / respuesta)
  • Mac de origen
  • IP de origen
  • MAC de destino
  • IP de destino

Ahora, con la ayuda de la siguiente tabla, puede leer el valor hexadecimal resaltado en la imagen superior e inferior para los paquetes de solicitud y respuesta de ARP, respectivamente.


Escaneo ICMP Nmap

Ahora ejecute el siguiente comando, que se conoce como "HOST SCAN" para identificar un host en vivo en una red enviando una solicitud Ping con la ayuda del paquete ICMP.
El comando anterior enviará un paquete de solicitud ICMP en lugar de una solicitud ARP para identificar el host en vivo en una red.
Funcionamiento de NMAP ICMP Ping cuando un host está activo:
  1. Enviar paquete de solicitudes de eco ICMP.
  2. Recibir respuesta de eco ICMP .
  • Envíe el paquete TCP SYN en cualquier puerto TCP (este puerto rara vez debe ser bloqueado por el administrador de la red).
  1. Reciba TCP RST-ACK de la red del objetivo.
Como resultado, NMAP muestra el mensaje "HOST UP" como se muestra en la imagen a continuación.

Paso para identificar la exploración NMAP ICMP
  • Recopilar detalles de encabezado IP para la versión de protocolo
Para leer los datos de la cabeza de Ethernet, visite nuestro artículo anterior " Paquete forense de red ".
NOTA: el tipo de Ether para IPv4 es 0x0800
Como sabemos que ICMP es el protocolo de capa 3 según el modelo OSI, debemos centrarnos en los siguientes detalles para el análisis forense de ICMP con la ayuda del encabezado IP de un paquete.
Intente recopilar los siguientes detalles como se indica a continuación:
  1. Longitud del encabezado IP 20 Bytes (5 bits * 4 = 20 bytes)
  2. Protocolo (01 para ICMP)
  3. IP de origen
  4. IP de destino
De la imagen a continuación puede observar la información hexadecimal del campo de encabezado IP y utilizando la tabla dada puede estudiar estos valores para obtener su valor original.


La longitud del encabezado IP siempre se da en forma de bit y aquí es de 5 bits, que también es la longitud mínima del encabezado IP y para que sea 20 bytes múltiples 5 con 4, es decir, 5 * 4 bytes = 20 bytes.
Identificar el tipo de mensaje ICMP (solicitud / respuesta)
Ahora hemos discutido anteriormente de acuerdo con la técnica de exploración Nmap ICMP, el primer paquete debe ser un paquete de solicitud de eco ICMP y un segundo paquete debe ser un paquete de respuesta de eco ICMP .

Ahora, con la ayuda de la siguiente tabla, puede leer el valor hexadecimal resaltado en la imagen superior e inferior para los paquetes de solicitud y respuesta ICMP respectivamente.


Identificar banderas TCP
Como se discutió anteriormente después de la respuesta de ICMP, el tercer paquete debe ser del paquete TCP-SYN y el cuarto debe ser de TCP-RST / ACK . Habíamos visto en nuestro artículo anterior que el valor hexadecimal de todos los indicadores TCP son diferentes entre sí, por lo que si estamos hablando del indicador TCP-SYN, entonces su valor hexadecimal debería ser 0x02.
De la tabla a continuación puede observar la secuencia del indicador TCP y cómo se configuran los bits de estos indicadores para enviar el paquete al puerto de destino.
Por ejemplo, si encontró el paquete TCP SYN, el bit para el indicador SYN se establece en 1 para el cual el valor binario será 000000010 y su hexadecimal será 0x02.
NS CWR ECE URG ACK PSH RST SYN ALETA
0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0
En algún momento obtendrá la combinación de dos o más marcas en el encabezado TCP, por lo que en ese escenario, tome la ayuda de la siguiente tabla para leer el valor hexadecimal de dicho paquete para identificar los bits de banderas TCP que se están estableciendo 1.
Por ejemplo, si encontró paquetes TCP SYN / ACK , entonces indica que los indicadores SYN y ACK están configurados 1 para los cuales el valor binario será 000010010 y su hexadecimal será 0x12
NS CWR ECE URG ACK PSH RST SYN ALETA
0 0 0 0 0 0 0 0 1 0 0 0 0 1 0 0
Por lo tanto, diseño la tabla a continuación para hacerle saber más sobre el valor hexadecimal cuando se establecen dos o más de dos banderas 1.


La imagen dada arriba contiene el valor hexadecimal de los paquetes TCP-SYN y la imagen que se muestra a continuación contiene el valor hexadecimal del paquete TCP-RST / ACK a partir del cual podemos calcular el puerto de origen y el puerto de destino del paquete, respectivamente, como el que se muestra a continuación.

¡Conclusión! Entonces, como se indicó anteriormente con respecto al funcionamiento de la exploración NMAP ICMP, obtuvimos el valor hexadecimal para cada paquete en la misma secuencia. La obtención del valor hexadecimal para cada paquete en dicha secuencia le indica al probador de penetración que Alguien ha elegido el escaneo NMAP ICMP para la enumeración de la red.

Exploración NMAP predeterminada (exploración oculta)

Aquí vamos con el método de exploración predeterminado para enumerar el estado "abierto" de cualquier puerto específico
Trabajo de exploración predeterminada para puerto abierto:
  1. Enviar paquete TCP-SYN
  2. Recibir TCP-SYN / ACK
  3. Enviar paquete TCP-RST
También se conoce como Escaneo TCP medio abierto, ya que no envía el paquete ACK después de recibir el paquete SYN / ACK.

Paso para identificar la exploración predeterminada de NMAP (exploración oculta)
  • Recopilar detalles del encabezado IP para la versión del protocolo
Para leer los datos de la cabeza de Ethernet, visite nuestro artículo anterior " Paquete forense de red ".
NOTA: El tipo de Ether para IPv4 es 0x0800.
Intente recopilar los siguientes detalles como se indica a continuación:
  1. Longitud del encabezado IP 20 Bytes (5 bits * 4 = 20 bytes)
  2. Protocolo (6 para TCP)
  3. IP de origen
  4. IP de destino

De la imagen a continuación puede observar información hexadecimal del campo de encabezado IP y, utilizando la tabla dada, puede estudiar estos valores para obtener su valor original.

Detalles del encabezado TCP de análisis
Dado que de la imagen de arriba teníamos que obtener el IP y el protocolo de origen y destino utilizados para la comunicación, es decir, TCP, ahora necesitamos identificar el puerto de origen y destino y el indicador TCP utilizado para establecer la conexión entre dos sistemas.
En la imagen hemos resaltado el puerto de origen en color "marrón claro" y el puerto de destino en "color amarillo", puede usar la tabla siguiente para leer el valor hexadecimal de la imagen dada.

Entonces llegamos a saber que aquí se usa el paquete TCP-SYN para enviar la solicitud de conexión en el Puerto 80.

Una vez más, leemos el siguiente paquete y luego aquí encontramos que el valor hexadecimal 12 indica que TCP-SYN / ACK ha estado enviando desde el puerto 80.

Tome la ayuda dada en la tabla anterior para leer el valor hexadecimal de la imagen dada. El valor hexadecimal 12 para el indicador TCP se usa para SYN + ACK como se explicó anteriormente, y obtenemos 0x12 al agregar el valor hexadecimal "0x02 de SYN" y "0x10 de ACK".

En la imagen que se muestra a continuación, llegamos a saber que el paquete TCP-RST se usa para enviar la conexión de restablecimiento al puerto 80.

¡Conclusión! Entonces, como se declaró anteriormente con respecto al funcionamiento de la exploración predeterminada de NMAP o la exploración sigilosa de NMAP, tuvimos que obtener el valor hexadecimal para cada paquete en la misma secuencia. Obtener el valor hexadecimal para cada paquete en dicha secuencia le indica al probador de penetración que Alguien ha elegido Escanear por defecto NMAP para la enumeración de red.

Escaneo TCP Nmap

Aquí vamos con el escaneo TCP para enumerar el estado de cualquier puerto específico
Trabajo de exploración predeterminada para puerto abierto:
  1. Enviar paquete TCP-SYN
  2. Recibir TCP-SYN / ACK
  1. Enviar paquete TCP-ACK
  2. Enviar paquete TCP-RST / ACK

Paso para identificar el escaneo TCP de NMAP
  • Recopilar detalles del encabezado IP para la versión del protocolo
Para leer los datos de la cabeza de Ethernet, visite nuestro artículo anterior " Paquete forense de red ".
NOTA: El tipo de Ether para IPv4 es 0x0800 .
Intente recopilar los siguientes detalles como se indica a continuación:
  1. Longitud del encabezado IP 20 bytes (5 bits * 4 = 20 bytes)
  2. Protocolo (06 para TCP)
  3. IP de origen
  4. IP de destino

Es bastante similar a la exploración sigilosa de NMAP y con una tabla dada puede estudiar estos valores para obtener su valor original.

  • Detalles del encabezado TCP de análisis
La exploración TCP de NMAP sigue el protocolo de enlace de 3 vías de la conexión TCP para el puerto abierto de enumeración. La identificación del puerto de origen y destino junto con el valor hexadecimal de la bandera ( TCP-SYN ) son similares a los anteriores.

Entonces llegamos a saber que aquí se usa el paquete TCP-SYN para enviar la solicitud de conexión en el Puerto 80.

Nuevamente leemos el siguiente paquete y luego encontramos que el valor hexadecimal 12 indica que TCP-SYN / ACK se ha enviado a través del puerto 80.


La única diferencia entre Stealth Scan y TCP scan es que aquí un paquete de bandera ACK es enviado por la máquina fuente que inicia la comunicación TCP. Nuevamente leemos el siguiente paquete y luego aquí encontramos que el valor hexadecimal 0x10 indica que TCP-ACK ha sido enviado a través del puerto 80.

¡Conclusión! Entonces, como se indicó anteriormente con respecto al funcionamiento del escaneo TCP de NMAP, obtuvimos el valor hexadecimal para cada paquete en la misma secuencia. Obtener el valor hexadecimal para cada paquete en dicha secuencia le indica al probador de penetración que Alguien ha elegido Escanear por defecto NMAP para la enumeración de red.
NOTA: Para el paquete TCP-RST / ACK, el valor hexadecimal será "0x14" enviado por la máquina atacante

Escaneo FIN de Nmap

Aquí vamos con el escaneo TCP-FIN para enumerar el estado "ABIERTO" de un puerto en particular en cualquier sistema basado en Linux, por lo tanto, ejecute el siguiente comando.
Trabajo de FIN Scan para puerto abierto: envíe 2 paquetes de TCP-FIN en un puerto específico
FIN es parte del indicador TCP y NMAP utilizó el indicador FIN para iniciar la comunicación TCP en lugar de seguir la comunicación de enlace de tres vías.

Paso para identificar el escaneo NMAP FIN
  • Recopilar detalles del encabezado IP para la versión del protocolo
Para leer los datos de la cabeza de Ethernet, visite nuestro artículo anterior " Paquete forense de red ".
NOTA: el tipo de Ether para IPv4 es 0x0800
Intente recopilar los siguientes detalles como se indica a continuación:
  1. Longitud del encabezado IP 20 Bytes (5 bits * 4 = 20 bytes)
  2. Protocolo (06 para TCP)
  3. IP de origen
  4. IP de destino
Es bastante similar a NMAP sobre el escaneo y utilizando la tabla a continuación puede estudiar estos valores para obtener su valor original.

  • Detalles del encabezado TCP de análisis
Ahora permite identificar el puerto de origen y destino junto con el valor hexadecimal de la bandera ( TCP-FIN ) es similar al anterior.

Entonces, a través de la imagen a continuación y con la ayuda de una tabla, llegamos a saber que aquí se usa el paquete TCP-FIN para enviar la solicitud de conexión en el Puerto 22.
Conclusión: Entonces, como se declaró anteriormente con respecto al funcionamiento del escaneo FIN de NMAP, obtuvimos el valor hexadecimal para cada paquete en la misma secuencia.
La obtención del valor hexadecimal para cada paquete en dicha secuencia le indica al probador de penetración que alguien ha elegido la exploración FIN de NMAP para la enumeración de la red.
NOTA: Si encontró el primer paquete FIN (0x01) y el segundo paquete RST (0x04), entonces indica "Puerto cerrado" en la red de destino.

Escaneo Nmap NULL

Aquí vamos con el escaneo TCP nulo para enumerar el estado "ABIERTO" de cualquier puerto específico en cualquier sistema basado en Linux.
Funcionamiento de Null Scan para puerto abierto: envíe 2 paquetes de TCP-NONE en un puerto específico
Aquí NMAP utilizó el indicador NINGUNO (Sin indicador) para iniciar la comunicación TCP y el bit de cada indicador se establece en "0" en lugar de seguir la comunicación de enlace de tres vías.

Paso para identificar la exploración nula de NMAP
  • Recopilar detalles del encabezado IP para la versión del protocolo
Para leer los datos de la cabeza de Ethernet, visite nuestro artículo anterior " Paquete forense de red ".
NOTA: el tipo de Ether para IPv4 es 0x0800
Intente recopilar los siguientes detalles como se indica a continuación:
  1. Longitud del encabezado IP 20 Bytes (5 bits * 4 = 20 bytes)
  2. Protocolo (06 para TCP)
  3. IP de origen
  4. IP de destino
Es bastante similar al NMAP anterior al escaneo y, utilizando la tabla dada, puede estudiar estos valores para obtener su valor original.



  • Detalles del encabezado TCP de análisis
Ahora permite identificar el puerto de origen y destino junto con el valor hexadecimal de la bandera ( TCP-NINGUNO ) es similar al anterior.

Entonces, a través de la imagen a continuación y con la ayuda de una tabla, llegamos a saber que aquí se usa el paquete TCP-NINGUNO para enviar la solicitud de conexión en el Puerto 22.
Conclusión: Entonces, como se indicó anteriormente con respecto al funcionamiento del escaneo NMAP NINGUNO, obtuvimos el valor hexadecimal para cada paquete en la misma secuencia.
Obtener el valor hexadecimal para cada paquete en dicha secuencia le indica al probador de penetración que alguien ha elegido la exploración NMAP NINGUNO elegido para la enumeración de la red.
NOTA: Si encontró el primer paquete NINGUNO (0x00) y el segundo paquete RST (0x04), entonces indica "Puerto cerrado" en la red de destino.

Nmap XMAS Scan

Aquí vamos con el escaneo XMAS para enumerar el estado "ABIERTO" de cualquier puerto específico en cualquier sistema basado en Linux
Funcionamiento de XMAS Scan para puerto abierto: envíe 2 paquetes de TCP Flags en una combinación de FIN, PSH, URG en el puerto específico.
Aquí NMAP usó 3 banderas TCP (FIN, PSH y URG) para iniciar la comunicación TCP y el bit de cada bandera se establece en "1" en lugar de seguir las comunicaciones de enlace de tres vías.

Paso para identificar el escaneo NMAP XMAS
  • Recopilar detalles del encabezado IP para la versión del protocolo
Para leer los datos de la cabeza de Ethernet, visite nuestro artículo anterior " Paquete forense de red ".
NOTA: el tipo de Ether para IPv4 es 0x0800
Intente recopilar los siguientes detalles como se indica a continuación:
  1. Longitud del encabezado IP 20 Bytes (5 bits * 4 = 20 bytes)
  2. Protocolo (06 para TCP)
  3. IP de origen
  4. IP de destino
Es bastante similar al NMAP anterior al escaneo y, utilizando la tabla dada, puede estudiar estos valores para obtener su valor original.



  • Detalles del encabezado TCP de análisis
Ahora permite identificar el puerto de origen y destino junto con el valor hexadecimal de la bandera ( TCP-XMAS ) es similar al anterior.

Entonces, a través de la imagen a continuación y con la ayuda de la tabla, llegamos a saber que aquí el paquete de banderas TCP {FIN, PSH, URG} se usa para enviar la solicitud de conexión en el Puerto 22.
¡Conclusión! Entonces, como se indicó anteriormente con respecto al funcionamiento de la exploración NMAP XMAS, obtuvimos el valor hexadecimal para cada paquete en la misma secuencia.
La obtención del valor hexadecimal para cada paquete en dicha secuencia le indica al probador de penetración que alguien ha escaneado Elegir NMAP XMAS para la enumeración de la red.
NOTA:
  • Si encontró el primer paquete {FIN, PSH, URG} (0x29) y el segundo paquete RST (0x04), indique "Puerto cerrado" en la red de destino.
  • La exploración NMAP FIN, NMAP NULL y NMAP XMAS solo son aplicables en sistemas basados ​​en Linux

Escaneo UDP Nmap

Aquí vamos con el escaneo XMAS para enumerar el estado de cualquier puerto específico en cualquier sistema basado en Linux
Funcionamiento de XMAS Scan para puerto abierto: envíe 2 paquetes de UDP en un puerto específico
Es bastante diferente del proceso de comunicación TCP porque aquí no se utiliza ningún indicador para establecer una conexión o iniciar una solicitud de conexión con la red del objetivo.

Paso para identificar el escaneo UDP NMAP
  • Recopilar detalles del encabezado IP para la versión del protocolo
Para leer los datos de la cabeza de Ethernet, visite nuestro artículo anterior " Paquete forense de red ".
NOTA: el tipo de Ether para IPv4 es 0x0800
Intente recopilar los siguientes detalles como se indica a continuación:
  1. Longitud del encabezado IP 20 Bytes (5 bits * 4 = 20 bytes)
  2. Protocolo (11 para UDP)
  3. IP de origen
  4. IP de destino
Es bastante similar a NMAP anterior Escanear como "encabezado IP" y la información de "encabezado Ethernet" será la misma, ya sea comunicación TCP o comunicación UDP y utilizando la tabla dada puede estudiar estos valores para obtener su valor original.

Básicamente, 11 es el uso del valor hexadecimal para el protocolo UDP que es bastante útil para identificar el escaneo NMAP UDP a partir del método de escaneo remanente.

  1. Detalles del encabezado UDP de análisis
Ahora permite identificar el puerto de origen y destino como se hizo anteriormente en Escaneo TCP.

¡Conclusión! La obtención del valor hexadecimal para cada paquete en dicha secuencia le indica al probador de penetración que alguien ha elegido la exploración UDP NMAP para la enumeración de red.
NOTA: Si encontró que el 1er paquete UDP y el 2do UDP con el puerto de mensajes ICMP no están accesibles, entonces indica "Puerto cerrado" en la red de destino.
Ar-themes Logo

XENTURIANS

No hay comentarios:

Publicar un comentario