Procedimiento paso a paso para ejecutar técnicas de escaneo de puertos

con NMAP

Escenario

En esta práctica se realiza el escaneo de puertos dentro de una red LAN aplicando las técnicas
de; IDLE Scan, STEAL Scan y Windows Scan, utilizando NMAP versión 7.70.
Para la ejecución se utilizan tres máquinas virtuales cargadas en Virtual Box versión 6.0 con
las siguientes características y especificaciones:

- Máquina Virtual 1: Kali Linux - Máquina Virtual 2: Ubuntu Linux

- Máquina Virtual 3: Windows XP:

Requerimientos mínimos de sistema para corres las tres

Máquinas Virtuales en sobre Virtual Box:

1. Sistema Operativo: Windows 7 o superior.

2. Procesador: Intel quadcore a 2.00 Mhz o superior,
arquitectura de 64 bits con soporte de
virtualización.
3. Memoria RAM: 8 GB.
4. Disco duro: HDD 50 GB libres (preferible SSD).
5. Interface de red: Ethernet/WI-FI
Paso a Paso IDLE Scan

1. Instalar kali Linux: Una vez descargada la imagen ISO del sistema operativo desde
la página oficial, proceder a realizar la instalación de la máquina virtual en Virtual
Box, en el proceso de instalación especificar; 2GB RAM y 20 GB disco duro, el resto
de parámetros se especifican de forma común a excepción de elegir en el apartado
“Red” en las configuraciones de la máquina, la opción “adaptador puente” y
seleccionar también la interface de tarjeta “Wireless”

2. Instalar Ubuntu y Windows XP: Para el caso de Windows XP, especificar; 512 Mb
de RAM y 10 GB disco duro, para el caso de Ubuntu, realizar la misma configuración
de la máquina virtual Kali, para ambas realizar el mismo procedimiento de
configuración antes descrito, en el apartado de “Red”. Una vez configuradas e
instaladas las máquinas virtuales correrlas al mismo tiempo y si se percibe lentitud en
alguna de ellas o en el sistema anfitrión, bajar a 1GB de RAM en Kali y Linux, correr
las máquinas virtuales estables.
 3. El escaneo de puertos mediante la técnica IDLE Scan, emplea un “MAN-IN-THE-
MIDDLE” utilizado como un host zombi el cual se encarga de disfrazar la verdadera
identidad del host atacante, haciéndole creer al host víctima o target que el escaneo
provino de este host llamado coloquialmente como zombi.
En esta práctica procederemos a realizar IDLE Scan utilizando como host atacante la
maquina Kali Linux, como host zombi la maquina Windows XP y como host victima la
maquina Ubuntu Linux.

4. Primeramente, identificar que direcciones IP posee cada host, en esta práctica se ha

hecho una red virtual LAN en automático al momento de realizar la carga, instalación
y configuración de máquinas virtuales, por ello es de fácil ejecución detectar que
dirección IP posee cada host, pero en un entorno más real donde no se conoce que
host están dentro de la red o un segmento de red, no es tan trivial conocer la IP, la
herramienta NMAP posee dentro de su set de instrucciones y comandos una técnica
de escaneo de IP que se realizara en pasos posteriores, para este caso verificaremos
la dirección IP de cada host de forma directa.

Atacante: 192.168.43.168 Kali Linux

Zombi: 192.168.43.110 Windows XP

Víctima: 192.168.43.130 Ubuntu Linux

Windows XP
 5. Instalar NMAP en Kali Linux (atacante): Para esta práctica, la máquina virtual
atacante ya contiene instalado NMAP, primeramente, se deberán de actualizar los
repositorios en una sesión de terminal en modo root con los comandos;

# apt-get update
# apt-get upgrade
Posteriormente al término de esta actualización, basta escribir el comando; # nmap, y se
deberá de desplegar la ayuda e información de NMAP.

Si NMAP no se encuentra instalado, se deberá de realizar esta instalación con la ejecución

de los siguientes comandos;

#apt-get install nmap

# apt-get update
# apt-get upgrade
6. Actualizar los repositorios de Ubuntu Linux (victima): Para actualizar los repositorios
en Ubuntu Linux, se ejecutarán los mismos comandos que se ejecutaron en Kali
Linux, en una sesión de terminal en modo root;

#apt-get install
# apt-get update
# apt-get upgrade

7. Instalar iftop en Ubuntu Linux (victima): iftop es una herramienta de analizador de

protocolos que realiza la tarea de monitorizar el tráfico en la red, esta herramienta se
ocupara al momento de escanear los puertos de este host (victima) con Kali Linux
(atacante) para verificar que efectivamente se está utilizando al host zombi como
intermediario, por lo que Ubuntu Linux (victima) detectara que el escaneo lo ha
realizado el host zombi, cuando esto es falso. Para instalar esta herramienta, se
ejecutará en una sesión de terminal en modo root los siguientes comandos;

# apt-get install iftop

#iftop -n  Correr Programa
 8. Encontrar un host zombi: Para poder realizar esta técnica de escaneo, el host zombi
deberá de cumplir con una peculiaridad o característica diferente al resto del host
dentro de la red, esta es que el IPID sea incremental, en la siguiente ilustración se
muestra la forma en que se envían las banderas y la interacción entre los tres
personajes de este método de escaneo, observar el incremento en el IPID del host
zombi en ambos casos (puerto cerrado y puerto abierto):

Kali Linux incorpora una herramienta que hace uso de las vulnerabilidades conocidas en los
sistemas de red informático, esta herramienta es metasploid, en esta práctica se utilizará en
específico un módulo de metasploid llamado “ipidseq” el cual dirá de forma concreta cuales
host dentro de la red LAN se podrán usar como zombis.
Para ejecutar metasploid en Kali Linux (atacante) se deberá ejecutar en una sesión de terminal
en modo root los siguientes comandos;
#msfconsole  Inicia metasploid

# use scanner/ip/ipidseq  Usar el módulo ipidseq

#set RHOSTS 192.168.43.0/24

#set THREADS 50

#show options
 #run  Correr el escaneo de la red

En la imagen anterior se observa que al correr el módulo “ipidseq” de metasploid, este ha

devuelto como resultado que host (direcciones IP) pueden ser utilizados como zombis, la
dirección 192.168.43.110 pertenece a la máquina virtual Windows XP (zombi).

9. Ejecutar el IDLE Scan desde Kali Linux (atacante): Hasta el momento se ha hablado
de los procedimientos preliminares para hacer que esta práctica funcione y se ejecute
en un ambiente de prueba pues como se ha mostrado se tiene control total en los tres
hosts que participan en esta técnica de escaneo.
Primeramente, se tendrá que abrir la herramienta de análisis de protocolos que se ha instalado
en Ubuntu Linux (victima), para ello ejecutar una sesión de terminal en modo root e ingresar
el siguiente comando:
#iftop –n
Para realizar IDLE Scan, ejecutar en una sesión de terminal en modo root el siguiente
comando:

# nmap –Pn –sI 192.168.43.110 192.168.43.130

Donde;
-Pn: Trate a todos los hosts como en línea, omite el descubrimiento del host.
-sI: <zombie host>[:<probeport>] (escaneo inactivo)
Este método de exploración avanzada permite una exploración del puerto TCP
verdaderamente ciego del objetivo (lo que significa que no se envían paquetes al destino
desde su dirección IP real). En su lugar, un único ataque de canal lateral explota la
predecible generación de ID de fragmentación de IP en el host zombi para recopilar
información sobre los puertos abiertos en el destino. Los sistemas IDS mostrarán el
escaneo como proveniente de la máquina zombi que especifiques (que debe estar activa
y cumplir con ciertos criterios). Los detalles completos de este fascinante tipo de escaneo
se encuentran en la sección llamada "TCP Idle Scan ( -sI)" .
 Además de ser extraordinariamente sigiloso (debido a su naturaleza ciega), este tipo de
exploración permite trazar relaciones de confianza basadas en IP entre máquinas. La lista
de puertos muestra puertos abiertos desde la perspectiva del host zombi. Así que puedes
intentar escanear un objetivo utilizando varios zombis en los que crees que podrías
confiar. (A través de enrutador / reglas de filtro de paquetes).
Puede agregar dos puntos seguidos por un número de puerto al host zombi si desea probar
un puerto particular en el zombi para cambios de ID de IP. De lo contrario, NMAP usará
el puerto que usa de forma predeterminada para pings TCP (80).
192.168.43.110: Dirección IP Maquina zombi
192.168.43.130: Dirección IP Maquina victima

10. Resultados: El resultado de esta técnica de escaneo será la que muestra cada host en
su terminal (a excepción del host zombi que solo muestra su dirección IP)

Zombi
Victima

Atacante

Como se aprecia el host Ubuntu Linux (victima) ha detectado mediante iftop una petición
desde la dirección IP del host Windows XP (Zombi), ocultando por completo la verdadera
identidad del host Kali Linux (atacante).
Kali Linux (atacante) ha obtenido la lectura de los puertos, el nombre del servicio que corre
dentro de ese puerto y el status, además de información adicional como la dirección física de
la host víctima, pasando desapercibido.
Paso a Paso Steal Scan

1. Para ejecutar un análisis o escaneo de puertos mediante la técnica Steal Scan con
NMPAP, abrir una sesión de terminal en modo root en el host Kali Linux(atacante)
e ingresar el siguiente comando:

#nmap -Pn –sS 192.168.43.130

Donde;

-Pn: Trate a todos los hosts como en línea, omite el descubrimiento del host.
-Ss: (TCP SYN scan)
- 192.168.43.130: Dirección IP de la víctima.

El escaneo SYN es la opción de escaneo predeterminada y más popular por buenas

razones. Se puede realizar rápidamente, escaneando miles de puertos por segundo en una
red rápida no obstaculizada por cortafuegos restrictivos. También es relativamente
discreto y sigiloso, ya que nunca completa las conexiones TCP. La exploración SYN
funciona contra cualquier pila TCP compatible en lugar de depender de la idiosincrasia
de plataformas específicas como lo hacen las exploraciones FIN / NULL / Xmas, Maimon
e inactivas de Nmap. También permite la diferenciación y fiable entre los open, closed y
filtered estados.
Esta técnica a menudo se conoce como escaneo medio abierto, porque no abre una
conexión TCP completa. Envía un paquete SYN, como si fuera a abrir una conexión real
y luego espere una respuesta. Un SYN / ACK indica que el puerto está escuchando
(abierto), mientras que un RST (reinicio) es indicativo de que no se escucha. Si no se
recibe respuesta después de varias retransmisiones, el puerto se marca como filtrado. El
puerto también está marcado como filtrado si se recibe un error de ICMP inalcanzable
(tipo 3, código 0, 1, 2, 3, 9, 10 o 13). El puerto también se considera abierto si se recibe
un paquete SYN (sin el indicador ACK) como respuesta. Esto puede deberse a una
característica TCP extremadamente rara conocida como una conexión simultánea abierta
o dividida (consulte https://nmap.org/misc/split-handshake.pdf ).

2. Resultados: En la siguiente imagen se muestra el resultado del escaneo de puertos en

la terminal del host Kali Linux (atacante).
Paso a Paso Window Scan

1. Para ejecutar un análisis o escaneo de puertos mediante la técnica Window Scan con
NMPAP, abrir una sesión de terminal en modo root en el host Kali Linux(atacante)
e ingresar el siguiente comando:

#nmap –Pn –sW 192.168.43.130

Donde;

-Pn: Trate a todos los hosts como en línea, omite el descubrimiento del host.
-sW: (Exploración de la ventana TCP)
- 192.168.43.130: Dirección IP de la víctima.

El escaneo de la ventana es exactamente igual al escaneo ACK, excepto que explota un

detalle de implementación de ciertos sistemas para diferenciar los puertos abiertos de los
cerrados, en lugar de imprimir siempre unfiltered cuando se devuelve un RST. Para ello,
examina el campo de la ventana TCP de los paquetes RST devueltos. En algunos
sistemas, los puertos abiertos utilizan un tamaño de ventana positivo (incluso para
paquetes RST), mientras que los cerrados tienen una ventana de cero. Entonces, en lugar
de siempre listar un puerto como unfilteredcuando recibe un respaldo de RST, el escaneo
de la ventana muestra el puerto como open o closed si el valor de la ventana TCP en ese
reinicio es positivo o cero, respectivamente.
Este escaneo se basa en un detalle de implementación de una minoría de sistemas en
Internet, por lo que no siempre puede confiar en él. Los sistemas que no lo admiten
generalmente devolverán todos los puertos closed. Por supuesto, es posible que la
máquina realmente no tenga puertos abiertos. Si la mayoría de los puertos escaneados
son closed solo unos pocos números de puertos comunes (como 22, 25, 53) filtered, el
sistema es más probable que sea susceptible. Ocasionalmente, los sistemas incluso
mostrarán el comportamiento opuesto exacto. Si su escaneo muestra 1,000 puertos
abiertos y tres puertos cerrados o filtrados, entonces esos tres pueden muy bien ser los
verdaderamente abiertos.

2. Resultados: En la siguiente imagen se muestra el resultado del escaneo de puertos en

la terminal del host Kali Linux (atacante).