search

Nmap

Nmap - trace the packets

sudo nmap 10.129.2.28 -p 21 --packet-trace -Pn -n --disable-arp-ping

Starting Nmap 7.80 ( https://nmap.org )
SENT (0.0429s) TCP 10.10.14.2:63090 > 10.129.2.28:21 S ttl=56 id=57322 iplen=44  seq=1699105818 win=1024 <mss 1460>
RCVD (0.0573s) TCP 10.129.2.28:21 > 10.10.14.2:63090 RA ttl=64 id=0 iplen=40  seq=0 win=0
Nmap scan report for 10.11.1.28
Host is up (0.014s latency).

PORT   STATE  SERVICE
21/tcp closed ftp
MAC Address: DE:AD:00:00:BE:EF (Intel Corporate)

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds

Puertos Filtered

Cuando un puerto aparece como filtrado, puede deberse a varias razones. En la mayoría de los casos, los cortafuegos tienen ciertas reglas establecidas para manejar conexiones específicas. Los paquetes pueden ser descartados o rechazados. Cuando se rechaza un paquete, Nmap no recibe respuesta de nuestro objetivo, y por omisión, la tasa de reintentos (--max-retries) se establece en 1. Esto significa que Nmap reenviará la petición al puerto objetivo para determinar si el paquete anterior no fue accidentalmente mal manejado.

nmap 10.129.2.28 -p 139 --packet-trace -n --disable-arp-ping -Pn

Starting Nmap 7.80 ( https://nmap.org )
SENT (0.0381s) TCP 10.10.14.2:60277 > 10.129.2.28:139 S ttl=47 id=14523 iplen=44  seq=4175236769 win=1024 <mss 1460>
SENT (1.0411s) TCP 10.10.14.2:60278 > 10.129.2.28:139 S ttl=45 id=7372 iplen=44  seq=4175171232 win=1024 <mss 1460>
Nmap scan report for 10.129.2.28
Host is up.

PORT    STATE    SERVICE
139/tcp filtered netbios-ssn
MAC Address: DE:AD:00:00:BE:EF (Intel Corporate)

Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds

Enumeración de puertos abiertos UDP

Informe con nmap :

Mientras ejecutamos varios escaneos, siempre debemos guardar los resultados. Podemos utilizarlos más tarde para examinar las diferencias entre los distintos métodos de sondeo que hemos utilizado. Nmap puede guardar los resultados en 3 formatos diferentes.

Salida normal (-oN) con la extensión de fichero .nmap Salida Grepable (-oG) con la extensión de archivo .gnmap Salida XML (-oX) con la extensión de archivo .xml

Enumeracion de servicios:

Categorías de los scripts

Category

Description

auth

Determination of authentication credentials.

broadcast

Scripts, which are used for host discovery by broadcasting and the discovered hosts, can be automatically added to the remaining scans.

brute

Executes scripts that try to log in to the respective service by brute-forcing with credentials.

default

Default scripts executed by using the -sC option.

discovery

Evaluation of accessible services.

dos

These scripts are used to check services for denial of service vulnerabilities and are used less as it harms the services.

exploit

This category of scripts tries to exploit known vulnerabilities for the scanned port.

external

Scripts that use external services for further processing.

fuzzer

This uses scripts to identify vulnerabilities and unexpected packet handling by sending different fields, which can take much time.

intrusive

Intrusive scripts that could negatively affect the target system.

malware

Checks if some malware infects the target system.

safe

Defensive scripts that do not perform intrusive and destructive access.

version

Extension for service detection.

vuln

Identification of specific vulnerabilities.

Firewall and IDS/IPS Evasion

El método de sondeo TCP ACK (-sA) de Nmap es mucho más difícil de filtrar para cortafuegos y sistemas IDS/IPS que los sondeos regulares SYN (-sS) o Connect (sT) porque sólo envían un paquete TCP con sólo la bandera ACK. Cuando un puerto está cerrado o abierto, el host debe responder con una bandera RST. A diferencia de las conexiones salientes, todos los intentos de conexión (con la bandera SYN) procedentes de redes externas suelen ser bloqueados por los cortafuegos. Sin embargo, los paquetes con la bandera ACK a menudo son pasados por el cortafuegos porque éste no puede determinar si la conexión se estableció primero desde la red externa o desde la red interna.

hashtag
Decoys

Hay casos en los que, en principio, los administradores bloquean subredes específicas de diferentes regiones. Esto impide cualquier acceso a la red de destino. Otro ejemplo es cuando IPS debe bloquearnos. Por esta razón, el método de exploración Decoy (-D) es la elección correcta. Con este método, Nmap genera varias direcciones IP aleatorias insertadas en la cabecera IP para disfrazar el origen del paquete enviado. Con este método, podemos generar aleatoriamente (RND) un número específico (por ejemplo: 5) de direcciones IP separadas por dos puntos (:). A continuación, nuestra dirección IP real se coloca aleatoriamente entre las direcciones IP generadas. En el siguiente ejemplo, nuestra dirección IP real se coloca, por tanto, en la segunda posición. Otro punto crítico es que los señuelos deben estar vivos. De lo contrario, el servicio en el objetivo puede ser inalcanzable debido a los mecanismos de seguridad SYN-flooding.

Scan by Using Decoys

-D RND: Genera cinco direcciones IP aleatorias que indican la IP de origen de la que proviene la conexión

Los ISP y los enrutadores suelen filtrar los paquetes falsificados, aunque provengan del mismo rango de red. Por lo tanto, también podemos especificar las direcciones IP de nuestros servidores VPS y usarlas en combinación con " IP ID" manipulación en los encabezados IP para escanear el objetivo.

Otro escenario sería que sólo las subredes individuales no tuvieran acceso a los servicios específicos del servidor. Entonces también podemos especificar manualmente la dirección IP de origen ( -S) para probar si obtenemos mejores resultados con esta. Los señuelos se pueden utilizar para escaneos SYN, ACK, ICMP y escaneos de detección de sistema operativo. Entonces, veamos un ejemplo de este tipo y determinemos qué sistema operativo es más probable que sea.

Testing Firewall Rule

Scan by Using Different Source IP

hashtag
Proxy DNS

Por defecto, Nmaprealiza una resolución DNS inversa a menos que se especifique lo contrario para encontrar información más importante sobre nuestro objetivo. Estas consultas de DNS también se pasan en la mayoría de los casos porque se supone que el servidor web determinado debe encontrarse y visitarse. Las consultas de DNS se realizan a través del archivo UDP port 53. Hasta ahora sólo se TCP port 53utilizaba para el llamado " Zone transfers" entre servidores DNS o para transferencias de datos de más de 512 bytes. Esto está cambiando cada vez más debido a las expansiones de IPv6 y DNSSEC. Estos cambios hacen que muchas solicitudes de DNS se realicen a través del puerto TCP 53.

Sin embargo, Nmaptodavía nos brinda una manera de especificar los servidores DNS nosotros mismos ( --dns-server <ns>,<ns>). Este método podría ser fundamental para nosotros si estamos en una zona desmilitarizada ( DMZ). Los servidores DNS de la empresa suelen ser más confiables que los de Internet. Así, por ejemplo, podríamos utilizarlos para interactuar con los hosts de la red interna. Como otro ejemplo, podemos utilizar TCP port 53como puerto de origen ( --source-port) para nuestros escaneos. Si el administrador usa el firewall para controlar este puerto y no filtra IDS/IPS correctamente, nuestros paquetes TCP serán confiables y se transmitirán.

SYN-Scan of a Filtered Port

SYN-Scan From DNS Port

PreviousSessionsNextGit

Last updated