Detectar intrusos en la red con Nmap a lo Trinity

En Matrix Reloaded, podemos ver como Trinity usa Nmap para realizar un escaneo de puertos a una máquina, encontrando un servidor SSH vulnerable, y mediante un exploit gana acceso como root, consiguiendo provocar un inmenso apagón.

En esta entrada, hoy no vamos a salvarnos de Matrix, pero si vamos a utilizar alguno de los comandos que utiliza Trinity, para estudiar la presencia de intrusos indeseables en nuestra red. Para ello lanzamos nmap en modo root, y especificamos el rango de ip que queremos analizar en nuestra red: todos en este caso.

nmap 192.168.1.100-255


Esto es lo que se podría llamar un escáner básico con nmap, no estamos utilizando opciones avanzadas, pero es suficiente para descubrir posibles intrusos y analizar los 1000 puertos TCP/IP más usados de cada host. Como veis hay 3 maquinas conectadas a mi router, pero el caso es que yo solo tengo dos computadoras conectadas (la mía y la de mi novia…) así que esa última ip 192.168.1.102 (Murata Manufacturing Co.) se me hace un poco rara…si queremos saber un poco más, es hora de pedirle consejo a Trinity

En esta imágen vemos como ella, ejecuta en la shell el comando:

nmap -v -sS -O 10.2.2.2

Donde 10.2.2.2 es el objetivo a hackear, -sS intentará identificar los puertos tcp más usados enviando paquetes SYN, asegurando un cierto grado de invisibilidad en el ataque; -O nos permite detectar el sistema operativo que utiliza, y -v establece el modo “verbose” con el cual obtenemos más información.

Así que ejecutamos el comando:

nmap -sS -O -v 192.168.1.102

Y vemos que aunque los puertos están cerrados, nmap detecta que lo que está conectado a la red es una impresora de Canon… :cool:

Esto solo es una pequeña muestra de lo que puede hacer nmap, si realmente queréis profundizar un poco, os recomiendo este libro y por supuesto la  web de nmap donde podéis encontrar interesantes tutoriales.

Y de regalo una chuletita!! (Descarga en PDF)

Link | Nmap

35 thoughts on “Detectar intrusos en la red con Nmap a lo Trinity”

  1. Luweeds (@Luweeds) says:

    Mola el post enlazado con matrix, la chuleta también es muy buena. Muchas gracias ¡¡

    1. tannhausser says:

      Me alegro que te gustara. Un Saludo y Buen Finde!!!

  2. Pandorolof says:

    Alguien tiene esa chuleta pero en pdf… para vagos como yo es mas util, así puedo copiar y pegar las ordenes y evitar teclearlas

  3. Pingback: Latino » Blog Archive » Detectar intrusos en la red con Nmap a lo Trinity
  4. Trackback: Latino » Blog Archive » Detectar intrusos en la red con Nmap a lo Trinity
  5. Leo says:

    :o buenisimo !!!
    oye increíble el detalle de matrix
    voy a probarlo

    Saludos!

    1. tannhausser says:

      Gracias amigo! Aunque todo el merito es de Trinity…
      Un Saludo!

  6. Pingback: Detección de intrusos en la red con fping | La mirada del replicante
  7. Trackback: Detección de intrusos en la red con fping | La mirada del replicante
  8. chair rail says:

    Interesting…

  9. Pingback: Ejecutar programas a intervalos regulares con watch | La mirada del replicante
  10. Trackback: Ejecutar programas a intervalos regulares con watch | La mirada del replicante
  11. Pingback: Nmap 6 liberado | La mirada del replicante
  12. Trackback: Nmap 6 liberado | La mirada del replicante
  13. Pingback: Latino » Blog Archive » Ejecutar programas a intervalos regulares con watch
  14. Trackback: Latino » Blog Archive » Ejecutar programas a intervalos regulares con watch
  15. Pingback: Cmatrix: El código de matrix en tu shell | La mirada del replicante
  16. Trackback: Cmatrix: El código de matrix en tu shell | La mirada del replicante
  17. Pingback: Latino » Blog Archive » Cmatrix: El código de matrix en tu shell
  18. Trackback: Latino » Blog Archive » Cmatrix: El código de matrix en tu shell
  19. manuti says:

    Resube la chueleta a algún sitio, gracias.

    1. tannhausser says:

      Ni me acordaba del gordito de Megaupload ..No se donde diablos metí la chuteta, de todas maneras es la misma de la imagen.
      Un saludo!

  20. Pingback: Que hacer despues de instalar openSUSE 12.2 « La mirada del replicante
  21. Trackback: Que hacer despues de instalar openSUSE 12.2 « La mirada del replicante
  22. bran2n says:

    ohhhh matrixx en linux, que interesante

  23. Rodrigo says:

    tengo una duda cuando hago una scaneada a un rango de ips en este caso fueron 3 solo una era un host real las demas no habia nada pero el resultadod e nmap era q encontro 3 host y mostraba puertos y eso pero en realidad no habia nada en esas direcciones y no podia saber todavia q so era solo botaba el so del host real q era w7 porq sale eso alguien me puede aclarar porfaavor

  24. Albert says:

    Todo esto se empieza a enrarecer para mi, no puedo funcionar con i2p, ni saber si estoy bajo un cortafuegos, o si realmente Tor es lo que estoy corriendo o un ‘fake’, y ahora esto:

    juan@ubuntu:~$ sudo apt-get install nmap
    Leyendo lista de paquetes… Hecho
    Creando árbol de dependencias
    Leyendo la información de estado… Hecho
    Se instalarán los siguientes paquetes NUEVOS:
    nmap
    0 actualizados, 1 se instalarán, 0 para eliminar y 0 no actualizados.
    Necesito descargar 1.643 kB de archivos.
    Se utilizarán 6.913 kB de espacio de disco adicional después de esta operación.
    Des:1 http://archive.ubuntu.com/ubuntu/ precise/main nmap amd64 5.21-1.1ubuntu1 [1.643 kB]
    Descargados 1.643 kB en 2seg. (579 kB/s)
    Seleccionando paquete nmap previamente no seleccionado
    (Leyendo la base de datos … 414821 ficheros o directorios instalados actualmente.)
    Desempaquetando nmap (de …/nmap_5.21-1.1ubuntu1_amd64.deb) …
    dpkg: error fatal irrecuperable, abortando:
    fallo en `fork': No se pudo asignar memoria
    E: Sub-process /usr/bin/dpkg returned an error code (2)
    juan@ubuntu:~$ nmap 192.168.1.100-255
    El programa «nmap» no está instalado. Puede instalarlo escribiendo:
    sudo apt-get install nmap
    juan@ubuntu:~$

    Puede alguien ayudar con una opinion?

    Saludos!

    1. tannhausser says:

      Me parece que el tema de instalar nmap, no tiene nada que ver cortafuegos ni configuraciones de otros programas, si no más bien con un problema de falta de memoria. En un comentario anterior creo que mencionaste que tenías dual boot en windows, fíjate si tienes asignada suficiente memoria a tu linux, y si tienes swap (memoria de intercambio).
      PD: tampoco creo que corras un fake de TOR, si lo has instalado desde una fuente fiable.

      1. Albert says:

        Hola!
        Gracias por tu paciencia y ayuda, cualquier respuesta tuya para mi es de gran ayuda, no soy un experto y, ademas, creo que ya me estoy poniendo paranoico… aunque el mismo tor suguiere chequear… pues dicen no es garantia…
        Y aun todavia, i2p me sigue diciendo que un cortafuegos bloquea…

        Sysinfo:

        Memory information:

        Memory total: 983 mib (free: 23%)
        Swap total: 255 mib (free: 58%)

        Realmente, no comprendo nada – puedes sugerirme algo?

      2. Albert says:

        I got something now!!

        Trate nuevamente y sin ninguna razon (estas son las cosas que me ‘paranoican’) — y para mi asombro:

        juan@ubuntu:~$ sudo apt-get install nmap
        [sudo] password for juan:
        Sorry, try again.
        [sudo] password for juan:
        Leyendo lista de paquetes… Hecho
        Creando árbol de dependencias
        Leyendo la información de estado… Hecho
        Se actualizarán los siguientes paquetes:
        nmap
        1 actualizados, 0 se instalarán, 0 para eliminar y 0 no actualizados.
        1 no instalados del todo o eliminados.
        Se necesita descargar 0 B/1.643 kB de archivos.
        Se utilizarán 6.913 kB de espacio de disco adicional después de esta operación.
        (Leyendo la base de datos …
        dpkg: aviso: falta el fichero de lista de ficheros del paquete `nmap’, se supondrá que el paquete no tiene ningún fichero actualmente instalado.
        (Leyendo la base de datos … 414821 ficheros o directorios instalados actualmente.)
        Preparando para reemplazar nmap 5.21-1.1ubuntu1 (usando …/nmap_5.21-1.1ubuntu1_amd64.deb) …
        Desempaquetando el reemplazo de nmap …
        Procesando disparadores para man-db …
        Configurando nmap (5.21-1.1ubuntu1) …
        juan@ubuntu:~$ nmap 192.168.1.100-255

        Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-15 12:20 PST
        Nmap done: 156 IP addresses (0 hosts up) scanned in 17.94 seconds
        juan@ubuntu:~$ nmap -v -sS -O 10.2.2.2
        You requested a scan type which requires root privileges.
        QUITTING!
        juan@ubuntu:~$ sudo nmap -v -sS -O 10.2.2.2
        [sudo] password for juan:

        Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-15 12:23 PST
        Initiating Ping Scan at 12:23
        Scanning 10.2.2.2 [4 ports]
        Completed Ping Scan at 12:23, 3.14s elapsed (1 total hosts)
        Nmap scan report for 10.2.2.2 [host down]
        Read data files from: /usr/share/nmap
        Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
        Nmap done: 1 IP address (0 hosts up) scanned in 4.17 seconds
        Raw packets sent: 8 (304B) | Rcvd: 0 (0B)
        juan@ubuntu:~$

        Pero en este punto no se como continuar (?)

        By the way, no quiero ser abusivo, no conozco las reglas de tu blog no me he molestado siquiera en buscar y leer … dime sin pena si estoy abrumandote demasiado con mi ignorancia…

        Gracias mil!!

  25. tannhausser says:

    @albert andas un poco escaso de swap, en tu caso debería ser el doble de tu RAM (o sea 2gb), pero como el error que te da no es algo que haya visto hasta ahora, tampoco te puedo confirmar a ciencia cierta que sea por eso.

    Supongo que usas Ubuntu, te pasa lo mismo con otros programas? y si lo instalas de forma grafica con synaptic o el centro de sofware? o incluso utilizando:
    sudo aptitude install nmap

    En cuanto a lo del cortafuegos e I2P sinceramente no se que puede ser, en mi caso no recuerdo haber tenido que configurar nada, si has descartado cualquier error en la configuración del proxy en firefox o el navegador que uses, todo será cuestión entonces de que abras un puerto para ese programa. (ah por cierto no te vuelvas paranoico ;-) que tampoco creo que sea tema de tu proveedor de internet que filtre ese tráfico)

    Saludos!

  26. tannhausser says:

    @albert me alegro de que al final lo pudieras instalar, estoy convencido de que era de falta de memoria en el equipo cuando ejecutaste la primera instalación, que te quedó a medias.
    Lo que has hecho al ejecutar nmap ha sido escanear a lo trinity la dirección 10.2.2.2 y normal que no te haya dado nada significativo, porque si no estaríamos en matrix (y eso si que sería para estar preocupado..)
    No me molesta que hagas preguntas, para eso está el blog, y para mi la comunicación con los lectores es algo valioso y en definitiva una forma de aprender, pero también te digo que por supuesto que no tengo todas las respuestas, una veces sencillamente porque no las se, (a fin de cuentas soy un usuario más) y otras reconozco que porque hace mucho que escribí determinada entrada y no es un tema del que me motive hablar en este momento.
    Dicho esto las preguntas puntuales relacionadas con los post estoy encantado de responderlas (si no, no lo haría ya sabes “my blog, my rules”), pero te digo que si quieres profundizar con determinados programas o tienes dudas, en ocasiones es mejor ir a los foros, y soltar ahí toda la información: sistema operativo, distribución linux, entorno, problema en concreto, etc…
    Un saludo!

  27. Albert says:

    Deacuerdo, comprendo, solo dime por esta vez si hay intrusos o no, o si los puerto estas abiertos pues no comprendo esto:

    juan@ubuntu:~$ sudo nmap -sS -O -v 192.168.1.102
    [sudo] password for juan:

    Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-16 10:03 PST
    Initiating ARP Ping Scan at 10:03
    Scanning 192.168.1.102 [1 port]
    Completed ARP Ping Scan at 10:03, 0.34s elapsed (1 total hosts)
    Nmap scan report for 192.168.1.102 [host down]
    Read data files from: /usr/share/nmap
    Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
    Nmap done: 1 IP address (0 hosts up) scanned in 1.44 seconds
    Raw packets sent: 2 (84B) | Rcvd: 0 (0B)
    juan@ubuntu:~$

    Solo por esta vez, Gracias!!

    1. tannhausser says:

      Hola @albert lo que has hecho ha sido escanear una dirección determinada, si quieres escanear toda tu red tienes que hacer

      nmap -sP 192.168.1.0/24

      o bien

      nmap -sP 192.168.1.100-255

      ahí tienen que aparecer el nº de equipos conectados (up), incluyendo el router.

      Si buscas en la red o en la web de nmap encontrarás muchos manuales que te pueden servir

      Saludos!

  28. Pingback: Supervisar el tráfico de red de tus aplicaciones con NetHogs | El Blog de Rigo
  29. Trackback: Supervisar el tráfico de red de tus aplicaciones con NetHogs | El Blog de Rigo
  30. licnobiux says:

    Me gusto el articulo y fue muy interesante, gracias!

    1. tannhausser says:

      Gracias a ti por comentar!
      Saludos!

  31. Alejandro says:

    ¡Oh crap! El link está caído, y ver que es de Megaupload me hará llorar.
    Te agradecería mucho si vuelves a subir el pdf, suena interesante leer más sobre esta potente herramienta que estoy aprendiendo mucho de ella.
    Saludos y espero respuesta :D

    1. tannhausser says:

      Ya lo tienes “resubido”, tengo que sacarle algo de provecho al cacharro del Google Drive ese…
      Saludos
      :-)

  32. Desktop says:

    Hola tannhausser, veras se puede escanear cualquier direccion ip ? es decir si ejecuto el comando : nmap XXX.XX.100-255 (EDITADO) podria escanear esas direcciones? y otra cosa no sabes de algun link de alguna pagina que tenga informaciona cerca de nmap que este en español ? Saludos y muy bueno tus post como siempre…

    1. tannhausser says:

      La forma más cómoda de escanear varias direcciones es mediante XXX.XX.XX.* de esa manera escaneas todos los rangos de ip de 0 a 255.

      Con nmap puedes hacer muchos tipos de escaneo: descubrimiento de host, detección del sistema operativo, escaneo de puertos y mucho más. Pero me parece que lo que estas buscando es algo como esto:

      http://tupuerto80.blogspot.com.es/2012/11/manual-de-nmap.html

      En la web oficial de nmap también encontraras mucha información en castellano.

      Un saludo y gracias por comentar

      1. Desktop says:

        Gracias a ti por tomarte el tiempo de responder y darme informacion tan acertada, gracias y tu blog es de lo mejor saludos …

Deja un comentario

A %d blogueros les gusta esto: