En Matrix Reloaded, podemos ver como Trinity usa Nmap para realizar un escaneo de puertos a una máquina, encontrando un servidor SSH vulnerable, y mediante un exploit gana acceso como root, consiguiendo provocar un inmenso apagón.
En esta entrada, hoy no vamos a salvarnos de Matrix, pero si vamos a utilizar alguno de los comandos que utiliza Trinity, para estudiar la presencia de intrusos indeseables en nuestra red. Para ello lanzamos nmap en modo root, y especificamos el rango de ip que queremos analizar en nuestra red: todos en este caso.
nmap 192.168.1.100-255
Esto es lo que se podría llamar un escáner básico con nmap, no estamos utilizando opciones avanzadas, pero es suficiente para descubrir posibles intrusos y analizar los 1000 puertos TCP/IP más usados de cada host. Como veis hay 3 maquinas conectadas a mi router, pero el caso es que yo solo tengo dos computadoras conectadas (la mía y la de mi novia…) así que esa última ip 192.168.1.102 (Murata Manufacturing Co.) se me hace un poco rara…si queremos saber un poco más, es hora de pedirle consejo a Trinity…
En esta imágen vemos como ella, ejecuta en la shell el comando:
nmap -v -sS -O 10.2.2.2
Donde 10.2.2.2 es el objetivo a hackear, –sS intentará identificar los puertos tcp más usados enviando paquetes SYN, asegurando un cierto grado de invisibilidad en el ataque; -O nos permite detectar el sistema operativo que utiliza, y –v establece el modo «verbose» con el cual obtenemos más información.
Así que ejecutamos el comando:
nmap -sS -O -v 192.168.1.102
Y vemos que aunque los puertos están cerrados, nmap detecta que lo que está conectado a la red es una impresora de Canon… 😎
Esto solo es una pequeña muestra de lo que puede hacer nmap, si realmente queréis profundizar un poco, os recomiendo este libro y por supuesto la web de nmap donde podéis encontrar interesantes tutoriales.
Y de regalo una chuletita!! (Descarga en PDF)
Link | Nmap
Mola el post enlazado con matrix, la chuleta también es muy buena. Muchas gracias ¡¡
Me alegro que te gustara. Un Saludo y Buen Finde!!!
Alguien tiene esa chuleta pero en pdf… para vagos como yo es mas util, así puedo copiar y pegar las ordenes y evitar teclearlas
Aquí te dejo el enlace:
http://www.megaupload.com/?d=3FXKT3KL
Pingback: Latino » Blog Archive » Detectar intrusos en la red con Nmap a lo Trinity
😮 buenisimo !!!
oye increíble el detalle de matrix
voy a probarlo
Saludos!
Gracias amigo! Aunque todo el merito es de Trinity…
Un Saludo!
Pingback: Detección de intrusos en la red con fping | La mirada del replicante
Interesting…
Pingback: Ejecutar programas a intervalos regulares con watch | La mirada del replicante
Pingback: Nmap 6 liberado | La mirada del replicante
Pingback: Latino » Blog Archive » Ejecutar programas a intervalos regulares con watch
Pingback: Cmatrix: El código de matrix en tu shell | La mirada del replicante
Pingback: Latino » Blog Archive » Cmatrix: El código de matrix en tu shell
Resube la chueleta a algún sitio, gracias.
Ni me acordaba del gordito de Megaupload ..No se donde diablos metí la chuteta, de todas maneras es la misma de la imagen.
Un saludo!
Pingback: Que hacer despues de instalar openSUSE 12.2 « La mirada del replicante
ohhhh matrixx en linux, que interesante
tengo una duda cuando hago una scaneada a un rango de ips en este caso fueron 3 solo una era un host real las demas no habia nada pero el resultadod e nmap era q encontro 3 host y mostraba puertos y eso pero en realidad no habia nada en esas direcciones y no podia saber todavia q so era solo botaba el so del host real q era w7 porq sale eso alguien me puede aclarar porfaavor
Todo esto se empieza a enrarecer para mi, no puedo funcionar con i2p, ni saber si estoy bajo un cortafuegos, o si realmente Tor es lo que estoy corriendo o un ‘fake’, y ahora esto:
juan@ubuntu:~$ sudo apt-get install nmap
Leyendo lista de paquetes… Hecho
Creando árbol de dependencias
Leyendo la información de estado… Hecho
Se instalarán los siguientes paquetes NUEVOS:
nmap
0 actualizados, 1 se instalarán, 0 para eliminar y 0 no actualizados.
Necesito descargar 1.643 kB de archivos.
Se utilizarán 6.913 kB de espacio de disco adicional después de esta operación.
Des:1 http://archive.ubuntu.com/ubuntu/ precise/main nmap amd64 5.21-1.1ubuntu1 [1.643 kB]
Descargados 1.643 kB en 2seg. (579 kB/s)
Seleccionando paquete nmap previamente no seleccionado
(Leyendo la base de datos … 414821 ficheros o directorios instalados actualmente.)
Desempaquetando nmap (de …/nmap_5.21-1.1ubuntu1_amd64.deb) …
dpkg: error fatal irrecuperable, abortando:
fallo en `fork’: No se pudo asignar memoria
E: Sub-process /usr/bin/dpkg returned an error code (2)
juan@ubuntu:~$ nmap 192.168.1.100-255
El programa «nmap» no está instalado. Puede instalarlo escribiendo:
sudo apt-get install nmap
juan@ubuntu:~$
Puede alguien ayudar con una opinion?
Saludos!
Me parece que el tema de instalar nmap, no tiene nada que ver cortafuegos ni configuraciones de otros programas, si no más bien con un problema de falta de memoria. En un comentario anterior creo que mencionaste que tenías dual boot en windows, fíjate si tienes asignada suficiente memoria a tu linux, y si tienes swap (memoria de intercambio).
PD: tampoco creo que corras un fake de TOR, si lo has instalado desde una fuente fiable.
Hola!
Gracias por tu paciencia y ayuda, cualquier respuesta tuya para mi es de gran ayuda, no soy un experto y, ademas, creo que ya me estoy poniendo paranoico… aunque el mismo tor suguiere chequear… pues dicen no es garantia…
Y aun todavia, i2p me sigue diciendo que un cortafuegos bloquea…
Sysinfo:
Memory information:
Memory total: 983 mib (free: 23%)
Swap total: 255 mib (free: 58%)
Realmente, no comprendo nada – puedes sugerirme algo?
I got something now!!
Trate nuevamente y sin ninguna razon (estas son las cosas que me ‘paranoican’) — y para mi asombro:
juan@ubuntu:~$ sudo apt-get install nmap
[sudo] password for juan:
Sorry, try again.
[sudo] password for juan:
Leyendo lista de paquetes… Hecho
Creando árbol de dependencias
Leyendo la información de estado… Hecho
Se actualizarán los siguientes paquetes:
nmap
1 actualizados, 0 se instalarán, 0 para eliminar y 0 no actualizados.
1 no instalados del todo o eliminados.
Se necesita descargar 0 B/1.643 kB de archivos.
Se utilizarán 6.913 kB de espacio de disco adicional después de esta operación.
(Leyendo la base de datos …
dpkg: aviso: falta el fichero de lista de ficheros del paquete `nmap’, se supondrá que el paquete no tiene ningún fichero actualmente instalado.
(Leyendo la base de datos … 414821 ficheros o directorios instalados actualmente.)
Preparando para reemplazar nmap 5.21-1.1ubuntu1 (usando …/nmap_5.21-1.1ubuntu1_amd64.deb) …
Desempaquetando el reemplazo de nmap …
Procesando disparadores para man-db …
Configurando nmap (5.21-1.1ubuntu1) …
juan@ubuntu:~$ nmap 192.168.1.100-255
Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-15 12:20 PST
Nmap done: 156 IP addresses (0 hosts up) scanned in 17.94 seconds
juan@ubuntu:~$ nmap -v -sS -O 10.2.2.2
You requested a scan type which requires root privileges.
QUITTING!
juan@ubuntu:~$ sudo nmap -v -sS -O 10.2.2.2
[sudo] password for juan:
Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-15 12:23 PST
Initiating Ping Scan at 12:23
Scanning 10.2.2.2 [4 ports]
Completed Ping Scan at 12:23, 3.14s elapsed (1 total hosts)
Nmap scan report for 10.2.2.2 [host down]
Read data files from: /usr/share/nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 4.17 seconds
Raw packets sent: 8 (304B) | Rcvd: 0 (0B)
juan@ubuntu:~$
Pero en este punto no se como continuar (?)
By the way, no quiero ser abusivo, no conozco las reglas de tu blog no me he molestado siquiera en buscar y leer … dime sin pena si estoy abrumandote demasiado con mi ignorancia…
Gracias mil!!
@albert andas un poco escaso de swap, en tu caso debería ser el doble de tu RAM (o sea 2gb), pero como el error que te da no es algo que haya visto hasta ahora, tampoco te puedo confirmar a ciencia cierta que sea por eso.
Supongo que usas Ubuntu, te pasa lo mismo con otros programas? y si lo instalas de forma grafica con synaptic o el centro de sofware? o incluso utilizando:
sudo aptitude install nmap
En cuanto a lo del cortafuegos e I2P sinceramente no se que puede ser, en mi caso no recuerdo haber tenido que configurar nada, si has descartado cualquier error en la configuración del proxy en firefox o el navegador que uses, todo será cuestión entonces de que abras un puerto para ese programa. (ah por cierto no te vuelvas paranoico 😉 que tampoco creo que sea tema de tu proveedor de internet que filtre ese tráfico)
Saludos!
@albert me alegro de que al final lo pudieras instalar, estoy convencido de que era de falta de memoria en el equipo cuando ejecutaste la primera instalación, que te quedó a medias.
Lo que has hecho al ejecutar nmap ha sido escanear a lo trinity la dirección 10.2.2.2 y normal que no te haya dado nada significativo, porque si no estaríamos en matrix (y eso si que sería para estar preocupado..)
No me molesta que hagas preguntas, para eso está el blog, y para mi la comunicación con los lectores es algo valioso y en definitiva una forma de aprender, pero también te digo que por supuesto que no tengo todas las respuestas, una veces sencillamente porque no las se, (a fin de cuentas soy un usuario más) y otras reconozco que porque hace mucho que escribí determinada entrada y no es un tema del que me motive hablar en este momento.
Dicho esto las preguntas puntuales relacionadas con los post estoy encantado de responderlas (si no, no lo haría ya sabes «my blog, my rules»), pero te digo que si quieres profundizar con determinados programas o tienes dudas, en ocasiones es mejor ir a los foros, y soltar ahí toda la información: sistema operativo, distribución linux, entorno, problema en concreto, etc…
Un saludo!
Deacuerdo, comprendo, solo dime por esta vez si hay intrusos o no, o si los puerto estas abiertos pues no comprendo esto:
juan@ubuntu:~$ sudo nmap -sS -O -v 192.168.1.102
[sudo] password for juan:
Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-16 10:03 PST
Initiating ARP Ping Scan at 10:03
Scanning 192.168.1.102 [1 port]
Completed ARP Ping Scan at 10:03, 0.34s elapsed (1 total hosts)
Nmap scan report for 192.168.1.102 [host down]
Read data files from: /usr/share/nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 1.44 seconds
Raw packets sent: 2 (84B) | Rcvd: 0 (0B)
juan@ubuntu:~$
Solo por esta vez, Gracias!!
Hola @albert lo que has hecho ha sido escanear una dirección determinada, si quieres escanear toda tu red tienes que hacer
nmap -sP 192.168.1.0/24
o bien
nmap -sP 192.168.1.100-255
ahí tienen que aparecer el nº de equipos conectados (up), incluyendo el router.
Si buscas en la red o en la web de nmap encontrarás muchos manuales que te pueden servir
Saludos!
Pingback: Supervisar el tráfico de red de tus aplicaciones con NetHogs | El Blog de Rigo
Me gusto el articulo y fue muy interesante, gracias!
Gracias a ti por comentar!
Saludos!
¡Oh crap! El link está caído, y ver que es de Megaupload me hará llorar.
Te agradecería mucho si vuelves a subir el pdf, suena interesante leer más sobre esta potente herramienta que estoy aprendiendo mucho de ella.
Saludos y espero respuesta 😀
Ya lo tienes «resubido», tengo que sacarle algo de provecho al cacharro del Google Drive ese…
Saludos
🙂
Hola tannhausser, veras se puede escanear cualquier direccion ip ? es decir si ejecuto el comando : nmap XXX.XX.100-255 (EDITADO) podria escanear esas direcciones? y otra cosa no sabes de algun link de alguna pagina que tenga informaciona cerca de nmap que este en español ? Saludos y muy bueno tus post como siempre…
La forma más cómoda de escanear varias direcciones es mediante XXX.XX.XX.* de esa manera escaneas todos los rangos de ip de 0 a 255.
Con nmap puedes hacer muchos tipos de escaneo: descubrimiento de host, detección del sistema operativo, escaneo de puertos y mucho más. Pero me parece que lo que estas buscando es algo como esto:
http://tupuerto80.blogspot.com.es/2012/11/manual-de-nmap.html
En la web oficial de nmap también encontraras mucha información en castellano.
Un saludo y gracias por comentar
Gracias a ti por tomarte el tiempo de responder y darme informacion tan acertada, gracias y tu blog es de lo mejor saludos …
Hola Tannhausser
Me surge una pregunta relacionada con este post. He recivido el típico correo de robo de cuenta de Bankia que me enlaza a una web sin hpps y sin candado donde debería introducir mis datos y contraseña (vamos como ya comento el típico correo fradulento donde tanta gente aun sigue cayendo), Y mi preguna es: ya que al usar thunderbird tengo acceso al código fuente donde me dan la ip desde donde me han enviado el correo, ¿Podría con zenmap y esa ip conocer la dirección u otros datos?
Te pido disculpas si alguien te hace la misma pregunta más arriba pero por falta de tiempo no las he leido.
Muchas gracias.
Carlos
Con Nmap o su frontend Zenmap teniendo la IP que quieres investigar puedes hacer muchas cosas: detectar el sistema operativo, ver puertos abiertos, analizar la red evadiendo firewalls, etc…
De todas maneras yo no me tomaría tantas molestias: primero no estoy tan seguro de que la IP que ves tu, sea la del que te envió el mensaje y 2ª en según que países (dependiendo de lo que hagas claro) las penas por este tipo de actuaciones son superiores a las de estafa de ese presunto correo 🙂
Ok, lo tendré en cuenta.
Gracias Tannhausser.
hola tannhausser =)
tengo una duda y es que he probado ya muchos parametros con nmap pero aun asi no me aparece nada mas que esto : Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
queria escanear una ip pero parece que el firewall esta bloqueando los pings y cuando pongo -Pn no me aparece nada de info ( como si no lo pillara .. o_o)
no se que estoy haciendo mal…
gracias ^^