Tipos de escaneo nmap.

Alfon · #1 (**permalink**) 21/06/2002, 10:27

Las tres formas principales de escaneo con nmap.

-sT : Escaneo usando paquetes TCP. El destino puede logear nuestra IP ya que se realiza una conexión.

si recive un RST/ACK el puerto está cerrado.
si recive un SYN/ACK el puerto está abierto --> envia un ACK estableciendo coneción.

-sS : Modo oculo usando TCP SYN. Envia un paquete SYN y espera la contestación, en funcion de la respuesta ( un ACK o un RST ). Nunca abre una conexión TCP de ahí lo de modo oculto. Sólo se permite como root o administrador. Es más mucho difícil que nos identifiquen y es más rápido que el escaneoo TCP.

si recive un RST/ACK el puerto está cerrado.
si recive un SYN/ACK el puerto está abierto --> envia un RST rompiendo conexión.

-sU : Escaneo tipo UDP. Escanea los servicios que permiten tráfico UDP. Se envia paquetes UDP de 0 bytes a cada puerto del host destino.

si se recive un mensaje ICMP de puerto no alcanzable: puerto cerrado o no alcanzable
caso contrario se asume que está abierto.
Evidentemente no es nada fiable. Sólo se permite en modo root o administrador ya que usa los socket raw.

Sólo para versiones Windows.

C:\nmap1>nmap --win_help
Windows-specific options:

--win_list_interfaces : list all network interfaces
--win_norawsock : disable raw socket support (para evirar modo root)
--win_forcerawsock : try raw sockets even on non-W2K syst
--win_nopcap : disable winpcap support
--win_nt4route : test nt4 route code
--win_noiphlpapi : test response to lack of iphlpapi.dl
--win_trace : trace through raw IP initialization (aquí veremos si está todo
correcto, version del wincap, etc.)

Ejemplos:

C:\nmap1>nmap --win_list_interfaces
Available interfaces:

Name Raw send Raw recieve IP
loopback0 SOCK_RAW SOCK_RAW 127.0.0.1
eth0 SOCK_RAW SOCK_RAW 192.168.10.3 (este soy yo)

Un saludo,

Alfon · #2 (**permalink**) 21/06/2002, 10:29

Se me olvidaba decir que esto venia a cuento por una pregunta que me hicieron sobre la explicación de estos tres tipos (los más usados por cierto) de escaneos con nmap y las opcionews de "sólo windows". Me pareció bastante interesante y por eso comparto aquí la respuesta.

Un saludo,

Slayer_X · #3 (**permalink**) 21/06/2002, 11:52

btw

nmap -O nos dara el SO operativo ;) si no logra identificarlo nos dara un fingerprint ;)

HTH

(o> Cesar Villegas Ureta
// "Slayer_X"
V_/_ -----BEGIN GEEK CODE BLOCK Version: 3.1-----
GCS d- s+:+ a- C++ UL+++$ P+ L++ E-- W+++ N+ o? K? w+(---)
O? M+ V- PS+ !PE Y+ PGP++ t-- !5 X++ R tv+ b+++ DI? D+++ G++ e+ h+ r y++* UF+++

Alfon · #4 (**permalink**) 24/06/2002, 03:50

Pues si, podriamos aceptar -O como un tipo de escaneo, aunque no lo es exactamente,
ya que "busca" información del S.O. remoto.

Cuando Slayer nos dice que dará un fingerprint, se refiere a una especie de huella digital identificativa del S.O. remoto. Entonces podemos ya referirnos a la técnica en si que es fingerprinting o identificacion por medio de huellas digitales de un Sistema.

Pero es la única manera para identificar un S.O. ?.

Pues no, ya que tenemos los sistemas tradicionales, de toda la vida, como TELNET, FTP o el registro de campos X-Mailer de los correos que nos dan pistas del S.O. que corre en un host remoto.

Otro sistema es el análisis pasivo del S.O. que consiste no en enviar información tal como lo haríamos en un simple escaneo de puertos, si no, que se trata de "esperar" recibir datos del host remoto que queremos analizar. Los datos que recibimos los podemos analizar y destripar de tal menera que si lo comparamos con una tabla de formas de S.O se puede deducir el Sisitema que corre con su versión perfectamente.

El sistema -O de nmap también se le llama análisis activo. Este tipo de análisis tiene muchas técnicas más o menos complicadas, la fácil es la opción -O que informa del S.O directamente.

Un saludo,

Alfon · #5 (**permalink**) 24/06/2002, 04:07

Ejemplos ?.

Aquí dos ejemplos de detección de sistemas operativos en dos host de
mi empresa y con dos formas diferentes,

Método 1
C:\nmap1>nmap -sS -P0 -O -v 192.168.4.5

Starting nmap V. 2.54BETA35 ( www.insecure.org/nmap )
Host INFOGRAFIA5 (192.168.4.5) appears to be up ... good.
Initiating SYN Stealth Scan against INFOGRAFIA5 (192.168.4.5)
Adding open port 135/tcp
Adding open port 139/tcp
Adding open port 445/tcp
The SYN Stealth Scan took 0 seconds to scan 1558 ports.
For OSScan assuming that port 135 is open and port 1 is closed and neither are f
irewalled
Interesting ports on INFOGRAFIA5 (192.168.4.5):
(The 1555 ports scanned but not shown below are in state: closed)
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Remote operating system guess: Windows Millennium Edition (Me), Win 2000, or Win
XP
TCP Sequence Prediction: Class=random positive increments
Difficulty=15428 (Worthy challenge)
IPID Sequence Generation: Incremental

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

Método 2
C:\nmap1>nmap -sS -p 80 -O -v 192.168.4.7

Starting nmap V. 2.54BETA35 ( www.insecure.org/nmap )
Host INFOGRAFIA7 (192.168.4.7) appears to be up ... good.
Initiating SYN Stealth Scan against INFOGRAFIA7 (192.168.4.7)
The SYN Stealth Scan took 0 seconds to scan 1 ports.
Warning: OS detection will be MUCH less reliable because we did not
st 1 open and 1 closed TCP port
The 1 scanned port on INFOGRAFIA7 (192.168.4.7) is: closed
Too many fingerprints match this host for me to give an accurate OS
TCP/IP fingerprint:
SInfo(V=2.54BETA35%P=i686-pc-windows-windows%D=6/24%Time=3D16DB99%O=
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RIPCK=E%UC K=E%ULEN=134%DAT=E

Nmap run completed....

Un saludo,

Alfon · #6 (**permalink**) 24/06/2002, 04:10

La interpretación de los datos, sobre todo la del segundo método, por didacticos que son lo dejamos para otro dia usando como ejemplo una salida a INTENET y no intranet.

Ahora no puedo porque el servidor que uso en el curro se me queda listo de sockes, o como carajo se diga.

Si alguien usa el segundo ejemplo contra un host de internet pos que lo postee aquí y lo interpretamos.

Un saludo,

Alfon · #7 (**permalink**) 25/06/2002, 11:10

Avanzando en este I+D de tipos y técnicas de scaneo.

Obviando de momento la explicación, que si alguien la quiere se explica, valga la redundancia. Tambien se pueden explicar los flags TCP y teoria TCP por si no se entiende.

Técnicas de escaneo y forma de hacerlo con nmap. (Algunas ya las hemos visto) CAda una tiene un objetivo y unas características especiales.

-TCP SYN scan:
nmap -sS
-TCP connect scan:
nmap -sT (creo que si no se pone nada va por defecto)
-TCP ACK scan:
nmap -sA / nmap -sW
-UDP scan:
nmap -sU
-ICMP echo scan:
nmap -sP
-TCP null scan:
nmap -sN

De momento lo dejamos aquí. Tener en cuenta que algunos sólo va si lo hacemos como root o administrador y que por supuesto se pueden asociar con mnás opciones.

Un saludo,

Alfon · #8 (**permalink**) 25/06/2002, 11:50

Como tenemos un hilo abierto con la investigación Snort, dejo aquí, ya que hablamos de scaneos nmap, una regla que detectaría el simple TCP scan conect utilizando la aplicación nmap.

Cual es entonces la regla para la creación de reglas Snort o Snort rules ?. Eso lo dejamos para otro dia.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN nmap TCP";flags:A;ack:0; reference:arachnids,28; classtype:attempted-recon; sid:628; rev:1;)

Hay que fijarse bien en algunos detalles como las "firmas" o identificativos de un escaneo de este tipo que ya hemos explicado. Esto es un buen ejemplo de aplicación de la teoria de scanl TCP conect y TCP/IP.

Un saludo,