Detectar intrusos en la red con Nmap a lo Trinity

por | 17 diciembre, 2011

En Matrix Reloaded, podemos ver como Trinity usa Nmap para realizar un escaneo de puertos a una máquina, encontrando un servidor SSH vulnerable, y mediante un exploit gana acceso como root, consiguiendo provocar un inmenso apagón.

En esta entrada, hoy no vamos a salvarnos de Matrix, pero si vamos a utilizar alguno de los comandos que utiliza Trinity, para estudiar la presencia de intrusos indeseables en nuestra red. Para ello lanzamos nmap en modo root, y especificamos el rango de ip que queremos analizar en nuestra red: todos en este caso.

nmap 192.168.1.100-255


Esto es lo que se podría llamar un escáner básico con nmap, no estamos utilizando opciones avanzadas, pero es suficiente para descubrir posibles intrusos y analizar los 1000 puertos TCP/IP más usados de cada host. Como veis hay 3 maquinas conectadas a mi router, pero el caso es que yo solo tengo dos computadoras conectadas (la mía y la de mi novia…) así que esa última ip 192.168.1.102 (Murata Manufacturing Co.) se me hace un poco rara…si queremos saber un poco más, es hora de pedirle consejo a Trinity

En esta imágen vemos como ella, ejecuta en la shell el comando:

nmap -v -sS -O 10.2.2.2

Donde 10.2.2.2 es el objetivo a hackear, sS intentará identificar los puertos tcp más usados enviando paquetes SYN, asegurando un cierto grado de invisibilidad en el ataque; -O nos permite detectar el sistema operativo que utiliza, y v establece el modo «verbose» con el cual obtenemos más información.

Así que ejecutamos el comando:

nmap -sS -O -v 192.168.1.102

Y vemos que aunque los puertos están cerrados, nmap detecta que lo que está conectado a la red es una impresora de Canon… 😎

Esto solo es una pequeña muestra de lo que puede hacer nmap, si realmente queréis profundizar un poco, os recomiendo este libro y por supuesto la  web de nmap donde podéis encontrar interesantes tutoriales.

Y de regalo una chuletita!! (Descarga en PDF)

Link | Nmap

39 pensamientos en “Detectar intrusos en la red con Nmap a lo Trinity

  1. Pingback: Latino » Blog Archive » Detectar intrusos en la red con Nmap a lo Trinity

  2. Pingback: Detección de intrusos en la red con fping | La mirada del replicante

  3. Pingback: Ejecutar programas a intervalos regulares con watch | La mirada del replicante

  4. Pingback: Nmap 6 liberado | La mirada del replicante

  5. Pingback: Latino » Blog Archive » Ejecutar programas a intervalos regulares con watch

  6. Pingback: Cmatrix: El código de matrix en tu shell | La mirada del replicante

  7. Pingback: Latino » Blog Archive » Cmatrix: El código de matrix en tu shell

  8. Pingback: Que hacer despues de instalar openSUSE 12.2 « La mirada del replicante

  9. Rodrigo

    tengo una duda cuando hago una scaneada a un rango de ips en este caso fueron 3 solo una era un host real las demas no habia nada pero el resultadod e nmap era q encontro 3 host y mostraba puertos y eso pero en realidad no habia nada en esas direcciones y no podia saber todavia q so era solo botaba el so del host real q era w7 porq sale eso alguien me puede aclarar porfaavor

    Responder
  10. Albert

    Todo esto se empieza a enrarecer para mi, no puedo funcionar con i2p, ni saber si estoy bajo un cortafuegos, o si realmente Tor es lo que estoy corriendo o un ‘fake’, y ahora esto:

    juan@ubuntu:~$ sudo apt-get install nmap
    Leyendo lista de paquetes… Hecho
    Creando árbol de dependencias
    Leyendo la información de estado… Hecho
    Se instalarán los siguientes paquetes NUEVOS:
    nmap
    0 actualizados, 1 se instalarán, 0 para eliminar y 0 no actualizados.
    Necesito descargar 1.643 kB de archivos.
    Se utilizarán 6.913 kB de espacio de disco adicional después de esta operación.
    Des:1 http://archive.ubuntu.com/ubuntu/ precise/main nmap amd64 5.21-1.1ubuntu1 [1.643 kB]
    Descargados 1.643 kB en 2seg. (579 kB/s)
    Seleccionando paquete nmap previamente no seleccionado
    (Leyendo la base de datos … 414821 ficheros o directorios instalados actualmente.)
    Desempaquetando nmap (de …/nmap_5.21-1.1ubuntu1_amd64.deb) …
    dpkg: error fatal irrecuperable, abortando:
    fallo en `fork’: No se pudo asignar memoria
    E: Sub-process /usr/bin/dpkg returned an error code (2)
    juan@ubuntu:~$ nmap 192.168.1.100-255
    El programa «nmap» no está instalado. Puede instalarlo escribiendo:
    sudo apt-get install nmap
    juan@ubuntu:~$

    Puede alguien ayudar con una opinion?

    Saludos!

    Responder
    1. tannhausser

      Me parece que el tema de instalar nmap, no tiene nada que ver cortafuegos ni configuraciones de otros programas, si no más bien con un problema de falta de memoria. En un comentario anterior creo que mencionaste que tenías dual boot en windows, fíjate si tienes asignada suficiente memoria a tu linux, y si tienes swap (memoria de intercambio).
      PD: tampoco creo que corras un fake de TOR, si lo has instalado desde una fuente fiable.

      Responder
      1. Albert

        Hola!
        Gracias por tu paciencia y ayuda, cualquier respuesta tuya para mi es de gran ayuda, no soy un experto y, ademas, creo que ya me estoy poniendo paranoico… aunque el mismo tor suguiere chequear… pues dicen no es garantia…
        Y aun todavia, i2p me sigue diciendo que un cortafuegos bloquea…

        Sysinfo:

        Memory information:

        Memory total: 983 mib (free: 23%)
        Swap total: 255 mib (free: 58%)

        Realmente, no comprendo nada – puedes sugerirme algo?

        Responder
      2. Albert

        I got something now!!

        Trate nuevamente y sin ninguna razon (estas son las cosas que me ‘paranoican’) — y para mi asombro:

        juan@ubuntu:~$ sudo apt-get install nmap
        [sudo] password for juan:
        Sorry, try again.
        [sudo] password for juan:
        Leyendo lista de paquetes… Hecho
        Creando árbol de dependencias
        Leyendo la información de estado… Hecho
        Se actualizarán los siguientes paquetes:
        nmap
        1 actualizados, 0 se instalarán, 0 para eliminar y 0 no actualizados.
        1 no instalados del todo o eliminados.
        Se necesita descargar 0 B/1.643 kB de archivos.
        Se utilizarán 6.913 kB de espacio de disco adicional después de esta operación.
        (Leyendo la base de datos …
        dpkg: aviso: falta el fichero de lista de ficheros del paquete `nmap’, se supondrá que el paquete no tiene ningún fichero actualmente instalado.
        (Leyendo la base de datos … 414821 ficheros o directorios instalados actualmente.)
        Preparando para reemplazar nmap 5.21-1.1ubuntu1 (usando …/nmap_5.21-1.1ubuntu1_amd64.deb) …
        Desempaquetando el reemplazo de nmap …
        Procesando disparadores para man-db …
        Configurando nmap (5.21-1.1ubuntu1) …
        juan@ubuntu:~$ nmap 192.168.1.100-255

        Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-15 12:20 PST
        Nmap done: 156 IP addresses (0 hosts up) scanned in 17.94 seconds
        juan@ubuntu:~$ nmap -v -sS -O 10.2.2.2
        You requested a scan type which requires root privileges.
        QUITTING!
        juan@ubuntu:~$ sudo nmap -v -sS -O 10.2.2.2
        [sudo] password for juan:

        Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-15 12:23 PST
        Initiating Ping Scan at 12:23
        Scanning 10.2.2.2 [4 ports]
        Completed Ping Scan at 12:23, 3.14s elapsed (1 total hosts)
        Nmap scan report for 10.2.2.2 [host down]
        Read data files from: /usr/share/nmap
        Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
        Nmap done: 1 IP address (0 hosts up) scanned in 4.17 seconds
        Raw packets sent: 8 (304B) | Rcvd: 0 (0B)
        juan@ubuntu:~$

        Pero en este punto no se como continuar (?)

        By the way, no quiero ser abusivo, no conozco las reglas de tu blog no me he molestado siquiera en buscar y leer … dime sin pena si estoy abrumandote demasiado con mi ignorancia…

        Gracias mil!!

        Responder
  11. tannhausser

    @albert andas un poco escaso de swap, en tu caso debería ser el doble de tu RAM (o sea 2gb), pero como el error que te da no es algo que haya visto hasta ahora, tampoco te puedo confirmar a ciencia cierta que sea por eso.

    Supongo que usas Ubuntu, te pasa lo mismo con otros programas? y si lo instalas de forma grafica con synaptic o el centro de sofware? o incluso utilizando:
    sudo aptitude install nmap

    En cuanto a lo del cortafuegos e I2P sinceramente no se que puede ser, en mi caso no recuerdo haber tenido que configurar nada, si has descartado cualquier error en la configuración del proxy en firefox o el navegador que uses, todo será cuestión entonces de que abras un puerto para ese programa. (ah por cierto no te vuelvas paranoico 😉 que tampoco creo que sea tema de tu proveedor de internet que filtre ese tráfico)

    Saludos!

    Responder
  12. tannhausser

    @albert me alegro de que al final lo pudieras instalar, estoy convencido de que era de falta de memoria en el equipo cuando ejecutaste la primera instalación, que te quedó a medias.
    Lo que has hecho al ejecutar nmap ha sido escanear a lo trinity la dirección 10.2.2.2 y normal que no te haya dado nada significativo, porque si no estaríamos en matrix (y eso si que sería para estar preocupado..)
    No me molesta que hagas preguntas, para eso está el blog, y para mi la comunicación con los lectores es algo valioso y en definitiva una forma de aprender, pero también te digo que por supuesto que no tengo todas las respuestas, una veces sencillamente porque no las se, (a fin de cuentas soy un usuario más) y otras reconozco que porque hace mucho que escribí determinada entrada y no es un tema del que me motive hablar en este momento.
    Dicho esto las preguntas puntuales relacionadas con los post estoy encantado de responderlas (si no, no lo haría ya sabes «my blog, my rules»), pero te digo que si quieres profundizar con determinados programas o tienes dudas, en ocasiones es mejor ir a los foros, y soltar ahí toda la información: sistema operativo, distribución linux, entorno, problema en concreto, etc…
    Un saludo!

    Responder
  13. Albert

    Deacuerdo, comprendo, solo dime por esta vez si hay intrusos o no, o si los puerto estas abiertos pues no comprendo esto:

    juan@ubuntu:~$ sudo nmap -sS -O -v 192.168.1.102
    [sudo] password for juan:

    Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-16 10:03 PST
    Initiating ARP Ping Scan at 10:03
    Scanning 192.168.1.102 [1 port]
    Completed ARP Ping Scan at 10:03, 0.34s elapsed (1 total hosts)
    Nmap scan report for 192.168.1.102 [host down]
    Read data files from: /usr/share/nmap
    Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
    Nmap done: 1 IP address (0 hosts up) scanned in 1.44 seconds
    Raw packets sent: 2 (84B) | Rcvd: 0 (0B)
    juan@ubuntu:~$

    Solo por esta vez, Gracias!!

    Responder
    1. tannhausser

      Hola @albert lo que has hecho ha sido escanear una dirección determinada, si quieres escanear toda tu red tienes que hacer

      nmap -sP 192.168.1.0/24

      o bien

      nmap -sP 192.168.1.100-255

      ahí tienen que aparecer el nº de equipos conectados (up), incluyendo el router.

      Si buscas en la red o en la web de nmap encontrarás muchos manuales que te pueden servir

      Saludos!

      Responder
  14. Pingback: Supervisar el tráfico de red de tus aplicaciones con NetHogs | El Blog de Rigo

  15. Alejandro

    ¡Oh crap! El link está caído, y ver que es de Megaupload me hará llorar.
    Te agradecería mucho si vuelves a subir el pdf, suena interesante leer más sobre esta potente herramienta que estoy aprendiendo mucho de ella.
    Saludos y espero respuesta 😀

    Responder
  16. Desktop

    Hola tannhausser, veras se puede escanear cualquier direccion ip ? es decir si ejecuto el comando : nmap XXX.XX.100-255 (EDITADO) podria escanear esas direcciones? y otra cosa no sabes de algun link de alguna pagina que tenga informaciona cerca de nmap que este en español ? Saludos y muy bueno tus post como siempre…

    Responder
    1. tannhausser

      La forma más cómoda de escanear varias direcciones es mediante XXX.XX.XX.* de esa manera escaneas todos los rangos de ip de 0 a 255.

      Con nmap puedes hacer muchos tipos de escaneo: descubrimiento de host, detección del sistema operativo, escaneo de puertos y mucho más. Pero me parece que lo que estas buscando es algo como esto:

      http://tupuerto80.blogspot.com.es/2012/11/manual-de-nmap.html

      En la web oficial de nmap también encontraras mucha información en castellano.

      Un saludo y gracias por comentar

      Responder
      1. Desktop

        Gracias a ti por tomarte el tiempo de responder y darme informacion tan acertada, gracias y tu blog es de lo mejor saludos …

        Responder
  17. Carlos

    Hola Tannhausser

    Me surge una pregunta relacionada con este post. He recivido el típico correo de robo de cuenta de Bankia que me enlaza a una web sin hpps y sin candado donde debería introducir mis datos y contraseña (vamos como ya comento el típico correo fradulento donde tanta gente aun sigue cayendo), Y mi preguna es: ya que al usar thunderbird tengo acceso al código fuente donde me dan la ip desde donde me han enviado el correo, ¿Podría con zenmap y esa ip conocer la dirección u otros datos?

    Te pido disculpas si alguien te hace la misma pregunta más arriba pero por falta de tiempo no las he leido.

    Muchas gracias.

    Carlos

    Responder
    1. tannhausser Autor

      Con Nmap o su frontend Zenmap teniendo la IP que quieres investigar puedes hacer muchas cosas: detectar el sistema operativo, ver puertos abiertos, analizar la red evadiendo firewalls, etc…

      De todas maneras yo no me tomaría tantas molestias: primero no estoy tan seguro de que la IP que ves tu, sea la del que te envió el mensaje y 2ª en según que países (dependiendo de lo que hagas claro) las penas por este tipo de actuaciones son superiores a las de estafa de ese presunto correo 🙂

      Responder
  18. guest

    hola tannhausser =)

    tengo una duda y es que he probado ya muchos parametros con nmap pero aun asi no me aparece nada mas que esto : Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn

    queria escanear una ip pero parece que el firewall esta bloqueando los pings y cuando pongo -Pn no me aparece nada de info ( como si no lo pillara .. o_o)

    no se que estoy haciendo mal…

    gracias ^^

    Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.