En este artículo, aprenderá cómo capturar paquetes de red usando Wireshark cuando un atacante está escaneando el objetivo usando el método de escaneo de puertos NMAP. Aquí notará cómo Wireshark capturó diferentes paquetes de tráfico de red para abrir y cerrar puertos.
Nota : La práctica a continuación se realiza con la misma dirección IP (192.168.1.102), que notará que es común para nuestra máquina Windows y Linux, en este caso puede diferenciarlas por sus direcciones MAC.
¡¡¡Empecemos!!!

Escaneo TCP

Tcp scan buscará el puerto TCP como el puerto 22, 21, 23, 445, etc. y garantizará el puerto de escucha (abierto) a través de una conexión de enlace de 3 vías entre el puerto de origen y el de destino. Si el puerto está abierto, la fuente realizó una solicitud con el paquete SYN , un destino de respuesta envió paquetes SYN, ACK y luego la fuente envió paquetes ACK , en la última fuente nuevamente envió paquetes RST, ACK .

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
De la imagen dada puede observar el resultado de que el puerto 445 está abierto .

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark.
Notará que ha capturado la misma secuencia de la bandera como se describe arriba:

• El origen envió el paquete SYN al destino
• Destino enviado SYN, ACK a la fuente
• El origen envió el paquete ACK al destino
• La fuente nuevamente envió RST, ACK al destino

Vamos a averiguar el tráfico de red para el puerto cercano. De acuerdo con una imagen dada, muestra que si el puerto de escaneo está cerrado, la conexión de enlace de 3 vías no sería posible entre el origen y el destino.
La fuente envió el paquete SYN y si el puerto está cerrado, el receptor recibirá una respuesta a través de RST, ACK.

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
A partir de la imagen dada, puede observar el resultado de que el puerto 3389 está cerrado .

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark.
Notará que ha capturado la misma secuencia de la bandera como se describe arriba:

• El origen envió el paquete SYN al destino
• Destino enviado RST, paquete ACK a la fuente

Escaneo Stealth

SYN scan es la opción de escaneo predeterminada y más popular por buenas razones. Se puede realizar rápidamente, escaneando miles de puertos por segundo en una red rápida no obstaculizada por firewalls restrictivos. También es relativamente típico y sigiloso ya que nunca completa las conexiones TCP.
El puerto también se considera abierto si se recibe un paquete SYN (sin el indicador ACK) en respuesta.
Esta técnica a menudo se conoce como escaneo medio abierto porque no abre una conexión TCP completa. Envía un paquete SYN como si fuera a abrir una conexión real y luego espera una respuesta. Un SYN, ACK indica que el puerto está escuchando (abierto)

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
De la imagen dada puede observar el resultado de que el puerto 22 está abierto.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• El origen envió paquetes SYN al destino
• El destino envió paquetes SYN, ACK a la fuente
• El origen envió paquetes RST al destino

Ahora descubra el tráfico para cerrar el puerto utilizando el escaneo oculto. Cuando la fuente envió el paquete SYN en el puerto específico, si el puerto está cerrado, el destino responderá enviando el paquete RST.

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
A partir de la imagen dada, puede observar el resultado de que el puerto 3389 está cerrado.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• El origen envió paquetes SYN al destino
• Destino enviado RST, paquetes ACK al destino

Escaneo de aletas

Un paquete FIN se usa para terminar la conexión TCP entre el puerto de origen y el de destino, típicamente después de que se completa la transferencia de datos. En lugar de un paquete SYN, Nmap inicia una exploración FIN utilizando un paquete FIN. Si el puerto está abierto, no recibirá respuesta del puerto de destino cuando el paquete FIN se envíe a través del puerto de origen.
Fin-Scan solo funciona en máquinas Linux y no funciona en la última versión de Windows

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
De la imagen dada puede observar el resultado de que el puerto 22 está abierto.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• La fuente envió paquetes FIN al destino
• Destino enviado sin respuesta a la fuente

Del mismo modo, si se realiza un escaneo Fin contra cualquier cierre, el puerto de origen se enviará el paquete FIN al puerto específico y el destino responderá enviando paquetes RST, ACK.

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
A partir de la imagen dada, puede observar el resultado de que el puerto 3389 está cerrado.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• El origen envió paquetes SYN al destino
• El destino envió paquetes RST al destino

Escaneo nulo

Una exploración nula es una serie de paquetes TCP que contienen un número de secuencia de "ceros" (0000000) y dado que no hay ninguna marca establecida, el destino no sabrá cómo responder la solicitud. Descartará el paquete y no se enviará ninguna respuesta, lo que indica que el puerto está abierto.
Null Scan solo funciona en máquinas Linux y no funciona en la última versión de Windows

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
De la imagen dada puede observar el resultado de que el puerto 22 está abierto.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• El origen envió paquetes nulos al destino
• Destino enviado sin respuesta a la fuente

Si el puerto está cerrado, el Destino enviará un paquete RST, ACK en respuesta cuando la fuente envíe paquetes nulos en un puerto específico

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
A partir de la imagen dada, puede observar el resultado de que el puerto 3389 está cerrado.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• El origen envió paquetes nulos (ninguno) al destino
• Destino enviado RST, ACK a la fuente

Escaneo UDP

El escaneo UDP funciona enviando un paquete UDP a cada puerto de destino; Es un protocolo sin conexión. Para algunos puertos comunes como 53 y 161, se envía una carga útil específica del protocolo para aumentar la tasa de respuesta, un servicio responderá con un paquete UDP, lo que demuestra que está abierto. Si no se recibe respuesta después de las retransmisiones, el puerto se clasifica como abierto | filtrado. Esto significa que el puerto podría estar abierto, o tal vez los filtros de paquetes están bloqueando la comunicación.

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
De la imagen dada puede observar el resultado de que el puerto 161 está abierto.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• La fuente envió paquetes UDP al destino
• El destino envió un paquete UDP con algunos datos a la fuente

De manera similar, si la fuente envió un paquete UDP en un puerto cercano al destino, el destino envió una respuesta con el puerto del paquete ICMP inalcanzable con un error apropiado.

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
De la imagen dada puede observar el resultado de que el puerto 53 está cerrado.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• La fuente envió paquetes UDP al destino
• El destino envió el puerto del paquete ICMP inalcanzable a la fuente

Escaneo de Navidad

Estos escaneos están diseñados para manipular los indicadores PSH, URG y FIN del encabezado TCP, establece los indicadores FIN, PSH y URG, iluminando el paquete como un árbol de Navidad. Cuando la fuente envió el paquete FIN, PUSH y URG a un puerto específico y si el puerto está abierto, el destino descartará los paquetes y no enviará ninguna respuesta a la fuente.
Xmas Scan solo funciona en máquinas Linux y no funciona en la última versión de Windows

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
De la imagen dada puede observar el resultado de que el puerto 22 está abierto.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• La fuente envió los paquetes FIN, PUSH y URG al destino
• Destino enviado sin respuesta a la fuente

De manera similar, si la fuente envió paquetes FIN, PUSH y URG a un puerto específico y si el puerto está cerrado, el destino enviará paquetes RST, ACK a la fuente.

Escriba el siguiente comando NMAP para escaneo TCP e inicie Wireshark por otro lado para capturar el paquete enviado.
A partir de la imagen dada, puede observar el resultado de que el puerto 3389 está cerrado.

Observe la secuencia de transferencia de paquetes entre el origen y el destino capturados a través de Wireshark

• La fuente envió los paquetes FIN, PUSH y URG al destino
• Destino RST, paquete ACK a la fuente