c
 c


nmap ² Herramienta de exploración de redes y de sondeo de seguridad / puertos

’

nmap [î
 ...] [ î

 ] { î

 

 }

ë 

?map (³mapeador de redes´) es una herramienta de código abierto para
exploración de red y auditoría de seguridad. Se diseñó para analizar rápidamente
grandes redes, aunque funciona muy bien contra equipos individuales. ?map
utiliza paquetes IP "crudos" («raw», ?. del T.) en formas originales para
determinar qué equipos se encuentran disponibles en una red, qué servicios
(nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus
versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están
utilizando así como docenas de otras características. Aunque generalmente se
utiliza ?map en auditorías de seguridad, muchos administradores de redes y
sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el
inventariado de la red, la planificación de actualización de servicios y la
monitorización del tiempo que los equipos o servicios se mantiene activos.

La salida de ?map es un listado de objetivos analizados, con información

adicional para cada uno dependiente de las opciones utilizadas. La información
primordial es la³tabla de puertos interesantes´. Dicha tabla lista el número de
puerto y protocolo, el nombre más común del servicio, y su estado. El estado
puede ser 2pen (abierto),filtered (filtrado), cl2 ed (cerrado), o unfiltered (no
filtrado). Abierto significa que la aplicación en la máquina destino se encuentra
esperando conexiones o paquetes en ese puerto. Filtrad2 indica que un
cortafuegos, filtro, u otro obstáculo en la red está bloqueando el acceso a ese
puerto, por lo que ?map no puede saber si se encuentra abiert2 o cerrad2. Los
puertos cerrad2 no tienen ninguna aplicación escuchando en los mismos,
aunque podrían abrirse en cualquier momento. Los clasificados como n2

filtrad2 son aquellos que responden a los sondeos de ?map, pero para los que
que?map no puede determinar si se encuentran abiertos o cerrados. ?map
informa de las combinaciones de
estado 2pen|filtered y cl2 ed|filtered cuando no puede determinar en cual de
los dos estados está un puerto. La tabla de puertos también puede incluir detalles
de la versión de la aplicación cuando se ha solicitado detección de versiones.
?map ofrece información de los protocolos IP soportados, en vez de puertos
abiertos, cuando se solicita un análisis de protocolo IP con la opción (ü ).

Además de la tabla de puertos interesantes, ?map puede dar información

adicional sobre los objetivos, incluyendo el nombre de D?S según la resolución
inversa de la IP, un listado de sistemas operativos posibles, los tipos de
dispositivo, y direcciones MAC.

Puede ver un análisis típico con ?map en Example 1, ³Ejemplo típico de análisis
con ?map´. Los únicos parámetros de ?map que se utilizan en este ejemplo son
la opciónü , que habilita la detección de sistema operativo y versión, y la
opción ü
 que acelerar el proceso, y después el nombre de los dos objetivos.
Cuando se ejecuta ?map sin parámetros se muestra este resumen de opciones.
Puede encontrar siempre la última versión
enhttp://www.insecure.org/nmap/data/nmap.usage.txt. Aunque ayuda a recordar
las opciones más habituales no es un sustituto de la documentación en detalle que
acompaña al resto de este manual. Algunas de las opciones menos conocidas no
se incluyen aquí.

Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos}

ESPECIFICACIÓ? DE OBJETIVO:
Se pueden indicar nombres de sistema, direcciones IP, redes, etc.
Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <archivo_entrada>: Lee una lista de sistemas/redes del archivo.
-iR <número de sistemas>: Selecciona objetivos al azar
--exclude <sist1[,sist2][,sist3],...>: Excluye ciertos sistemas o redes
--excludefile <fichero_exclusión>: Excluye los sistemas indicados en el fichero
DESCUBRIMIE?TO DE HOSTS:
-sL: Sondeo de lista - Simplemente lista los objetivos a analizar
-sP: Sondeo Ping - Sólo determina si el objetivo está vivo
-P0: Asume que todos los objetivos están vivos
-
PS/PA/PU [listadepuertos]: Análisis TCP SY?, ACK o UDP de los puertos indic
ados
-
PE/PP/PM: Solicita un análisis ICMP del tipo echo, marca de fecha y máscara de
red
-n/-R: ?o hacer resolución D?S / Siempre resolver [por omisión: a veces]
--dns-servers <serv1[,serv2],...>: Especificar servidores D?S específicos
--system-dns: Utilizar la resolución del sistema operativo
TÉC?ICAS DE A? LISIS:
-sS/sT/sA/sW/sM: Análisis TCP SY?/Connect()/ACK/Window/Maimon
-s?/sF/sX: Análisis TCP ?ull, FI?, y Xmas
--scanflags <indicador>: Personalizar los indicadores TCP a utilizar
-sI <sistema zombi[:puerto_sonda]>: Análisis pasivo («Idle», ?. del T.)
-sO: Análisis de protocolo IP
-b <servidor ftp rebote>: Análisis por rebote FTP
ESPECIFICACIÓ? DE PUERTOS Y ORDE? DE A? LISIS:
-p <rango de puertos>: Sólo sondear los puertos indicados
Ej: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080
-F: Rápido - Analizar sólo los puertos listados en el archivo nmap-services
-r: Analizar los puertos secuencialmente, no al azar.
DETECCIÓ? DE SERVICIO/VERSIÓ?:
 -sV: Sondear puertos abiertos, para obtener información de servicio/versión
--version-intensity <nivel>: Fijar de 0 (ligero) a 9 (probar todas las sondas)
--version-light: Limitar a las sondas más probables (intensidad 2)
--version-all: Utilizar todas las sondas (intensidad 9)
--version-trace: Presentar actividad detallada del análisis (para depurar)
DETECCIÓ? DE SISTEMA OPERATIVO
-O: Activar la detección de sistema operativo (SO)
--osscan-limit: Limitar la detección de SO a objetivos prometedores
--osscan-guess: Adivinar el SO de la forma más agresiva
TEMPORIZADO Y RE?DIMIE?TO:
-T[0-
5]: Seleccionar plantilla de temporizado (los números altos son más rápidos)
--min-hostgroup/max-hostgroup <tamaño>: Paralelizar los sondeos
--min-parallelism/max-parallelism <msegs>: Paralelización de sondeos
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <msegs>: Indica
el tiempo de ida y vuelta de la sonda
--max-retries <reintentos>: Limita el número máximo de retransmisiones de las
sondas de análisis de puertos
--host-timeout <msegs>: Abandonar un objetivo pasado este tiempo
--scan-delay/--max-scan-delay <msegs>: Ajusta el retraso entre sondas
EVASIÓ? Y FALSIFICACIÓ? PARA CORTAFUEGOS/IDS:
-f; --mtu <valor>: fragmentar paquetes (opc. con el MTU indicado)
-D <señuelo1,señuelo2[,ME],...>: Disimular el análisis con señuelos
?. del T.: «ME» es «YO» mismo.
-S <Dirección_IP>: Falsificar la dirección IP origen
-e <interfaz>: Utilizar la interfaz indicada
-g/--source-port <numpuerto>: Utilizar el número de puerto dado
--data-length <num>: Agregar datos al azar a los paquetes enviados
--ttl <val>: Fijar el valor del campo time-to-live (TTL) de IP
--spoof-
mac <dirección mac/prefijo/nombre de fabricante>: Falsificar la dirección MAC
--badsum: Enviar paquetes con una suma de comprobación TCP/UDP falsa
SALIDA:
-o?/-oX/-oS/-oG <file>: Guardar el sondeo en formato normal, XML,
s|<rIpt kIddi3 (n3n3b4n4n4), y Grepeable (para usar con grep(1), ?. del T.),
respectivamente, al archivo indicado.
-oA <nombre_base>: Guardar en los tres formatos principales al mismo tiempo
-v: Aumentar el nivel de mensajes detallados (-vv para aumentar el efecto)
-d[nivel]: Fijar o incrementar el nivel de depuración (Tiene sentido hasta 9)
--packet-trace: Mostrar todos los paquetes enviados y recibidos
--iflist: Mostrar interfaces y rutas (para depurar)
 --append-
output: Agregar, en vez de sobreescribir, a los archivos indicados con -o.
--resume <archivo>: Retomar un análisis abortado/detenido
--
stylesheet <ruta/URL>: Convertir la salida XML a HTML según la hoja de estilo
XSL indicada
--
webxml: Referenciar a la hoja de estilo de Insecure.Org para tener un XML más
portable
--no_stylesheet: ?o asociar la salida XML con ninguna hoja de estilos XSL
MISCEL ?EO:
-6: Habilitar análisis IPv6
-A: Habilita la detección de SO y de versión
--datadir <nombreDir>: Indicar la ubicación de los archivos de datos ?map
personalizados.
--send-eth/--send-ip: Enviar paquetes utilizando tramas Ethernet o paquetes IP
"crudos"
--privileged: Asumir que el usuario tiene todos los privilegios
-V: Muestra el número de versión
-h: Muestra esta página resumen de la ayuda.
EJEMPLOS:
nmap -v -A scanme.nmap.org
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80

· 

  

Todo lo que se escriba en la línea de parámetros de ?map que no sea una opción
se considera una especificación de sistema objetivo. El caso más sencillo es la
indicación de sólo una IP, o nombre de sistema, para que sea analizado.

Puede darse la situación en que uno desee analizar una red completa de equipos
adyacentes. ?map soporta el direccionamiento estilo CIDR para estos casos.
Puede añadir /î
 a una dirección IP o nombre de sistema para que ?map
sondee toda IP cuyos primeros î
 sean los mismos que los de la dirección
IP o nombre de sistema indicado. Por ejemplo, 192.168.10.0/24 analizaría los
256 sistemas que existen entre la dirección 192.168.10.0 (que en binario se
representa como **
* * *
* *
) y la dirección
192.168.10.255 (binario: **
* * *
* *
********), ambas
inclusives. De hecho, si usa 192.168.10.40/24 obtendría exactamente el mismo
resultado. En el caso del sistema scanme.nmap.org que posee una dirección IP
205.217.153.62, la especificación scanme.nmap.org/16 analizaría las 65.536
direcciones IP entre 205.217.0.0 y 205.217.255.255. La máscara mas pequeña
permitida es /1, que analizaría media Internet. La más grande, /32, analizaría
únicamente la IP o nombre de sistema indicados porque todos los bits estarían
fijos.

La notación CDIR es breve pero no siempre es suficiemente flexible. Por

ejemplo, puede querer sondear la red 192.168.0.0/16 pero omitir cualquier IP que
termine por .0 o por .255 ya que son habitualmente direcciones de difusión. Es
posible hacer esto con ?map mediante el direccionamiento por octetos. En lugar
de especificar una dirección IP normal puede especificar una lista separada por
comas de números o rangos para cada octeto. Por ejemplo, si utiliza 192.168.0-
255.1-254 se omitirán todas las direcciones del rango que terminen en .0 o .255.
Los rangos no tienen por qué estar limitados a los últimos octetos. Por ejemplo, si
especifica 0-255.0-255.13.37 se realizará un sondeo en todo Internet de las
direcciones IP que terminan en 13.37. Este tipo de muestreo amplio puede ser útil
para encuestas en Internet y con fines de investigación.

Sólo puede especificar direcciones IPv6 si utiliza su nombre IPv6 totalmente

cualificado o su nombre de sistema. ?o se soporta el uso de CIDR o rangos de
octetos para IPv6 porque raramente son útiles.

Con ?map puede especificar múltiples sistemas en la línea de órdenes y no

tienen por qué ser del mismo tipo. Por ejemplo, la orden


 
 hace lo que uno esperaría.

Aunque habitualmente se especifican los objetivos en la línea de órdenes puede

utilizar las siguientes opciones para controlar la selección de objetivos:

üiL<archiv2entrada> (Entrada de una lista)

Toma la especificación de objetivos del archivo î 
  .

Habitualmente es un tanto molesto especificar una lista de sistemas muy
grande en la línea de órdenes, pero es algo que también uno quiere hacer.
Por ejemplo, si tu servidor DHCP puede exportar un listado de las 10.000
direcciones entregadas IP que querría analizar. O tal vez quiera analizar
todas las direcciones IP p
p esas mismas direcciones, para así localizar
sistemas que estén utilizando direcciones IP estáticas sin autorización.
Para sondear un número elevado de objetivos sólo tiene que generar la
lista en un archivo, y entregárselo a ?map con la opción üiL. Las entradas
de ese archivo pueden estar en cualquiera de los formatos aceptados por
?map en la línea de órdenes (direcciones IP, nombres de sistema, CIDR,
 IPv6 o rangos de octeto). Cada elemento debe estar separado por uno o
más espacios, tabuladores, o por líneas. Si quiere leer el archivo de la
entrada estándar puede especificar un guión (ü) como nombre de archivo.

üiR<cant.
i tema > (Elegir objetivos al azar)

Cuando se quieren realizar encuestas que cubran toda Internet uno puede
querer elegir objetivos al azar. La opción î 
  indica a ?map
cuántas direcciones IP debe generar aleatoriamente. Se filtran de forma
automática las direcciones no deseables, incluyendo las direcciones
privadas, de multicast o direccionamiento no asignado. Si se utiliza el
valor , ?map realizará un análisis que no acabará nunca. Hay que tener
en cuenta que a algunos administradores de red puede no gustarle que les
analicen sus redes, y pueden llegar a quejarse ¡Utilice esta opción bajo su
propia responsabilidad! Si está realmente aburrido un día de tarde lluviosa,
puede intentar la orden
’ ’ para encontrar
servidores web al azar para navegar.

üüexclude<equip2*
equip2
equip2...> (Excluir equipo o redes)

Indica con una lista separada por comas los objetivos que deben excluirse
del análisis. Se excluirán aunque se encuentren dentro de un rango
especificado en la línea de órdenes. La lista que se indica utiliza la sintaxis
normal de ?map, por lo que puede incluir nombres de equipo, rangos de
red CIDR, rangos de octeto, etc. Esto puede ser útil cuando la red a
analizar tiene objetivos que no se deben tocar, como puedan ser servidores
de misión crítica, que pueden reaccionar adversamente a un análisis de
puertos, o si la red incluye subredes administradas por otras personas.

üüexcludefile<archiv2> (Excluir desde una Lista)

Al igual que üüexclude, esta función permite excluir objetivos, pero en

lugar de utilizar la línea de órdenes toma el listado de un î 
 , que
utiliza la misma sintaxis que la opción üiL.

ë  


Uno de los primeros pasos en cualquier misión de reconocimiento de red es el de
reducir un (muchas veces enorme) conjunto de rangos de direcciones IP en una
lista de equipos activos o interesantes. Analizar cada puerto de cada una de las
direcciones IP es lento, y usualmente innecesario. Por supuesto, lo que hace a un
sistema interesante depende ampliamente del propósito del análisis. Los
administradores de red pueden interesarse sólo en equipos que estén ejecutando
un cierto servicio, mientras que los auditores de seguridad pueden interesarse en
todos y cada uno de los dispositivos que tengan una dirección IP. Un
administrador puede sentirse cómodo con obtener un listado de equipos en su red
interna mediante un ping ICMP, mientras que un consultor en seguridad
realizando un ataque externo puede llegar a utilizar un conjunto de docenas de
sondas en su intento de saltarse las restricciones de los cortafuegos.

Siendo tan diversas las necesidades de descubrimiento de sistemas, ?map ofrece

una gran variedad de opciones para personalizar las técnicas utilizadas. Al
descubrimiento de sistemas («Host Discovery») se lo suele llamar sondeo ping,
pero va más allá de la simple solicitud ICMP echo-request de los paquetes
asociados al querido y nunca bien ponderado ping. Los usuarios pueden evitar el
paso de ping utilizando un sondeo de lista (ü L) o deshabilitando el ping (ü ), o
enviando combinaciones arbitrarias de sondas TCP SY?/ACK, UDP e ICMP a
múltiples puertos de la red remota. El propósito de estas sondas es el de solicitar
respuestas que demuestren que una dirección IP se encuentra activa (está siendo
utilizada por un equipo o dispositivo de red). En varias redes solo un pequeño
porcentaje de direcciones IP se encuentran activos en cierto momento. Esto es
particularmente común en las redes basadas en direccionamiento privado
RFC1918, como la 10.0.0.0/8. Dicha red tiene más de 16 millones de direcciones
IP, pero la he visto siendo utilizada por empresas con menos de mil máquinas. El
descubrimiento de sistemas puede encontrar dichas maquinas en un rango tan
grande como el indicado.

Si no se proveen opciones de descurbrimiento de sistemas, ?map envía un

paquete TCP ACK al puerto 80 y un ICMP Echo Request a cada máquina
objetivo. Una excepción a este comportamiento es cuando se utiliza un análisis
ARP, para los objetivos que se encuentren en la red Ethernet local. Para usuarios
de shell U?IX que no posean privilegios, un paquete SY? es enviado en vez del
ACK, utilizando la llamada al sistema c2nnect(). Estos valores por omisión son
el equivalente a las opciones ü
ü. Este descubrimiento de sistemas es
generalmente suficiente cuando se analizan redes locales, pero para auditorías de
seguridad se recomienda utilizar un conjunto más completo de sondas de
descubrimiento.

Las opciones ü (que permiten seleccionar los tipos de ping) pueden
combinarse. Puede aumentar sus probabilidades de penetrar cortafuegos estrictos
enviando muchos tipos de sondas utilizando diferentes puertos o banderas TCP y
códigos ICMP. Recuerde que el ARP discovery (üR) se realiza por omisión
contra objetivos de la red Ethernet local incluso si se especifica otra de las
opciones ü, porque es generalmente más rápido y efectivo.
Las siguientes opciones controlan el descubrimiento de sistemas.

ü L (Sondeo de lista)

El sondeo de lista es un tipo de descubrimiento de sistemas que tan solo

lista cada equipo de la/s red/es especificada/s, sin enviar paquetes de
ningún tipo a los objetivos. Por omisión, ?map va a realizar una
resolución inversa D?S en los equipos, para obtener sus nombres. Es
sorprendente cuanta información útil se puede obtener del nombre de un
sistema. Por ejemplo fw.chi.playb2y.c2m es el cortafuegos de la oficina en
Chicago de Playboy Enterprises. Adicionalmente, al final, ?map reporta el
número total de direcciones IP. El sondeo de lista es una buena forma de
asegurarse de que tenemos las direcciones IP correctas de nuestros
objetivos. Si se encontraran nombres de dominio que no reconoces, vale la
pena investigar un poco más, para evitar realizar un análisis de la red de la
empresa equivocada.

Ya que la idea es simplemente emitir un listado de los sistemas objetivo,

las opciones de mayor nivel de funcionalidad como análisis de puertos,
detección de sistema operativo, o análisis ping no pueden combinarse con
este sondeo. Si desea deshabilitar el análisis ping aún realizando dicha
funcionalidad de mayor nivel, compruebe la documentación de la opción ü
 .

ü  (Sondeo ping)

Esta opción le indica a ?map que ‰

p p realice descubrimiento de

sistemas mediante un sondeo ping, y que luego emita un listado de los
equipos que respondieron al mismo. ?o se realizan más sondeos (como un
análisis de puertos o detección de sistema operativo). A diferencia del
sondeo de lista, el análisis ping es intrusivo, ya que envía paquetes a los
objetivos, pero es usualmente utilizado con el mismo propósito. Permite
un reconocimiento liviano de la red objetivo sin llamar mucho la atención.
El saber cuántos equipos se encuentran activos es de mayor valor para los
atacantes que el listado de cada una de las IP y nombres proporcionado por
el sondeo de lista.

De la misma forma, los administradores de sistemas suelen encontrar

valiosa esta opción. Puede ser fácilmente utilizada para contabilizar las
máquinas disponibles en una red, o monitorizar servidores. A esto se lo
suele llamar barrido ping, y es más fiable que hacer ping a la dirección de
broadcast, ya que algunos equipos no responden a ese tipo de consultas.
 La opción ü  envía una solicitud de eco ICMP y un paquete TCP al
puerto 80 por omisión. Cuando un usuario sin privilegios ejecuta ?map se
envía un paquete SY? (utilizando la llamada c2nnect()) al puerto 80 del
objetivo. Cuando un usuario privilegiado intenta analizar objetivos en la
red Ethernet local se utilizan solicitudes ARP (üR) a no ser que se
especifique la opción üü endüip.

La opción ü  puede combinarse con cualquiera de las opciones de sondas

de descubrimiento (las opciones ü, excepto ü ) para disponer de mayor
flexibilidad. Si se utilizan cualquiera de las opciones de sondas de
descubrimiento y número de puerto, se ignoran las sondas por omisión
(ACK y solicitud de eco ICMP). Se recomienda utilizar estas técnicas si
hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta
?map y la red objetivo. Si no se hace así pueden llegar a pasarse por alto
ciertos equipos, ya que el cortafuegos anularía las sondas o las respuestas a
las mismas.

ü (?o realizar ping)

Con esta opción, ?map no realiza la etapa de descubrimiento. Bajo

circunstancias normales, ?map utiliza dicha etapa para determinar qué
máquinas se encuentran activas para hacer un análisis más agresivo. Por
omisión, ?map sólo realiza ese tipo de sondeos, como análisis de puertos,
detección de versión o de sistema operativo contra los equipos que se están
«vivos». Si se deshabilita el descubrimiento de sistemas con la opción ü
 entonces ?map utilizará las funciones de análisis solicitadas
contra  las direcciones IP especificadas. Por lo tanto, si se especifica
una red del tamaño de una clase B cuyo espacio de direccionamiento es de
16 bits, en la línea de órdenes, se analizará cada una de las 65.536
direcciones IP. El segundo carácter en la opción ü es un cero, y no la
letra O. Al igual que con el sondeo de lista, se evita el descubrimiento
apropiado de sistemas, pero, en vez de detenerse y emitir un listado de
objetivos, ?map continúa y realiza las funciones solicitadas como si cada
IP objetivo se encontrara activa.

ü

li ta
de
puert2  (Ping TCP SY?)

Esta opción envía un paquete TCP vacío con la bandera SY? puesta. El
puerto destino por omisión es el 80 (se puede configurar en tiempo de
compilación cambiando el valor de DEFAULT_TCP_PROBE_PORT
en nmap.h), pero se puede añadir un puerto alternativo como parámetro.
También se puede especificar una lista de puertos separados por comas
 (p.ej. ü ***   ). Si hace esto se enviarán sondas en
paralelo a cada uno de los puertos.

La bandera SY? indica al sistema remoto que quiere establecer una

conexión. ?ormalmente, si el puerto destino está cerrado se recibirá un
paquete RST (de «reset»). Si el puerto está abierto entonces el objetivo
responderá con el segundo paso del saludo en tres pasos TCP
respondiendo con un paquete TCP SY?/ACK. El sistema donde se ejecuta
?map romperá la conexión que se está estableciendo enviando un paquete
RST en lugar de enviar el paquete ACK que completaría el saludo TCP.
?map no envía este paquete, sino que lo envía el núcleo del sistema donde
se ejecuta ?map respondiendo al paquete SY?/ACK que no esperaba.

A ?map no le importa si el puerto está abierto o cerrado. Si, tal y como se

acaba de describir, llega una respuesta RST ó SY?/ACK entonces ?map
sabrá que el sistema está disponible y responde.

En sistemas U?IX, generalmente sólo el usuario privilegiado r22t puede

enviar paquetes TCP crudos. Los usuarios no privilegiados tienen una
forma de evitar esta restricción utilizando la llamada al sistema
«connect()» contra el puerto destino. Esto hace que se envíe el paquete
SY? al sistema, para establecer la conexión. Si la llamada «connect()»
devuelve un resultado de éxito rápidamente o un fallo ECO??REFUSED
entonces se puede deducir que la pila TCP que tiene bajo ésta ha recibido
un SY?/ACK o un RST y que puede marcar el sistema como disponible.
El sistema se puede marcar como no disponible si el intento de conexión
se mantiene parado hasta que vence un temporizador. Esta es también la
forma en la que se gestiona esto en conexiones IPv6 ya que ?map aún no
puede crear paquetes IPv6 crudos.

ü

li ta
de
puert2  (Ping TCP ACK)

El ping TCP ACK es muy parecido al ping SY? que se acaba de tratar. La
diferencia es que en este caso se envía un paquete con la bandera ACK en
lugar de la SY?. Este paquete indica que se han recibido datos en una
conexión TCP establecida, pero se envían sabiendo que la conexión no
existe. En este caso los sistemas deberían responder con un paquete RST,
lo que sirve para determinar que están vivos.

La opción ü utiliza el mismo puerto por omisión que la sonda SY? (el
puerto 80) y también puede tomar una lista de puertos destino en el mismo
formato. Si un usuario sin privilegios intenta hacer esto, o se especifica un
 objetivo IPv6, se utiliza el procedimiento descrito anteriormente. Aunque
en este caso el procedimiento no es perfecto porque la llamada
«connect()» enviará un paquete SY? en lugar de un ACK.

Se ofrecen tanto mecanismos de sondeo con ping SY? y ACK para

maximizar las posibilidades de atravesar cortafuegos. Muchos
administradores configuran los enrutadores y algunos cortafuegos
sencillos para que se bloqueen los paquetes SY? salvo para aquellos
destinados a los servicios públicos, como pudieran ser el servidor web o el
servidor de correo de la organización. Esto evita que se realicen otras
conexiones entrantes al mismo tiempo que permite a los usuarios realizar
conexiones salientes a Internet. Este acercamiento de filtrado sin estados
toma pocos recursos de los cortafuegos/enrutadores y está ampliamente
soportado por filtros hardware y software. El programa de cortafuegos
?etfilter/iptables de Linux ofrece la opción üü yn para implementar este
acercamiento sin estados. Cuando se han implementado reglas de filtrado
como éstas es posible que se bloqueen las sondas ping SY? (ü) cuando
éstas se envíen a un puerto cerrado. Sin embargo, en estos casos, las
sondas ACK podrían saltarse las reglas y llegar a su destino.

Otros tipos de cortafuegos comunes utilizan reglas con estados que

descartan paquetes no esperados. Esta funcionalidad se encontraba antes
fundamentalmente en los cortafuegos de gama alta pero se ha hecho cada
vez más común. El sistema ?etfilter/iptables de Linux soporta esta
posibilidad a través de la opción üü tate, que hace categorías de paquetes
en base a su estado de conexión. En estos sistemas es más probable que
funcione una sonda SY?, dado que los paquetes ACK no esperados se
reconocen como falsos y se descartan. Una solución a este dilema es
enviar sondas SY? y ACK especificando tanto la opción ü como ü .

ü

li ta
de
puert2  (Ping UDP)

El ping UDP es otra opción para descubrir sistemas. Esta opción envía un
paquete UDP vacío (salvo que se especifique üüdataülength) a los puertos
indicados. La lista de puertos se debe dar en el mismo formato que se ha
indicado anteriormente para las opciones ü y ü . Si no se especifica
ningún puerto se utiliza el puerto 31338 por omisión. Se puede configurar
este puerto por omisión en el momento de compilar cambiando
DEFAULT_UDP_PROBE_PORT en nmap.h. Se utiliza un puerto alto y
poco común por omisión porque no es deseable enviar este sondeo a otro
tipo de puertos.
 La sonda UDP debería generar un paquete ICMP de puerto no alcanzable
si da contra un puerto cerrado en el equipo objetivo. Si llega éste entonces
?map puede identificar ese sistema como vivo y alcanzable. Otros errores
ICMP, como el de sistema o red inalcanzables o TTL excedido indican un
sistema que está muerto o que no es alcanzable. Si no llega ninguna
respuesta también se entiende que el sistema no está disponible. Si se
alcanza un puerto abierto la mayoría de los servicios simplemente
descartarán el paquete vacío y no devolverán ninguna respuesta. Ésta es la
razón por la que se utiliza el puerto por omisión 31338 ya que es poco
probable que esté utilizándose. Algunos servicios, como chargen,
responderán con un paquete UDP vacío lo que ayuda a ?map a determinar
que el sistema está disponible.

La principal ventaja de este tipo de sondeos es que atraviesan cortafuegos

y filtros que sólo analizan TCP. Yo, por ejemplo, una vez fui propietario
de un encaminador de banda ancha inalámbrico BEFW11S4. El interfaz
externo de este dispositivo filtraba por omisión todos los puertos TCP,
pero las sondas UDP podían generar mensajes de puerto no alcanzable y
permitían detectar al dispositivo.

ü; ü; ü (Tipos de ping ICMP)

?map puede enviar los paquetes estándar que envía el

programa ping además de los tipos de descubrimiento de equipos con TCP
y UDP. ?map envía paquetes ICMP tipo 7 («echo request») a las
direcciones IP objetivos y espera recibir un tipo 0 («Echo Reply») de los
sistemas que estén disponibles. Lamentablemente para los exploradores de
redes, muchos sistemas y cortafuegos ahora bloquean esos paquetes en
lugar de responder como requiere el estándar RFC 1122. Por ésta razón los
sondeos que sólo utilizan el protocolo ICMP no son muy fiables para
analizar sistemas desconocidos en Internet. Aunque pueda ser una forma
eficiente y práctica de hacerlo para administradores que tengan que
monitorizar una red interna. Utilice la opción ü para activar este
comportamiento de solicitud de eco.

?map no hace sólo ésto, aunque la solicitud eco es la consulta estándar de

ping ICMP. El estándar ICMP (RFC 792) también específica solicitudes
de huellas de tiempo, de información y de máscara de red, que
corresponden con los códigos 13, 15 y 17 respectivamente. Aunque el
objetivo de estas solicitudes es obtener la máscara de red o fecha actual de
un sistema también pueden utilizarse para descubrir sistemas. Un sistema
que responde es por que está vivo y disponible. ?map no implementa los
 paquetes de solicitud de información en sí, ya que no están muy
soportados. El estándar RFC 1122 insiste en que ³un equipo ?O DEBE
implementar estos mensajes´. Las consultas de huella de tiempo y máscara
de red se pueden enviar con las opciones ü y ü, respectivamente. Si se
recibe una respuesta de huella de tiempo (código ICMP 14) o de máscara
de red (código 18) entonces es que el sistema está disponible. Estas dos
consultas pueden ser útiles cuando los administradores bloquean los
paquetes de consulta eco explícitamente pero se olvidan de que se pueden
utilizar otras consultas ICMP con el mismo fin.

üR (Ping ARP)

Una de las formas de uso más comunes de ?map es el sondeo de una red
de área local Ethernet. En la mayoría de las redes locales hay muchas
direcciones IP sin usar en un momento determinado. Esto es así
especialmente en las que utilizan rangos de direcciones privadas definidas
en el RFC1918. Cuando ?map intenta enviar un paquete IP crudo, como
pudiera ser una solicitud de eco ICMP, el sistema operativo debe
determinar primero la dirección (ARP) correspondiente a la IP objetivo
para poder dirigirse a ella en la trama Ethernet. Esto es habitualmente un
proceso lento y problemático, dado que los sistemas operativos no se
escribieron pensando en que tendrían que hacer millones de consultas ARP
contra sistemas no disponibles en un corto periodo de tiempo.

El sondeo ARP hace que sea ?map y su algoritmo optimizado el que se

encargue de las solicitudes ARP. Si recibe una respuesta, no se tiene ni
que preocupar de los paquetes basados en IP dado que ya sabe que el
sistema está vivo. Esto hace que el sondeo ARP sea mucho más rápido y
fiable que los sondeos basados en IP. Por ello se utiliza por omisión
cuando se analizan sistemas Ethernet si ?map detecta que están en la red
local. ?map utiliza ARP para objetivos en la misma red local aún cuando
se utilicen distintos tipos de ping (como ü o ü). Si no quiere hacer un
sondeo ARP tiene que especificar la opción üü endüip.

ün (?o realizar resolución de nombres)

Le indica a ?map que 
 debe realizar resolución D?S inversa de las

direcciones IP activas que encuentre. Ya que D?S es generalmente lento,
esto acelera un poco las cosas.

üR (Realizar resolución de nombres con todos los objetivos)

 Le indica a ?map que deberá realizar 
p p la resolución D?S inversa
de las direcciones IP objetivo. ?ormalmente se realiza esto sólo si se
descubre que el objetivo se encuentra vivo.

üü y temüdn (Utilizar resolución D?S del sistema)

Por omisión, ?map resuelve direcciones IP por si mismo enviando las

consultas directamente a los servidores de nombres configurados en el
sistema, y luego espera las respuestas. Varias solicitudes (generalmente
docenas) son realizadas en paralelo para mejorar el rendimiento.
Especifica esta opción si desea que sí utilice la resolución del sistema (una
IP por vez utilizando la llamada getnameinfo()). Este método es más lento
y raramente útil, a no ser que hubiera un error en el código D?S de ?map
(por favor, notifíquelo si ese fuera el caso). Éste es el método por omisión
para los sondeos IPv6.

üüdn ü erver
< ervid2r*
 ervid2r...>
(Servidores a utilizar para las

consultas D?S)

?map generalmente determina los servidores D?S de su archivo

resolv.conf (U?IX) o del registro (Win32). Puede utilizar esta opción para
especificar sus propios servidores. Esta opción no se utiliza si utiliza la
opción üü y temüdn o está realizando un sondeo IPv6. La resolución a
través de más de un servidor de D?S es generalmente más rápida que la
consulta a uno solo.

ÿ



  


?map comenzó como un analizador de puertos eficiente, aunque ha aumentado
su funcionalidad a través de los años, aquella sigue siendo su función primaria.
La sencilla orden
î
  analiza más de 1660 puertos TCP del
equipo î
 . Aunque muchos analizadores de puertos han agrupado
tradicionalmente los puertos en dos estados: abierto o cerrado, ?map es mucho
más descriptivo. Se dividen a los puertos en seis estados
distintos: abiert2, cerrad2, filtrad2, n2
filtrad2,abiert2|filtrad2,
o cerrad2|filtrad2.

Estos estados no son propiedades intrínsecas del puerto en sí, pero describen
como los ve ?map. Por ejemplo, un análisis con ?map desde la misma red en la
que se encuentra el objetivo puede mostrar el puerto 135/tcp como abiert2,
mientras que un análisis realizado al mismo tiempo y con las mismas opciones,
pero desde Internet, puede presentarlo como filtrad2.
   
 
 
 


abierto

Una aplicación acepta conexiones TCP o paquetes UDP en este puerto. El

encontrar esta clase de puertos es generalmente el objetivo primario de
realizar un sondeo de puertos. Las personas orientadas a la seguridad
saben que cada puerto abierto es un vector de ataque. Los atacantes y las
personas que realizan pruebas de intrusión intentan aprovechar puertos
abiertos, por lo que los administradores intentan cerrarlos, o protegerlos
con cortafuegos, pero sin que los usuarios legítimos pierdan acceso al
servicio. Los puertos abiertos también son interesantes en sondeos que no
están relacionados con la seguridad porque indican qué servicios están
disponibles para ser utilizados en una red.

cerrado

Un puerto cerrado es accesible: recibe y responde a las sondas de ?map,

pero no tiene una aplicación escuchando en él. Pueden ser útiles para
determinar si un equipo está activo en cierta dirección IP (mediante
descubrimiento de sistemas, o sondeo ping), y es parte del proceso de
detección de sistema operativo. Como los puertos cerrados son
alcanzables, o sea, no se encuentran filtrados, puede merecer la pena
analizarlos pasado un tiempo, en caso de que alguno se abra. Los
administradores pueden querer considerar bloquear estos puertos con un
cortafuegos. Si se bloquean aparecerían filtrados, como se discute a
continuación.

filtrado

?map no puede determinar si el puerto se encuentra abierto porque un

filtrado de paquetes previene que sus sondas alcancen el puerto. El filtrado
puede provenir de un dispositivo de cortafuegos dedicado, de las reglas de
un enrutador, o por una aplicación de cortafuegos instalada en el propio
equipo. Estos puertos suelen frustrar a los atacantes, porque proporcionan
muy poca información. A veces responden con mensajes de error ICMP
del tipo 3, código 13 (destino inalcanzable: comunicación prohibida por
administradores), pero los filtros que sencillamente descartan las sondas
sin responder son mucho más comunes. Esto fuerza a ?map a reintentar
varias veces, considerando que la sonda pueda haberse descartado por
congestión en la red en vez de haberse filtrado. Esto ralentiza
drásticamente los sondeos.
no filtrado

Este estado indica que el puerto es accesible, pero que ?map no puede
determinar si se encuentra abierto o cerrado. Solamente el sondeo ACK,
utilizado para determinar las reglas de un cortafuegos, clasifica a los
puertos según este estado. El analizar puertos no filtrados con otros tipos
de análisis, como el sondeo Window, SY? o FI?, pueden ayudar a
determinar si el puerto se encuentra abierto.

abierto|filtrado

?map marca a los puertos en este estado cuando no puede determinar si el

puerto se encuentra abierto o filtrado. Esto ocurre para tipos de análisis
donde no responden los puertos abiertos. La ausencia de respuesta puede
también significar que un filtro de paquetes ha descartado la sonda, o que
se elimina cualquier respuesta asociada. De esta forma, ?map no puede
saber con certeza si el puerto se encuentra abierto o filtrado. Los sondeos
UDP, protocolo IP, FI?, ?ull y Xmas clasifican a los puertos de esta
manera.

cerrado|filtrado

Este estado se utiliza cuando ?map no puede determinar si un puerto se

encuentra cerrado o filtrado, y puede aparecer aparecer sólo durante un
sondeo IPID pasivo.

 
 
   


Cuando intento realizar un arreglo de mi coche, siendo novato, puedo pasarme
horas intentando utilizar mis herramientas rudimentarias (martillo, cinta aislante,
llave inglesa, etc.). Cuando fallo miserablemente y llevo mi coche antiguo en
grúa al taller a un mecánico de verdad siempre pasa lo mismo: busca en su gran
cajón de herramientas hasta que saca una herramienta que hace que la tarea se
haga sin esfuerzo. El arte de sondear puertos es parecido. Los expertos conocen
docenas de técnicas de sondeo y eligen la más apropiada (o una combinación de
éstas) para la tarea que están realizando. Los usuarios sin experiencia y los "script
kiddies", sin embargo, intentan resolver cada problema con el sondeo SY? por
omisión. Dado que ?map es libre, la única barrera que existe para ser un experto
en el sondeo de puertos es el conocimiento. Esto es mucho mejor que el mundo
del automóvil, donde puedes llegar a saber que necesitas un compresor de tuerca,
pero tendrás que pagar mil dolares por él.
La mayoría de los distintos tipos de sondeo disponibles sólo los puede llevar a
cabo un usuario privilegiado. Esto es debido a que envían y reciben paquetes en
crudo, lo que hace necesario tener acceso como administrador (root) en la
mayoría de los sistemas U?IX. En los entornos Windows es recomendable
utilizar una cuenta de administrador, aunque ?map algunas veces funciona para
usuarios no privilegiados en aquellas plataformas donde ya se haya instalado
WinPcap. La necesidad de privilegios como usuario administrador era una
limitación importante cuando se empezó a distribuir ?map en 1997, ya que
muchos usuarios sólo tenían acceso a cuentas compartidas en sistemas como
usuarios normales. Ahora, las cosas son muy distintas. Los ordenadores son más
baratos, hay más personas que tienen acceso permanente a Internet, y los
sistemas U?IX (incluyendo Linux y MAC OS X) son más comunes. También se
dispone de una versión para Windows de ?map, lo que permite que se ejecute en
más escritorios. Por todas estas razones, cada vez es menos necesario ejecutar
?map utilizando cuentas de sistema compartidas. Esto es bueno, porque las
opciones que requieren de más privilegios hacen que ?map sea más potente y
flexible.

Aunque ?map intenta generar resultados precisos, hay que tener en cuenta que
estos resultados se basan en los paquetes que devuelve el sistema objetivo (o los
cortafuegos que están delante de éstos). Estos sistemas pueden no ser fiables y
envíar respuestas cuyo objetivo sea confundir a ?map. Son aún más comunes los
sistemas que no cumplen con los estándares RFC, que no responden como
deberían a las sondas de ?map. Son especialmente susceptibles a este problema
los sondeos FI?, ?ull y Xmas. Hay algunos problemas específicos a algunos
tipos de sondeos que se discuten en las entradas dedicadas a sondeos concretos.

Esta sección documenta las aproximadamente doce técnicas de sondeos de

puertos que soporta ?map. Sólo puede utilizarse un método en un momento
concreto, salvo por el sondeo UDP (ü ) que puede combinarse con cualquiera de
los sondeos TCP. Para que sea fácil de recordar, las opciones de los sondeos de
puertos son del estilo ü î , donde î es una letra característica del nombre del
sondeo, habitualmente la primera. La única excepción a esta regla es la opción
obsoleta de sondeo FTP rebotado (üb). ?map hace un sondeo SY? por omisión,
aunque lo cambia a un sondeo Connect() si el usuario no tiene los suficientes
privilegios para enviar paquetes en crudo (requiere acceso de administrador en
U?IX) o si se especificaron objetivos IPv6. De los sondeos que se listan en esta
sección los usuarios sin privilegios sólo pueden ejecutar los sondeos Connect() o
de rebote FTP.

ü  (sondeo TCP SY?)

 El sondeo SY? es el utilizado por omisión y el más popular por buenas
razones. Puede realizarse rápidamente, sondeando miles de puertos por
segundo en una red rápida en la que no existan cortafuegos. El sondeo
SY? es relativamente sigiloso y poco molesto, ya que no llega a completar
las conexiones TCP. También funciona contra cualquier pila TCP en lugar
de depender de la idiosincrasia específica de una plataforma concreta, al
contrario de lo que pasa con los sondeos de ?map Fin/?ull/Xmas,
Maimon o pasivo. También muestra una clara y fiable diferenciación entre
los estados abiert2, cerrad2, y filtrad2.

A esta técnica se la conoce habitualmente como sondeo medio abierto,

porque no se llega a abrir una conexión TCP completa. Se envía un
paquete SY?, como si se fuera a abrir una conexión real y después se
espera una respuesta. Si se recibe un paquete SY?/ACK esto indica que el
puerto está en escucha (abierto), mientras que si se recibe un RST (reset)
indica que no hay nada escuchando en el puerto. Si no se recibe ninguna
respuesta después de realizar algunas retransmisiones entonces el puerto se
marca como filtrado. También se marca el puerto como filtrado si se
recibe un error de tipo ICMP no alcanzable (tipo 3, códigos 1,2, 3, 9, 10, ó
13).

ü
(sondeo TCP connect())

El sondeo TCP Connect() es el sondeo TCP por omisión cuando no se

puede utilizar el sondeo SY?. Esto sucede, por ejemplo, cuando el usuario
no tiene privilegios para enviar paquetes en crudo o cuando se están
sondeando redes IPv6. ?map le pide al sistema operativo subyacente que
establezcan una conexión con el sistema objetivo en el puerto indicado
utilizando la llamada del sistema c2nnect(), a diferencia de otros tipos de
sondeo, que escriben los paquetes a bajo nivel. Ésta es la misma llamada
del sistema de alto nivel que la mayoría de las aplicaciones de red, como
los navegadores web o los clientes P2P, utilizan para establecer una
conexión. Esta llamada es parte del interfaz de programación conocido
como la API de conectores de Berkeley. También, en lugar de leer las
respuestas directamente de la línea, ?map utiliza esta API para obtener la
información de estado de cada intento de conexión.

Generalmente es mejor utilizar un sondeo SY?, si éste está disponible.

?map tiene menos control sobre la llamada de alto nivel C2nnect() que
cuando utiliza paquetes en crudo, lo que hace que sea menos eficiente. La
llamada al sistema completa las conexiones para abrir los puertos objetivo,
en lugar de realizar el reseteo de la conexión medio abierta como hace el
 sondeo SY?. Esto significa que se tarda más tiempo y son necesarios más
paquetes para obtener la información, pero también significa que los
sistemas objetivos van a registrar probablemente la conexión. Un IDS
decente detectará cualquiera de los dos, pero la mayoría de los equipos no
tienen este tipo de sistemas de alarma. Sin embargo, muchos servicios de
los sistemas U?IX habituales añadirán una nota en el syslog, y algunas
veces con un mensaje de error extraño, dado que ?map realiza la conexión
y luego la cierra sin enviar ningún dato. Los servicios realmente patéticos
morirán cuando ésto pasa, aunque esto no es habitual. Un administrador
que vea muchos intentos de conexión en sus registros que provengan de un
único sistema debería saber que ha sido sondeado con este método.

ü  (sondeos UDP)

Aunque la mayoría de los servicios más habituales en Internet utilizan el

protocolo TCP, los servicios UDP también son muy comunes. Tres de los
más comunes son los servicios D?S, S?MP, y DHCP (puertos registrados
53, 161/162, y 67/68 respectivamente). Dado que el sondeo UDP es
generalmente más lento y más difícil que TCP, algunos auditores de
seguridad ignoran estos puertos. Esto es un error, porque es muy frecuente
encontrarse servicios UDP vulnerables y los atacantes no ignoran estos
protocolos. Afortunadamente, ?map puede utilizarse para hacer un
inventario de puertos UDP.

El sondeo UDP se activa con la opción ü . Puede combinarse con un tipo

de sondeo TCP como el sondeo SY? (ü ) para comprobar ambos
protocolos al mismo tiempo.

Los sondeos UDP funcionan mediante el envío (sin datos) de una cabecera
UDP para cada puerto objetivo. Si se obtiene un error ICMP que indica
que el puerto no es alcanzable (tipo 3, código 3) entonces se marca el
puerto como cerrad2. Si se recibe cualquier error ICMP no alcanzable
(tipo 3, códigos 1, 2, 9, 10, o 13) se marca el puerto como filtrad2. En
algunas ocasiones se recibirá una respuesta al paquete UDP, lo que prueba
que el puerto está abiert2. Si no se ha recibido ninguna respuesta después
de algunas retransmisiones entonces se clasifica el puerto
como abiert2|filtrad2. Esto significa que el puerto podría estar abierto o
que hay un filtro de paquetes bloqueando la comunicación. Puede
utilizarse el sondeo de versión (ü ) para diferenciar de verdad los puertos
abiertos de los filtrados.
 Uno de las grandes problemas con el sondeo UDP es hacerlo rápidamente.
Pocas veces llega una respuesta de un puerto abierto o filtrado, lo que
obliga a expirar a ?map y luego a retransmitir los paquetes en caso de que
la sonda o la respuesta se perdieron. Los puertos cerrados son aún más
comunes y son un problema mayor. Generalmente envían un error ICMP
de puerto no alcanzable. Pero, a diferencia de los paquetes RST que envían
los puertos TCP cerrados cuando responden a un sondeo SY? o Connect,
muchos sistemas imponen una tasa máxima de mensajes ICMP de puerto
inalcanzable por omisión. Linux y Solaris son muy estrictos con esto. Por
ejemplo, el núcleo de Linux versión 2.4.20 limita la tasa de envío de
mensajes de destino no alcanzable a uno por segundo
(en net/ipv/icmp.c).

?map detecta las limitaciones de tasa y se ralentiza para no inundar la red

con paquetes inútiles que el equipo destino acabará descartando.
Desafortunadamente, un límite como el que hace el núcleo de Linux de un
paquete por segundo hace que un sondeo de 65536 puertos tarde más de
18 horas. Puede acelerar sus sondeos UDP incluyendo más de un sistema
para sondearlos en paralelo, haciendo un sondeo rápido inicial de los
puertos más comunes, sondeando detrás de un cortafuegos, o utilizando la
opción üüh2 tütime2ut para omitir los sistemas que respondan con
lentitud.

ü ; ü F; ü
(sondeos TCP ?ull, FI?, y Xmas)

Estos tres tipos de sondeos (aunque puede hacer muchos más a través de la
opción üü canflag que se describe en la próxima sección) aprovechan
una indefinición en la RFC de TCP que diferencia los
puertos abiert2 y cerrad2 . La página 65 dice que ³si el estado del puerto
[destino] es CERRADO ....un segmento entrante que contiene un RST
hace que se envíe un RST en la respuesta.´ Después la página siguiente
discute los paquetes que se envían a puertos abiertos sin fijar los bits SY?,
RST, o ACK, diciendo: ³es improbable que llegue aquí, pero si lo hace,
debe descartar el segmento y volver.´

Cuando se sondean sistemas que cumplen con el texto de esta RFC,

cualquier paquete que no contenga los bits SY?, RST, o ACK resultará en
el envío de un RST si el puerto está cerrado. Mientras que no se enviará
una respuesta si el puerto está cerrado. Siempre y cuando se incluyan esos
tres bits es válida la combinación de cualquiera de los otros tres (FI?,
PSH, y URG). ?map aprovecha esto con tres tipos de sondeo:
 Sondeo ?ull(ü )

?o fija ningún bit (la cabecera de banderas TCP es 0)

sondeo FI? (ü F)

Solo fija el bit TCP FI?.

sondeoXmas (ü
)

Fija los bits de FI?, PSH, y URG flags, iluminando el paquete como si
fuera un árbol de ?avidad.

Estos tres tipos de sondeos son exactamente los mismos en

comportamiento salvo por las banderas TCP que se fijen en los paquetes
sonda. Si se recibe un paquete RST entonces se considera que el puerto
está cerrad2. Si no se recibe ninguna respuesta el puerto se marca
como cerrad2|filtrad2. El puerto se marcafiltrad2 si se recibe un error
ICMP no alcanzable (tipo 3, código 1, 2, 3, 9, 10, o 13).

La ventaja fundamental de este tipo de sondeos es que pueden atravesar

algunos cortafuegos que no hagan inspección de estados o encaminadores
que hagan filtrado de paquetes. Otra ventaja es que este tipo de sondeos
son algo más sigilosos que, incluso, un sondeo SY?. Sin embargo, no
cuente con que pase siempre esto ya que la mayoría de los productos IDS
pueden configurarse para detectarlos. El problema es que no todos los
sistemas siguen el estándar RFC 793 al pie de la letra. Algunos sistemas
envían respuestas RST a las sondas independientemente de si el puerto
está o no cerrado. Esto hace que la mayoría de los puertos se marquen
como cerrad2 . Algunos sistemas operativos muy utilizados que hacen
ésto son Microsoft Windows, muchos dispositivos Cisco, BSDI, e IBM
OS/400. Este sondeo no funciona contra sistemas basados en U?IX. Otro
problema de estos sondeos es que no se puede distinguir los
puertos abiert2 de algunos puertosfiltrad2 , lo que resulta en la
respuesta abiert2|filtrad2.

ü (sondeo TCP ACK)

Este sondeo es distinto de otros que se han discutido hasta ahora en que no
puede determinar puertos abiert2 (o incluso abiert2 |filtrad2 ). Se
utiliza para mapear reglas de cortafuegos, y para determinar si son
cortafuegos con inspección de estados y qué puertos están filtrados.
 La sonda de un sondeo ACK sólo tiene fijada la bandera ACK (a menos
que utilice üü canflag ). Cuando se sondean sistemas no filtrados los
puertos abiert2 y cerrad2 devolverán un paquete RST. ?map marca el
puerto como n2
filtrad2, lo que significa que son alcanzables por el
paquete ACK, pero no se puede determinar si están abiert2 o cerrad2 .
Los puertos que no responden o que envían mensajes de error ICMP en
respuesta (tipo 3, código 1, 2, 3, 9, 10, o 13), se marcan como filtrad2 .

ü  (sondeo de ventana TCP)

El sondeo de ventana («window», ?. del T.) es exactamente igual al

sondeo ACK que se aprovecha de un detalle de implementación de
algunos sistemas que permite diferenciar puertos abiertos de los cerrados,
en lugar de imprimir n2
filtrad2 cuando se devuelve un RST. Hace esto
examinando el campo de ventana TCP del paquete RST devuelto. Algunos
sistemas fijan un tamaño de ventana positivo para puertos abiertos (incluso
para paquetes RST) mientras que se utiliza una ventana de tamaño cero
para los cerrados. Así, en lugar de listar el puerto como n2

filtrad2 cuando se recibe un RST, el sondeo de ventana permite listar el
puerto comoabiert2 o cerrad2 en función de si el valor de la ventana TCP
en ese paquete RST es positivo o cero, respectivamente.

Este sondeo depende de un detalle de implementación de una minoría de

sistemas q que existen en Internet, así que no es siempre fiable. Los
sistemas que no hacen ésto habitualmente harán que se muestren los
puertos como cerrad2 . Por supuesto, es posible que el sistema no tenga
ningún puerto abierto. Si la mayoría de los puertos están cerrad2 pero
alguno de los números de puertos comunes (como pueda ser el 22, 25 ó
53) están filtrad2 , entonces el sistema es posible que sea susceptible a
ésto. Algunas veces hay sistemas que mostrarán el comportamiento justo
contrario. Si su sondeo muestra 1000 puertos abiertos y 3 puertos cerrados
o filtrados entonces es posible que sean estos últimos los que están
abiertos en realidad.

ü  (sondeo TCP Maimon)

El sondeo Maimon debe su nombre a la persona que lo descubrió: Uriel

Maimon. Describió la técnica en la revista Phrack número 49 (noviembre
de 1996). ?map, que incluye esta técnica, se publicó dos números más
tarde. Esta técnica es exactamente la misma a los sondeos ?ull, FI?, y
Xmas, pero en los que se envía una sonda FI?/ACK. Según el RFC 793
(TCP), se debería generar un paquete RST cuando se responde a dicha
 sonda independientemente de si el puerto está cerrado o abierto. Uriel se
dio cuenta, sin embargo, de que muchos sistemas derivados de BSD
simplemente descartan el paquete si el puerto está abierto.

üü canflag (Sondeo TCP a medida)

Los usuarios realmente avanzados de ?map no tienen por qué limitarse a

los tipos de sondeos preparados que se ofrecen. La opción üü canflag le
permite diseñar su propio sondeo mediante la especificación de banderas
TCP arbitrarias. Deje volar a su imaginación al tiempo que evita las reglas
de los sistemas de detección de intrusos cuyos fabricantes sólo echaron un
vistazo a la página de manual de ?map y añadieron reglas específicas para
detectarlo.

La opción üü canflag puede ser un valor numérico como el 9 (PSH y

FI?), aunque es más sencillo utilizar nombres simbólicos. Sólo tienes que
juntar una combinación de RG, CK,  , R
, 
, y FI . Por ejemplo, la
configuración üü canflag
RG CK R

FI fija todas las banderas,
aunque no es muy útil para sondear. ?o importa el orden en que se
especifiquen los nombres.

Además de poder especificar las banderas que desee se puede especificar

el tipo de sondeo TCP (como ü o ü F). Ésto le dice a ?map cómo debe
interpretar las respuestas. Por ejemplo, un sondeo SY? considera que si no
se recibe respuesta el puerto está filtrad2 mientras que si no se recibe una
respuesta en un sondeo FI? se trata como abiert2|filtrad2. ?map se
comportará igual que para el sondeo tipo base, con la diferencia de que
utilizará las banderas TCP que usted especifique. Se utiliza el sondeo SY?
si no se especifica ningún tipo base.

ü I< i tema
2mbi

puert2 2nda> (Sondeo ocioso)

Este es un método de sondeo avanzado que le permite hacer un sondeo de

puertos TCP a ciegas de verdad (lo que significa que no se envía ningún
paquete al sistema objetivo desde su dirección IP real). En lugar de ésto se
utiliza un ataque con un canal alternativo que se aprovecha de la
generación de la secuencia de los identificadores de fragmentación IP del
sistema zombi para obtener información de los puertos abiertos en el
objetivo. Los sistemas IDS mostrarán que el sondeo lo está realizando el
sistema zombi que especifique (que debe estar vivo y cumplir algunos
requisitos). Este tipo de sondeo tan fascinante es demasiado complejo
como para describirlo por completo en esta guía de referencia por lo que
 escribí y publiqué un documento informal que contiene todos los detalles,
el documento está disponible en http://nmap.org/book/idlescan.html.

Además de ser extraordinariamente sigiloso (debido a su funcionamiento a

ciegas), este tipo de sondeo permite determinar las relaciones basadas en
IP entre distintos sistemas. El listado de puertos muestra los puertos
abiertos pp

p p


p

p

 Así que puede analizar el
mismo objetivo con zombis distintos que cree que podrían ser de
confianza para éste (a través de las reglas de filtrados de los paquetes o
reglas de filtrados de encaminadores).

Puede añadir un número de puerto separado por dos puntos del sistema
zombi si desea analizar un puerto específico del zombi para consultar los
cambios IPID. Si no lo hace ?map utilizará el puerto que utiliza para pings
TCP por omisión (el puerto 80).

ü  (sondeo de protocolo IP)

El sondeo de protocolo IP le permite determinar qué protocolos (TCP,

ICMP, IGMP, etc.) soportan los sistemas objetivo. Esto no es,
técnicamente, un sondeo de puertos, dado que cambia los números de
protocolo IP en lugar de los números de puerto TCP ó UDP. Pero también
se puede utilizar la opción üp para seleccionar los números de protocolo a
analizar, los resultados se muestran en el formato de tabla utilizado para
los puertos e incluso utiliza el mismo motor de sondeo que los métodos de
sondeo de puertos reales. Es tan parecido a un sondeo de puertos que debe
tratarse aquí.

El sondeo de protocolos, además de ser útil en sí mismo, demuestra el

poder del software de fuentes abiertas («opensource», ?. del T.). Aunque
la idea fundamental era bastante sencilla, no había pensado añadirla ni
tampoco había habido personas que solicitaran esta funcionalidad.
Entonces, en el verano de 2000, se le ocurrió la idea a Gerhard Rieger y la
implementó escribiendo un parche excelente, enviándolo posteriormente a
la lista de correo de nmap-hackers. Incorporé ese parche en el árbol de
código de ?map y publiqué una nueva versión ese mismo día. ¡Pocas
piezas de programas comerciales tienen usuarios tan entusiastas que
diseñan y contribuyen sus propias mejoras!

El sondeo de protocolos utiliza mecanismos parecidos al sondeo UDP.

Envía cabeceras de paquetes IP iterando por el campo de 8 bits que indica
el protocolo IP, en lugar de iterar por el campo de número de puerto de un
 paquete UDP. Las cabeceras generalmente están vacías y no contienen
datos. De hecho, ni siquiera tienen una cabecera apropiada para el
protocolo que se indica. Las tres excepciones son TCP, UDP e ICMP. Se
incluye una cabecera de protocolo válida para éstos porque algunos
sistemas no los enviarán sin ellas y porque ?map ya tiene funciones para
crearlas. El sondeo de protocolos espera la recepción de mensajes de
ICMP  
 no alcanzable en lugar de mensajes ICMP puerto no
alcanzable. ?map marca el protocolo como abiert2 si recibe una respuesta
en cualquier protocolo del sistema objetivo. Se marca como cerrad2 si se
recibe un error ICMP de protocolo no alcanzable (tipo 3, código 2). Si se
reciben otros errores ICMP no alcanzable (tipo 3, códigos 1, 3, 9, 10, o 13)
se marca el protocolo como filtrad2 (aunque al mismo tiempo indican
que el protocolo ICMP está abiert2). El protocolo se marca
como abiert2|filtrad2 si no se recibe ninguna respuesta después de las
retransmisiones.

üb
< i tema
de
reb2te
ftp> (sondeo de rebote FTP)

Una funcionalidad interesante en el protocolo FTP (RFC 959) es la

posibilidad de utilizar conexiones FTP de pasarela. Esta opción puede
abusarse a muchos niveles así que muchos servidores han dejado de
soportarla. Una de las formas de abusar de ésta es utilizar el servidor de
FTP para hacer un sondeo de puertos a otro sistema. Simplemente hace
falta decirle al servidor de FTP que envíe un fichero a cada puerto
interesante del servidor objetivo cada vez. El mensaje de error devuelto
indicará si el puerto está abierto o no. Esta es una buena manera de
atravesar cortafuegos porque, habitualmente, los servidores de FTP de una
organización están ubicados en un lugar en el que tienen más acceso a
otros sistemas internos que el acceso que tiene un equipo en Internet.
?map puede hacer sondeos con rebotes de FTP con la opción üb. Esta
opción toma un argumento
como: î 
 :î  @î
 :î . î
 es el
nombre de la dirección IP del servidor FTP vulnerable. Al igual que con
una URL normal, se puede omitir î 
 :î  , en caso de que
se deseen utilizar credenciales de acceso anónimo
(usuario: an2nym2u contraseña:wwwu er@) También se puede omitir el
número de puerto (y los dos puntos que lo preceden). Si se omiten se
utilizará el puerto FTP estándar (21) en î
 .

Esta vulnerabilidad era muy habitual en 1997, el año que se publicó ?map,
pero ya ha sido arreglada en muchos sitios. Aún siguen existiendo
servidores vulnerables así que merece la pena probar este sondeo si lo
 demás falla. Si su objetivo es atravesar un cortafuegos, analice la red
objetivo en busca del puerto 21 (o incluso cualquier servicio FTP, si
sondea todos los puertos y activa la detección de versiones). Después
intente un sondeo de rebote utilizando cada uno. ?map le indicará si el
sistema es o no vulnerable. Si está intentado ocultar sus huellas no tiene
que (y de hecho no debería) limitarse a servidores en la red objetivo. En
cualquier caso, antes de empezar a sondear Internet al azar para buscar
servidores de FTP vulnerables, tenga en cuenta que pocos administradores
de sistemas apreciarán el que abuse de sus servidores de esta forma.

· 

  
 
 
 
?map ofrece distintas opciones para especificar los puertos que se van a sondear
y si el orden de los sondeos es aleatorio o secuencial. Estas opciones se añaden a
los métodos de sondeos que se han discutido previamente. ?map, por omisión,
sondea todos los puertos hasta el 1024 además de algunos puertos con números
altos listados en el fichero nmapü ervice para los protocolos que se sondeen.

üp
<rang2
de
puert2 > (Sólo sondea unos puertos específicos)

Esta opción especifica los puertos que desea sondear y toma precedencia
sobre los valores por omisión. Puede especificar tanto números de puerto
de forma individual, así como rangos de puertos separados por un guión
(p. ej. 1-1023). Puede omitir el valor inicial y/o el valor final del rango.
?map utilizará 1 ó 65535 respectivamente. De esta forma, puede
especificar üpü para sondear todos los puertos desde el 1 al 65535. Se
permite sondear el puerto cero siempre que lo especifique explícitamente.
Esta opción especifica el número de protocolo que quiere sondear (de 0 a
255) en el caso de que esté sondeando protocolos IP (ü ).

Puede especificar un protocolo específico cuando sondee puertos TCP y

UDP si precede el número de puerto con
 o . El calificador dura hasta
que especifique otro calificador. Por ejemplo, la opción üp

**** 
*ü *  sondearía los puertos UDP 53,111, y
137, así como los puertos TCP listados. Tenga en cuenta que para sondear
tanto UDP como TCP deberá especificar la opción ü  y al menos un tipo
de sondeo TCP (como ü , ü F, o ü
). Si no se da un calificador de
protocolo se añadirán los números de puerto a las listas de todos los
protocolos.

üF (Sondeo rápido (puertos limitados))

 Indica que sólo quiere sondear los puertos listados en el fichero nmapü
ervice que se incluye con nmap (o el fichero de protocolos si indica ü
). Esto es más rápido que sondear todos los 65535 puertos de un sistema.
La diferencia de velocidad con el sondeo TCP por omisión (unos 1650
puertos) no es muy alta dado que esta lista contiene muchos puertos TCP
(más de 1200). La diferencia puede ser muy grande si especifica su propio
fichero nmapü ervice más pequeño si utiliza la opción üüdatadir.

ür (?o aleatorizar los puertos)

?map ordena de forma aleatoria los puertos a sondear por omisión

(aunque algunos puertos comúnmente accesibles se ponen al principio por
razones de eficiencia). Esta aleatorización generalmente es deseable, pero
si lo desea puede especificar la opción ür para analizar de forma
secuencial los puertos.

ë

     


Si le indica a ?map que mire un sistema remoto le podrá decir que tiene abiertos
los puertos 25/tcp, 80/tcp y 53/udp. Informará que esos puertos se corresponden
habitualmente con un servidor de correo (SMTP), servidor de web (HTTP) o
servidor de nombres (D?S), respectivamente, si utilizas su base de datos nmapü
ervice con más de 2.200 puertos conocidos. Generalmente este informe es
correo dado que la gran mayoría de demonios que escuchan en el puerto 25 TCP
son, en realidad, servidores de correo. ¡Pero no debe confiar su seguridad en este
hecho! La gente ejecuta a veces servicios distintos en puertos inesperados

Aún en el caso de que ?map tenga razón y el servidor de ejemplo indicado arriba
está ejecutando servidores de SMTP, HTTP y D?S ésto no dice mucho. Cuando
haga un análisis de vulnerabilidades (o tan sólo un inventario de red) en su propia
empresa o en su cliente lo que habitualmente también quiere saber es qué versión
se está utilizando del servidor de correcto y de D?S. Puede ayudar mucho a la
hora de determinar qué ataques pueden afectar a un servidor el saber el número
de versión exacto de éste. La detección de versiones le ayuda a obtener esta
información.

La detección de versiones pregunta para obtener más información de lo que

realmente se está ejecutando una vez se han detectado los puertos TCP y/o UDP
con alguno de los métodos de sondeo. La base de datos nmapü erviceü
pr2be contiene sondas para consultar distintos servicios y reconocer y tratar
distintas respuestas en base a una serie de expresiones. ?map intenta determinar
el protocolo del servicio (p. ej. ftp, ssh, telnet ó http), el nombre de la aplicación
(p. ej. Bind de ISC, http de Apache, telnetd de Solaris), un número de versión, un
tipo de dispositivo (p. ej. impresora o router), la familia de sistema operativo (p.
ej. Windows o Linux) y algunas veces algunos detalles misceláneos como, por
ejemplo, si un servidor X acepta cualquier conexión externa, la versión de
protocolo SSH o el nombre de usuario Kazaa). Por supuesto, la mayoría de los
servicios no ofrecen toda esta información. Si se ha compilado ?map con soporte
OpenSSL se conectará también a servidores SSL para determinar qué servicio
escucha detrás de la capa de cifrado. Se utiliza la herramienta de pruebas RPC de
?map (ü R) de forma automática para determinar el programa RPC y el número
de versión si se descubren servicios RPC. Algunos puertos UDP se quedan en
estado 2pen|filtered (?. del T., 'abierto|filtrado') si un barrido de puertos UDP
no puede determinar si el puerto está abierto o filtrado. La detección de versiones
intentará obtener una respuesta de estos puertos (igual que hace con puertos
abiertos) y cambiará el estado a abierto si lo consigue. Los puertos TCP en
estado 2pen|filtered se tratan de forma similar. Tenga en cuenta que la opción ü
de ?map actualiza la detección de versiones entre otras cosas. Puede encontrar
un documento describiendo el funcionamiento, modo de uso, y particularización
de la detección de versiones enhttp://www.insecure.org/nmap/vscan/.

Cuando ?map obtiene una respuesta de un servicio pero no encuentra una

definición coincidente en la base de datos se imprimirá una firma especial y un
URL para que la envíe si sabe lo que está ejecutándose detrás de ese puerto. Por
favor, tómese unos minutos para enviar esta información para ayudar a todo el
mundo. Gracias a estos envíos ?map tiene ahora alrededor de 3.000 patrones
para más de 350 protocolos distintos como smtp, ftp, http, etc.

La detección de versiones se activa y controla con la siguientes opciones:

ü  (Detección de versiones)

Activa la detección de versiones como se ha descrito previamente. Puede

utilizar la opción ü en su lugar para activar tanto la detección de versiones
como la detección de sistema operativo.

üüallp2rt (?o excluir ningún puerto de la detección de versiones)

La detección de versiones de ?map omite el puerto TCP 9100 por omisión

porque algunas impresoras imprimen cualquier cosa que reciben en este
puerto, lo que da lugar a la impresión de múltiples páginas con solicitudes
HTTP get, intentos de conexión de SSL, etc. Este comportamiento puede
cambiarse modificando o eliminando la directiva xclude en nmapü
 erviceüpr2be , o especificando üüallp2rt para sondear todos los puertos
independientemente de lo definido en la directiva xclude.

üüver i2nüinten ity<inten idad> (Fijar la intensidad de la detección de

versiones)

?map envía una serie de sondas cuando se activa la detección de versiones

(ü ) con un nivel de rareza preasignado y variable de 1 a 9. Las sondas
con un número bajo son efectivas contra un amplio número de servicios
comunes, mientras que las de números más altos se utilizan rara vez. El
nivel de intensidad indica que sondas deberían utilizarse. Cuanto más alto
sea el número, mayor las probabilidades de identificar el servicio. Sin
embargo, los sondeos de alta intensidad tardan más tiempo. El valor de
intensidad puede variar de 0 a 9. El valor por omisión es 7. Se probará una
sonda independientemente del nivel de intensidad cuando ésta se registra
para el puerto objetivo a través de la directiva nmapü erviceüpr2be p2rt .
De esta forma se asegura que las sondas de D?S se probarán contra
cualquier puerto abierto 53, las sondas SSL contra el puerto 443, etc.

üüver i2nülight (Activar modo ligero)

Éste es un alias conveniente para üüver i2nüinten ity
. Este modo

ligero hace que la detección de versiones sea más rápida pero también
hace que sea menos probable identificar algunos servicios.

üüver i2nüall (Utilizar todas las sondas)

Éste es un alias para üüver i2nüinten ity
, hace que se utilicen todas las
sondas contra cada puerto.

üüver i2nütrace (Trazar actividad de sondeo de versiones)

Esta opción hace que ?map imprima información de depuración detallada

explicando lo que está haciendo el sondeo de versiones. Es un conjunto de
lo que obtendría si utilizara la opción üüpacketütrace.

ü R (Sondeo RPC)

Este método funciona conjuntamente con los distintos métodos de sondeo

de puertos de ?map. Toma todos los puertos TCP/UDP que se han
encontrado y los inunda con órdenes de programa ?ULL SunRPC con el
objetivo de determinar si son puertos RPC y, si es así, los programas y
 número de versión que están detrás. Así, puede obtener de una forma
efectiva la misma información que 

 aunque el mapeador de
puertos («portmapper», ?. del T.) está detrás de un cortafuegos (o
protegido por TCP wrappers). Los señuelos no funcionan con el sondeo
RPC actualmente. Esta opción se activa automáticamente como parte de la
detección de versiones (ü ) si la ha seleccionado. Rara vez se utiliza la
opción ü R dado que la detección de versiones lo incluye y es más
completa.

ë

 
 


Uno de los aspectos más conocidos de ?map es la detección del sistema
operativo (SO) en base a la comprobación de huellas TCP/IP. ?map envía una
serie de paquetes TCP y UDP al sistema remoto y analiza prácticamente todos
los bits de las respuestas. ?map compara los resultados de una docena de pruebas
como puedan ser el análisis de IS? de TCP, el soporte de opciones TCP y su
orden, el análisis de IPID y las comprobaciones de tamaño inicial de ventana, con
su base de datos nmapü2 üfingerprint . Esta base de datos consta de más de 1500
huellas de sistema operativo y cuando existe una coincidencia se presentan los
detalles del sistema operativo. Cada huella contiene una descripción en texto
libre del sistema operativo, una clasificación que indica el nombre del proveedor
(por ejemplo, Sun), el sistema operativo subyacente (por ejemplo, Solaris), la
versión del SO (por ejemplo, 10) y el tipo de dispositivo (propósito general,
encaminador, conmutador, consola de videojuegos, etc.).

?map le indicará una URL donde puede enviar las huellas si conoce (con
seguridad) el sistema operativo que utiliza el equipo si no puede adivinar el
sistema operativo de éste y las condiciones son óptimas (encontró al menos un
puerto abierto y otro cerrado). Si envía esta información contribuirá al conjunto
de sistemas operativos que ?map conoce y la herramienta será así más exacta
para todo el mundo.

La detección de sistema operativo activa, en cualquier caso, una serie de pruebas

que hacen uso de la información que ésta recoge. Una de estas pruebas es la
medición de tiempo de actividad, que utiliza la opción de marca de tiempo TCP
(RFC 1323) para adivinar cuánto hace que un equipo fue reiniciado. Esta prueba
sólo funciona en sistemas que ofrecen esta información. Otra prueba que se
realiza es la clasificación de predicción de número de secuencia TCP. Esta
prueba mide de forma aproximada cuánto de difícil es crear una conexión TCP
falsa contra el sistema remoto. Se utiliza cuando se quiere hacer uso de relaciones
de confianza basadas en la dirección IP origen (como es el caso de rlogin, filtros
de cortafuegos, etc.) para ocultar la fuente de un ataque. Ya no se hace
habitualmente este tipo de malversación pero aún existen muchos equipos que
son vulnerables a ésta. Generalmente es mejor utilizar la clasificación en inglés
como: ³worthychallenge´ («desafío difícil», ?. del T.) o ³trivial joke´ («broma
fácil», ?. del T.). Esta información sólo se ofrece en la salida normal en el modo
detallado (üv). También se informa de la generación de números de secuencia
IPID cuando se activa el modo detallado conjuntamente con la opción ü. La
mayoría de los equipos estarán en la clase ³incremental´, lo que significa que
incrementan el campo ID en la cabecera IP para cada paquete que envían. Esto
hace que sean vulnerables a algunos ataques avanzados de obtención de
información y de falseo de dirección.

Puede encontrar un trabajo traducido a una docena de idiomas que detalla el

modo de funcionamiento, utilización y ajuste de la detección de versiones
enhttp://www.insecure.org/nmap/osdetect/.

La detección de sistema operativo se activa y controla con las siguientes

opciones:

ü (Activa la detección de sistema operativo)

Tal y como se indica previamente, activa la detección de sistema

operativo. También se puede utilizar la opción ü para activar la detección
de sistema operativo y de versiones.

üü2 canülimit (Limitar la detección de sistema operativo a los objetivos

prometedores)

La detección de sistema operativo funcionará mejor si se dispone de un

puerto TCP abierto y otro cerrado. Defina esta opción si no quiere que
?map intente siquiera la detección de sistema operativo contra sistemas
que no cumplan este criterio. Esta opción puede ahorrar mucho tiempo,
sobre todo si está realizando sondeos ü sobre muchos sistemas. Sólo es
de aplicación cuando se ha solicitado la detección de sistema operativo
con la opción ü o ü .

üü2 canügue ; üüfuy (Aproximar los resultados de la detección de sistema

operativo)

Cuando ?map no puede detectar un sistema operativo que encaje

perfectamente a veces ofrecerá posibilidades que se aproximen lo
suficiente. Las opciones tienen que aproximarse mucho al detectado para
 que ?map haga esto por omisión. Cualquiera de estas dos opciones
(equivalentes) harán que ?map intente aproximar los resultados de una
forma más agresiva.



 
  




Una de las prioridades durante el desarrollo de ?map ha sido siempre el
rendimiento. Un sondeo por omisión (
î

   ) de cualquier
sistema en una red local tarda un quinto de segundo. Esto es menos que el tiempo
que uno tarda en parpadear, pero se va sumando al tiempo que se tarda cuando se
realiza un sondeo sobre decenas o centenares o miles de equipos. Además, ciertas
opciones de sondeo como puedan ser el sondeo UDP y la detección de versiones
pueden incrementar los tiempos de sondeos de forma sustancial. También puede
afectar a este tiempo algunas configuraciones de sistemas cortafuegos,
especialmente cuando implementan limitaciones a la tasa de respuestas. Aunque
?map trabaja en paralelo y tiene muchos algoritmos avanzados para acelerar
estos sondeos, el usuario tiene el control en última instancia de cómo funciona
éste. Los usuarios con experiencia pueden definir las órdenes a ?map
cuidadosamente para obtener sólo la información que necesitan mientras que, al
mismo tiempo, cumplen las limitaciones de tiempo que tengan.

Algunas técnicas que pueden ayudar a mejorar los tiempos de sondeo son el
limitar el número de pruebas que no sean críticas y actualizar a la última versión
de ?map (se hacen mejoras de rendimiento con cierta frecuencia). La
optimización de los parámetros de control de tiempo pueden introducir también
diferencias significativas. Las opciones aplicables se detallan a continuación.

Algunas opciones aceptan un parámetro tiemp2. Este valor se especifica, por

omisión, en milisegundos, aunque puede seguirlo de µs¶, µm¶, o µh¶ para indicar
segundos, minutos, u horas. Por tanto, el valor  ,  , y *m hacen
exáctamente lo mismo al aplicarse a la opción üüh2 tütime2ut.

üüminüh2 tgr2up<num i t >; üümaxüh2 tgr2up<num i t > (Ajustar el tamaño del

grupo para los sondeos paralelos)

?map tiene la capacidad de hacer un sondeo de puertos o versiones sobre

múltiples sistemas en paralelo. Hace eso dividiendo el espacio de
direcciones IP en grupos y analizando un grupo cada vez. Habitualmente
es más eficiente utilizar grupos grandes. La contrapartida es que los
resultados por sistema no se pueden dar hasta que se ha terminado de
analizar todo el grupo. En este caso, si ?map empezara con un tamaño de
grupo de 50, el usuario no obtendría ningún resultado hasta que termine
 con los primeros 50 (excepto las actualizaciones que envía el modo
detallado)

?map tiene una implementación de compromiso por omisión para resolver

este conflicto. Empieza los sondeos con un tamaño de grupo inferior a
cinco para que los primeros resultados se obtengan con rapidez y después
se incrementa el tamaño de grupo hasta, como mucho, 1024. El número
exacto por omisión depende de las opciones dadas en la ejecución. ?map
utiliza grupos más grandes para los sondeos UDP y para aquellos sondeos
TCP con pocos puertos por razones de eficiencia.

?map nunca excede el tamaño indicado cuando éste se especifica con üü

maxüh2 tgr2up. Si se indica un valor mínimo en üüminüh2 tgr2up ?map
intentará mantener el tamaño de los grupos por encima de ese nivel. ?map
puede tener que utilizar grupos más pequeños si no hay suficientes
sistemas objetivo en una interfaz dada para cumplir el mínimo
especificado. Se pueden especificar ambos valores para mantener el
tamaño de grupo dentro de un rango específico, aunque ésto es poco
habitual.

El uso principal de esta opción es el de especificar el tamaño de grupo

mínimo para que los sondeos se ejecuten más rápidamente. 256 es un valor
habitual para sondear la red en trozos del tamaño de una clase C. Si se
trata de un sondeo con muchos puertos no sirve de mucho incrementar ese
número. Si los sondeos son de pocos puertos puede ayudar utilizar un
tamaño de grupo de 2048 o más elementos.

üüminüparalleli m<num 2nda >; üümaxüparalleli m<num 2nda > (Ajustar el

número de sondas enviadas en paralelo)

Esta opción controla el número de sondas activas para un grupo de

sistemas. Éstas se utilizan para los sondeos de puertos y el descubrimiento
de equipos. Por omisión, ?map calcula un valor ideal del número de
sondas a enviar en paralelo basado en el rendimiento de la red. Si se
pierden paquetes ?map reduce este valor para ir más lento y permitir
menos sondas activas. El valor ideal de las sondas se incrementará a
medida que la red muestre que puede utilizarse de nuevo. Estas opciones
ponen un valor mínimo o máximo a esa variable. Por omisión, el valor
ideal puede ser inferior a 1 si la red no es fiable e incrementarse a varios
cientos si ésta funciona correctamente.
 Lo más habitual es fijar el valor üüminüparalleli m a un número mayor
que uno para que los sondeos contra sistemas o redes poco eficientes sean
rápidos. Esta es una opción que tiene sus riesgos, ya que si se define un
valor demasiado elevado se puede reducir la precisión del sondeo. Si se
fija también se impide a ?map controlar el paralelismo de forma dinámica
basándose en las condiciones de la red. Un valor razonable puede ser diez,
aunque sólo debe ajustarse como último recurso.

A veces se fija la opción üümaxüparalleli m a uno para evitar que ?map

envíe más de una sonda a la vez a los sistemas. Esto puede ser útil
conjuntamente con üü canüdelay (del que se habla más adelante), aunque
habitualmente es suficiente con utilizar este último por sí sólo.

üüminürttütime2ut<tiemp2>, üümaxürttütime2ut<tiemp2>, üüinitialürttü

time2ut<tiemp2> (Ajustar expiración de sondas)

?map mantiene un valor de expiración en ejecución para saber cuánto

tiempo debe esperar para recibir la respuesta a una sonda o para
retransmitir la sonda. Este valor está calculado en base a los tiempos de
respuesta de las sondas previamente enviadas. El valor de expiración
puede llegar a ser de varios segundos si se demuestra que la latencia de la
red es significativa y variable. También empieza en un valor conservador
(alto) y puede mantenerse en ese valor durante un tiempo cuando ?map
sondee equipos que no respondan.

Se pueden recortar los tiempos de análisis de forma apreciable si se

especifican valores para üümaxürttütime2ut y üüinitialürttütime2ut por
debajo de los de por omisión. Esto es especialmente verdadero en sondeos
en los que no se envían paquetes ICMP (ü ) y en aquellos realizados en
redes con mucho filtrado. Sin embargo, no se debería establecer a valores
muy agresivos. El sondeo puede acabar tardando más de lo esperado si se
especifica un valor bajo que hace que las sondas expiren y se retransmitan
mientras está llegando la respuesta.

En el caso de que todos los sistemas estén en una red local al equipo que
sondea, un valor razonablemente agresivo para üümaxürttütime2ut es 100
milisegundos. Si se está rutando, primero envíe un ping a un equipo en la
red con la herramienta ICMP ping, o con una herramienta para construir
paquetes a medida como hping2 dado que es más probable que atraviese
cualquier cortafuegos. Consulte el tiempo máximo de la ronda (tiempo
entre solicitud y respuesta) después de haber enviado unos diez paquetes.
Una vez obtenido ese valor puede utilizarlo el doble de éste para üü
 initialürttütime2ut y triplicarlo o cuadruplicarlo para üümaxürttü
time2ut. Yo no configuro habitualmente el valor máximo rtt por debajo de
100ms, independientemente del valor que den los ping. ?i tampoco lo
pongo por encima de 1000ms.

La opción üüminürttütime2ut se utiliza rara vez, aunque puede ser útil

cuando la red es tan poco fiable que incluso los valores por omisión son
demasiado agresivos. Dado que ?map sólo reduce el tiempo al mínimo
cuando la red parece fiable este valor es poco habitual y debería reportarse
como una errata en la lista de correo nmap-dev.

üümaxüretrie <reintent2 > (Especifica el número máximo de sondas de puertos

que se retransmiten)

Un puerto podría estar filtrado si ?map no recibe ninguna respuesta a una

sonda de análisis de puertos. O puede que la sonda o la respuesta a ésta se
perdiera en la red. También puede darse el caso de que el sistema objetivo
tenga una limitación de tasa de tráfico que haga que la respuesta quede
bloqueada temporalmente. Así, ?map lo intenta de nuevo retransmitiendo
la sonda inicial. Puede que lo haga más de una vez, si ?map detecta que
hay problemas en el funcionamiento de la red, antes de abandonar los
sondeos de un puerto. Cuando el rendimiento es crítico, se pueden acelerar
los sondeos limitando el número de retransmisiones permitidas. Puede
especificar üümaxüretrie
para que no se haga ninguna retransmisión,
aunque no se recomienda.

El valor por omisión (cuando no hay una plantilla ü
) es permitir las
retransmisiones. ?map generalmente sólo hará una retransmisión si la red
parece fiable y el sistema objetivo no tiene una limitación de tasa de
tráfico. Es por esto por lo que la mayoría de los sondeos no se verán
afectados si reduce el valor de üümaxüretrie a un valor pequeño, como
pudiera ser tres. Estos valores pueden hacer que los sondeos a equipos
lentos (limitados en tasa) sean más rápidos. Puede que pierda información
cuando ?map dé por finalizado el análisis de un puerto antes de tiempo,
aunque eso puede ser mejor que hacer que la expire el üüh2 tütime2uty se
pierda toda la información del objetivo.

üüh2 tütime2ut<tiemp2> (Abandona equipos objetivo lentos)

Hay algunos equipos en los que simplemente se tarda p
 en

sondearlos. Esto puede deberse a hardware de red de bajo rendimiento o
poco fiable o bien a software, limitaciones de tasas de paquetes o un
 cortafuegos demasiado restrictivo. Puede llegar a darse que ?map dedica
la mayor parte del tiempo de análisis en sondear un porcentaje reducido de
sistemas. A veces es mejor reducir las bajas y saltarse esos sistemas
inicialmente. Esto puede hacerse con la opción üüh2 tütime2ut, indicando
el tiempo máximo que está dispuesto a esperar. Yo especifico
habitualmente  m para asegurarse de que ?map no gasta más de media
hora en un solo sistema. Tenga en cuenta que ?map puede estar
sondeando otros equipos al mismo tiempo durante esa media hora, por lo
que no se pierde todo ese tiempo. Cualquier sistema que expire se salta.
?o se imprimirá la tabla de puertos, la detección de sistema operativo o la
detección de versiones para ese sistema.

üü canüdelay<tiemp2>; üümaxü canüdelay<tiemp2> (Ajusta la demora entre

sondas)

Esta opción hace que ?map espere al menos el tiempo indicado entre cada
sonda enviada a un sistema determinado. Esto es muy útil cuando se
quiere limitar la tasa de tráfico. Los sistemas Solaris (entre otros)
responderán a paquetes de sondeos UDP con sólo un mensaje ICMP por
segundo. Enviar más que eso con ?map sería perder el tiempo. Un valor
de * para üü canüdelay hará que ?map se mantenga a esa velocidad
reducida. ?map intenta detectar limitaciones de tasa y ajustar la demora
del sondeo como considere necesario, pero a veces viene bien
especificarlo de forma explícita si ya sabe qué valor es mejor.

El sondeo se ralentiza de forma drástica cuando ?map incrementa el valor

del tiempo de espera para poder tratar las limitaciones de tasa. Puede
utilizar la opción üümax canüdelay para indicar el tiempo máximo de
espera que permitirá ?map. Si especifica un valor muy pequeño tendrá
retransmisiones inútiles de paquetes y posiblemente no detecte puertos
para los que el objetivo implemente tasas de tráfico estrictas.

También se puede usar üü canüdelay para evitar sistemas de detección y

prevención de intrusos (IDS/IPS) basados en umbrales.

ü

<aran2id|neaky|2lite| 2rmal| ggre ive|In ane> (Fija una plantilla de

tiempos)

Algunas personas encuentran confusos los controles de grano fino

explicados previamente, aunque éstos sean muy potentes y efectivos.
Además, se puede a veces tardar más tiempo en encontrar los valores más
apropiados que en hacer el análisis que se quiere optimizar. ?map ofrece
un acercamiento más sencillo, basado en seis plantillas de tiempos. Puede
especificar cualquiera de éstas con la opción ü
seguido de un número o su
nombre. Los nombre de las plantillas son: paranoico (0), sigiloso (1),
amable (2), normal (3), agresivo (4) y loco (5) (respectivamente
"paranoid", "sneaky", "polite", "normal", "aggressive" e "insane", ?. de.
T.). Las primeras dos se utilizan para evadir IDS. El modo amable reduce
el sondeo para que éste utilice menos ancho de banda y menos recursos de
los sistemas analizados. El modo normal es el valor por omisión, así que la
opción ü
 no hace nada realmente. El modo agresivo hace que los
sondeos sean más rápidos al asumir que está en una red razonablemente
más rápida y fiable. En modo loco asume que está en una red
extraordinariamente rápida o que está dispuesto a sacrificar fiabilidad por
velocidad.

Estas plantillas permiten que el usuario especifique cuan agresivo quiere

ser, al mismo tiempo que deja que sea ?map el que escoja los valores
exactos de tiempos. Las plantillas hacen también algunos ajustes menores
de velocidad para los cuales no existe aún una opción de control de grano
fino. Por ejemplo, ü
 prohíbe que la expiración en sondeos dinámicos
exceda los 10ms para puertos TCP y ü
 limita ese valor a 5 milisegundos.
Las plantillas pueden utilizarse combinadas con controles de grano fino,
siempre que se especifique primero la plantilla. Si no lo hace así los
valores especificados por la plantilla modificarán los valores que defina
como opción. Le recomiendo utilizar ü
 cuando sondee redes
razonablemente modernas y fiables. Mantenga esa opción al principio de
la línea de órdenes aún cuando especifique otras opciones de control de
grano fino para poder beneficiarse de las optimizaciones menores que
activa.

Le recomiendo que empiece siempre con ü
 si está utilizando una

conexión de banda ancha o conexión Ethernet decente. Algunas personas
adoran la opción ü
aunque es demasiado agresiva para mi gusto. Otras
personas especifican la opción ü
 porque piensan que es menos probable
que bloqueen sistemas o porque se consideran a sí mismos amables en
general. Muchas veces no se dan cuenta de lo lenta que ü

2lite es
realmente. Su sondeo puede llegar a tardar diez veces más que un sondeo
por omisión. Dado que las caídas de sistemas y problemas de ancho de
banda son raros con las opciones de tiempos por omisión (ü
), lo
recomiendo habitualmente para las personas cuidadosas. Para reducir estos
problemas es más efectivo omitir la detección de versiones que jugar con
los valores de tiempos.
 Mientras que puede ser útil evitar alarmas de IDS con ü
y ü
*, éste
tardará mucho más tiempo para sondear miles de sistemas o puertos. Para
este tipo de sondeos puede que prefiera fijar los valores exactos de tiempos
que necesita antes que utilizar los valores predefinidos para ü
y ü
*.

Los efectos principales del uso de
es la serialización de los sondeos de

forma que sólo se sondea un puerto cada vez, y se espera cinco minutos
antes de enviar cada sonda. Las opciones
* y
 son similares pero sólo
esperan 15 y 0.4 segundos entre sondas, respectivamente. El
comportamiento por omisión de ?map es
, que incluye sondeos en
paralelo.
 es equivalente a especificar üümaxürttütime2ut
*
üü
initialürttütime2ut

üümaxüretrie
 y fija el valor máximo para las
demoras de sondeos TCP a 10 milisegundos.
 hace lo mismo que üümaxü
rttütime2ut

üüminürttütime2ut

üüinitialürttütime2ut

üü
maxüretrie

üüh2 tütime2ut
*m así como definir el valor máximo para
las demoras de sondeos TCP a 5ms.

·
 

 ÿë’ 



Muchos pioneros de Internet habían previsto una red global abierta con un
espacio de direcciones IP universal que permitiese conexiones virtuales entre dos
nodos cualquiera. Esto permitiría a los equipos actuar como verdaderos iguales,
sirviendo y recuperando información el uno del otro. La gente podría acceder a
todos los sistemas de su casa desde el trabajo, cambiando las propiedades del
control del clima o desbloqueando puertas. Esta visión de una conectividad
universal fue sofocada por la escasez del espacio de direcciones y los problemas
de seguridad. Al comienzo de la década de los años 90, las organizaciones
empezaron a replegar cortafuegos con el propósito de reducir la conectividad. Se
acordonaron redes enormes para protegerlas de la Internet no filtrada con
pasarelas («proxies», ?. del T.) de aplicación, sistemas de traducción de
direcciones de red y filtros de paquetes. Del flujo sin restricciones de la
información se pasó a una regulación estricta de los canales de comunicación
aprobados y del contenido que pasa por ellos.

Los filtros de red como los cortafuegos pueden hacer muy difícil el análisis de
una red. Esto no va a ser más fácil en el futuro, ya que uno de los objetivos de
estos dispositivos es generalmente limitar el reconocimiento casual de la red. En
cualquier caso, ?map ofrece varias funcionalidades para ayudar a entender estas
redes complejas, y que también sirven para verificar que los filtros funcionan
como se espera de ellos. Incluso tiene mecanismos para saltarse las defensas que
no hayan sido implementadas del todo correctamente. Uno de los mejores
métodos de entender la posición de la seguridad de su red es intentar
comprometerla. Empiece a pensar como un atacante, e intenta utilizar las técnicas
de esta sección contra sus propias redes. Lance un sondeo de rebote FTP, un
sondeo pasivo, un ataque de fragmentación, o intente realizar un túnel desde una
de sus propias pasarelas.

Las compañías, además de restringir la actividad de red, están monitorizando

cada vez más el tráfico con sistemas de detección de intrusos (IDS,
«IntrusionDetectionSystems», ?. del T.). Todos los IDS principales vienen
preinstalados con reglas diseñadas para detectar sondeos de ?map porque, a
veces, se realizan sondeos previos a un ataque. Muchos de estos productos han
mutado recientemente para convertirse en sistemas de  pp

 de intrusiones
(IPS) que bloquean activamente el tráfico reconocido como maligno.
Desafortunadamente para los administradores de redes y para los fabricantes de
IDS es muy difícil detectar las malas intenciones analizando los datos de los
paquetes. Los atacantes con paciencia, habilidad y con la ayuda de ciertas
opciones de ?map pueden, generalmente, esquivar el análisis de los IDS sin ser
detectados. Mientras tanto, los administradores deben lidiar con un alto número
de falsos positivos debido a que algunas actividades inocentes se diagnostican
erróneamente y generan alarmas o se bloquean.

Algunas personas sugieren que ?map no debería ofrecer funcionalidades de

evasión de cortafuegos o para esquivar los IDS, argumentando que es igual de
probable que las funcionalidades las utilicen los atacantes como que las utilicen
los administradores para mejorar la seguridad. El problema con esta forma de
pensar es que los atacantes van a utilizar estos métodos de todas formas:
encontrarían otra herramienta para hacerlo o parchearían a ?map para añadírsela.
Al mismo tiempo, los administradores tendrían muchos más problemas para
hacer su trabajo. Es mucho mejor defensa utilizar servidores FTP modernos y
parcheados que intentar prevenir la distribución de herramientas que permitan la
implementación de ataques de rebote FTP.

?o hay ninguna herramienta mágica (u opción de ?map) que permita detectar y

evitar cortafuegos y sistemas IDS. Esto requiere habilidad y experiencia. Un
tutorial va más allá del alcance de esta guía de referencia, que sólo lista las
opciones relevantes y describe lo que hacen.

üf (fragmentar los paquetes); üümtu (utilizar el MTU especificado)

La opción üf hace que el sondeo solicitado (incluyendo los sondeos ping)

utilicen paquetes IP fragmentados pequeños. La idea es dividir la cabecera
del paquete TCP entre varios paquetes para hacer más difícil que los filtros
de paquetes, sistemas de detección de intrusos y otras molestias detecten lo
 que se está haciendo. ¡Tenga cuidado con esta opción! Algunos programas
tienen problemas para manejar estos paquetes tan pequeños. El viejo
sniffer llamado Sniffit da un fallo de segmentación inmediatamente
después de recibir el primero de estos pequeños fragmentos. Especifica
esta opción una sola vez y ?map dividirá los paquetes en ocho bytes o
menos después de la cabecera de IP. De esta forma, una cabecera TCP de
veinte bytes se dividiría en 3 paquetes. Dos con ocho bytes de cabecera
TCP y uno con los últimos ocho. Obviamente, cada fragmento tiene su
propia cabecera IP. Especifica la opción üf otra vez para utilizar
fragmentos de dieciséis bytes (reduciendo la cantidad de fragmentos). O
puedes especificar tu propio tamaño con la opción üümtu. ?o utilice la
opción üf si utiliza üümtu. El tamaño debe ser múltiplo de ocho. Aunque la
utilización de paquetes fragmentados no le ayudará a saltar los filtros de
paquetes y cortafuegos que encolen todos los fragmentos IP (como cuando
se utiliza la opción CO?FIG_IP_ALWAYS_DEFRAG del núcleo de
Linux), algunas redes no pueden tolerar la pérdida de rendimiento que esto
produce y deshabilitan esa opción. Otros no pueden habilitar esta opción
porque los fragmentos pueden tomar distintas rutas para entrar en su red.
Algunos sistemas defragmentan los paquetes salientes en el núcleo. Un
ejemplo de ésto es Linux con el módulo de seguimiento de conexiones de
iptables. Realice un sondeo con un programa de captura de tráfico, como
Ethereal, para asegurar que los paquetes que se envían están
fragmentándose. Intente utilizar la opción üü endüeth, si su sistema
operativo le está causando problemas, para saltarse la capa IP y enviar
tramas directamente a la capa Ethernet en crudo.

ü
< eñuel2*

 eñuel2
...> (Esconde un sondeo con señuelos)

Realiza un sondeo con señuelos. Esto hace creer que el/los equipo/s que
utilice como señuelos están también haciendo un sondeo de la red. De esta
manera sus IDS pueden llegar a informar de que se están realizando de 5 a
10 sondeos de puertos desde distintas direcciones IP, pero no sabrán qué
dirección IP está realizando el análisis y cuáles son señuelos inocentes.
Aunque esta técnica puede vencerse mediante el seguimiento del camino
de los encaminadores, descarte de respuesta («response-dropping», ?. del
T.), y otros mecanismos activos, generalmente es una técnica efectiva para
esconder su dirección IP.

Se debe separar cada equipo de distracción mediante comas, y puede

utilizar  («YO», ?. del T.) como uno de los señuelos para representar la
posición de su verdadera dirección IP. Si pone  en la sexta posición o
superior es probable que algunos detectores de sondeos de puertos
 habituales (como el excelente scanlogd de Solar Designer) ni siquiera
muestren su dirección IP. Si no utiliza , ?map le pondrá en una posición
aleatoria.

Tenga en cuenta que los equipos que utilice como distracción deberían
estar conectados o puede que accidentalmente causes un ataque de
inundación SY? a sus objetivos. Además, sería bastante sencillo
determinar qué equipo está realmente haciendo el sondeo si sólo uno está
disponible en la red. Puede que quiera utilizar direcciones IP en lugar de
nombres (de manera que no aparezca en los registros del servidor de
nombres de los sistemas utilizados como señuelo).

Se utilizan los señuelos tanto para el sondeo de ping inicial (si se utiliza
ICMP, SY?, ACK, o cualquier otro) como durante la fase de sondeo.
También se utilizan los señuelos durante la detección de sistema operativo
(ü). Los señuelos no funcionarán con la detección de versión o el sondeo
TCP connect().

Vale la pena tener en cuenta que utilizar demasiados señuelos puede

ralentizar el sondeo y potencialmente hacerlo menos exacto. Además,
algunos proveedores de acceso a Internet filtrarán los paquetes
falsificados, aunque hay muchos que no lo hacen.

ü
<irecciónI> (Falsifica la dirección de origen)

?map puede que no sea capaz de determinar tu dirección IP en algunas

ocasiones (?map se lo dirá si pasa). En esta situación, puede utilizar la
opción ü con la dirección IP de la interfaz a través de la cual quieres
enviar los paquetes.

Otro uso alternativo de esta opción es la de falsificar la dirección para que

los objetivos del análisis piensen que ‰
  los está sondeando.
¡Imagine una compañía a los que les sondea repetidamente la
competencia! Generalmente es necesaria la opción üe si lo quiere utilizar
así, y también sería recomendable la opciónü .

üe
<interfa> (Utilizar la interfaz especificada)

Indica a ?map a través de qué interfaz debe enviar y recibir los paquetes.
?map debería detectar esto automáticamente, pero se lo dirá si no.
üü 2urceüp2rt<númer2depuert2>; üg
<númer2depuert2> (Falsificar el puerto
de origen)

Un error de configuración sorprendentemente común es confiar en el

tráfico basándose únicamente en el número de puerto origen. Es fácil
entender por qué pasa esto. Un administrador que está configurando su
nuevo y flamante cortafuegos, recibe de repente quejas de todos sus
usuarios desagradecidos que le dicen que sus aplicaciones han dejado de
funcionar. En particular, puede romperse el D?S porque las respuestas
UDP de D?S de servidores externos ya no pueden entrar en la red. Otro
ejemplo habitual es el caso del FTP. En una transferencia activa de FTP, el
servidor remoto intenta establecer una conexión de vuelta con el cliente
para transferir el archivo solicitado.

Existen soluciones seguras para estos problemas, como las pasarelas en el

nivel de aplicación o los módulos de cortafuegos que realizan un análisis
del protocolo. Desgraciadamente, también hay soluciones más fáciles y
menos seguras. Al darse cuenta que las respuestas de D?S vienen del
puerto 53 y que las conexiones activas de FTP vienen del puerto 20,
muchos administradores caen en la trampa de configurar su sistema de
filtrado para permitir el tráfico entrante desde estos puertos. Generalmente
asumen que ningún atacante se dará cuenta de estos agujeros en el
cortafuegos ni los aprovechará. En otros casos, los administradores
consideran esto una solución a corto plazo hasta que puedan implementar
una solución más segura. Y después se olvidan de hacer la mejora de la
seguridad.

Los administradores de red con mucho trabajo no son los únicos que caen
en esta trampa. Muchos productos se lanzan al mercado con estas reglas
inseguras. Hasta Microsoft lo ha hecho. Los filtros de IPsec que se
preinstalan con Windows 2000 y Windows XP contienen una regla
implícita que permite todo el tráfico TCP o UDP desde el puerto 88
(Kerberos). Otro caso conocido es el de las versiones de ZoneAlarm
Firewall Personal que, hasta la versión 2.1.25, permitían cualquier paquete
entrante UDP desde el puerto 53 (D?S) o 67 (DHCP).

?map ofrece las opciones üg y üü 2urceüp2rt (son equivalentes) para

aprovecharse de estas debilidades. Simplemente indique el número de
puerto y ?map enviará los paquetes desde ese puerto cuando sea posible.
?map debe utilizar distintos números de puerto para ciertos tipos de
prueba en la detección de sistema operativo para que funcionen
correctamente, y las solicitudes de D?S ignoran la opción üü 2urceü
 p2rt porque ?map depende de las librerías del sistema para hacerlas. Esta
opción se soporta completamente en muchos sondeos TCP, incluyendo el
sondeo SY?, al igual que los sondeos UDP.

üüdataülength<númer2> (Añadir datos aleatorios a los paquetes enviados)

?ormalmente ?map envía paquetes mínimos que contienen sólo la

cabecera. Así, los paquetes TCP que envía son generalmente de 40 bytes y
las solicitudes echo de ICMP son de tan sólo 28. Esta opción le dice a
?map que añada el número indicado de bytes aleatorios a la mayoría de
los paquetes que envía. Esta opción no afecta a los paquetes enviados para
la detección de sistema operativo (ü), pero sí a la mayoría de los paquetes
de ping y de sondeo de puertos. Esta opción hace que el sondeo sea un
poco más lento, pero también que el sondeo sea un poco más difícil de
detectar.

üüttl<val2r> (Indica el valor del campo tiempo-de-vida de la cabecera IP)

Establece el campo tiempo-de-vida («time-to-live», ?. del T.) en la

cabecera de los paquetes IPv4 al valor especificado.

üürand2mieüh2 t (Mezclar aleatoriamente la lista de equipos a sondear)

Indica a ?map que debe mezclar aleatoriamente cada grupo de hasta 8096
equipos antes de hacer un sondeo. Esto puede hacer que el sondeo sea
menos obvio para algunos sistemas de monitorización de la red,
especialmente cuando se combina con las opciones que ralentizan el
sondeo. Si quiere mezclar aleatoriamente listas más grandes, incremente el
valor de la constante PI?G_GROUP_SZ en nmap.h y recompile el
programa. Una solución alternativa es generar la lista de sistemas a
sondear con un sondeo de lista (ü L
ün
ü2
î
 ), ordenarlo
aleatoriamente con un script de Perl, y luego darle a ?map la lista entera
con la opción üiL.

üü p22fümac<dirección
 C
prefij2
2
n2mbre
del
fabricante> (Falsifica la

dirección MAC)

Solicita a ?map que utilice la MAC dada para todas las tramas de Ethernet
enviadas. Esta opción activa implícitamente la opción üü endüeth para
asegurar que ?map envía los paquetes del nivel Ethernet. La MAC dada
puede tener varios formatos. ?map elegirá una MAC completamente
aleatoria para la sesión si se utiliza el valor ³0´. ?map utilizará la MAC
 indicada si el parámetro es un número par de dígitos hexadecimales
(separando opcionalmente cada dos dígitos con dos puntos). ?map
rellenará los 6 bytes restantes con valores aleatorios si se dan menos de 12
dígitos hexadecimales. Si el argumento no es ni 0 ni un conjunto de dígitos
hexadecimales, ?map mirará en nmapümacüprefixe para encontrar un
fabricante cuyo nombre coincida con el parámetro utilizado (en esta
búsqueda no diferenciará entre mayúsculas y minúsculas). Si se encuentra
algún fabricante, ?map utilizará el OUI del fabricante (prefijo de 3 bytes)
y rellenará los otros 3 bytes aleatoriamente. Ejemplos de argumentos üü
p22fümac son: pple, , *     , deadbeefcafe,  F,
y Ci c2.

üübad um (Envía paquetes con sumas de comprobación TCP/UDP erróneas)

Esta opción le indica a ?map que debe generar sumas de comprobación

inválidas para los paquetes que se envíen a los equipos objetivos.
Cualquier respuesta que se reciba vendrá de un cortafuegos o un IDS que
no comprobó la suma, dado que la mayoría de las pilas IP descartan estos
paquetes. Para obtener más información de esta técnica puede
consultar http://www.phrack.org/phrack/60/p60-0x0c.txt

’
La utilidad de una herramienta de seguridad está limitada por la salida que
genera. De poco sirven pruebas y algoritmos complejos si luego no se presentan
de una forma organizada y comprensible. Dada la cantidad de formas en las que
puede utilizarse ?map, tanto por personas como por otros programas, no es
posible complacer a todos con un único formato. Por ello ?map ofrece varios
formatos, incluyendo el modo interactivo para que los humanos lo lean
directamente y un formato XML para que sea interpretado por otros programas.

Además de ofrecer distintos formatos de salida, ?map ofrece opciones

adicionales para controlar cuanta información de más se muestra en la salida, así
como opciones para controlar los mensajes de depuración que se muestran. Los
tipos de salida pueden enviarse a la salida estándar o a algún archivo
especificando su nombre. ?map puede añadir información al archivo o
sobreescribirlo. Los formatos de salida pueden utilizarse también para retomar un
sondeo que se haya interrumpido.

?map puede generar la salida en cinco formatos distintos. El formato por

omisión es el llamado alida
interactiva, y se envía a la salida estándar
(«stdout»). También está la alida
n2rmal, que es similar a la
salida interactiva salvo que muestra menos información de ejecución y menos
advertencias, ya que se espera que se analice una vez que el sondeo haya
terminado en lugar de ser analizada interactivamente.

La salida XML es uno de los formatos de salida más importantes, ya que puede
convertirse a HTML, los programas (como la interfaz de usuario de ?map)
pueden interpretarla fácilmente o puede importarse a una base de datos.

Los dos tipos de salida restantes son la sencilla alida
para
grep (o «grepeable»)

que incluye la mayoría de la información de un sistema analizado en una sola
línea, y la L*d
CRit
Kii para usuarios que se consideran a sí mismos |<-
r4d.

Aunque se utiliza la salida interactiva por omisión y no tiene ninguna opción de

la línea de órdenes, los demás formatos utilizan la misma sintaxis. Toman un solo
argumento, que es el archivo donde se guardarán los resultados. Pueden
especificarse múltiples formatos al mismo tiempo, pero sólo puede especificar el
mismo formato una vez. Por ejemplo, puede querer guardar la salida normal para
su propia visualización mientras se guarda la información del mismo sondeo en
formato XML para realizar un análisis posterior con un programa. Para hacer
ésto debe utilizar las opciones ü2

mi 2nde2.xml
ü2 mi 2nde2.nmap. Se
recomienda utilizar nombres más descriptivos, si bien este capítulo utiliza
nombres sencillos como mi 2nde2.xml por razones de brevedad. Los nombres
elegidos son una cuestión de preferencia personal. Yo utilizo nombres largos que
incluyen la fecha del análisis y una palabra o dos describiendo el sondeo, dentro
de un directorio con el nombre de la empresa que estoy analizando.

?map seguirá imprimiendo la salida interactiva en «stdout» como lo hace

habitualmente aunque se guarden en archivos la salida con estas opciones. Por
ejemplo, la orden

 
 

 imprime XML
en mi 2nde2.xml y llena la salida estándar con los mismos resultados interactivos
que habría impreso si no se hubiese especificado la opción ü2
. Puedes cambiar
este comportamiento dando un guión como argumento a una de las opciones de
salida. Esto hace que ?map desactive la salida interactiva y que imprima en su
lugar los resultados en el formato especificado en la salida estándar. Con lo que
la orden
 

 enviará únicamente la salida XML a la salida
estándar («stdout»). Los errores graves seguirán presentándose, posiblemente, en
la salida normal de error, «stderr».

A diferencia de algunos argumentos de ?map, es obligatorio separar con un

espacio la opción de salida (como ü2
) y el nombre del archivo o el guión. Si los
omite y pone el argumento como ü2Gü o ü2
2nde2.xml, una funcionalidad de
compatibilidad con versiones anteriores hará que se cree una 

  en los
ficheros llamados Güy
can.xml respectivamente.

?map también ofrece opciones para controlar la información extra que se ofrece
sobre el sondeo y añadirlo a los archivos de salida en lugar de sobreescribirlos.
Todas estas opciones se describen a continuación.

Î
  

ü2 <file pec> (Salida normal)

Solicita que la alida
n2rmal sea redirigida al archivo especificado. Como

se ha dicho anteriormente, esto difiere un poco de la alida
interactiva.

ü2
<file pec> (salida XML)

Solicita que la alida
en

L se redirigida al archivo especificado. ?map
incluye un DTD que pueden utilizar los intérpretes de XML para validar la
salida XML. Aunque está dirigida a que la utilicen programas, también
puede ayudar a que una persona interprete la salida de ?map. El DTD
define los elementos legales del formato, y generalmente enumera los
atributos y valores que pueden tener. La última versión está siempre
disponible en http://www.insecure.org/nmap/data/nmap.dtd.

XML ofrece un formato estable que es fácilmente interpretado por

cualquier programa. Hay intérpretes libres de XML para los lenguajes de
ordenador más importantes, incluyendo C/C++, Perl, Python, y Java. La
gente ha escrito librerías para la mayoría de estos lenguajes que manejan
específicamente la salida de ?map. Por
ejemplo ?map::Scanner y ?map::Parser en el CPA? de Perl. XML es el
formato preferente en la mayoría de los casos en que una aplicación no
trivial quiere utilizar ?map.

La salida de XML hace referencia a la hoja de estilo XSL que puede

utilizarse para formatear los resultados en HTML. La forma más fácil de
utilizarla es simplemente cargar la salida XML en un navegador web como
Firefox o IE. Por omisión, ésto solo funcionará en el equipo en el que
ejecutó ?map (o uno configurado igual que dicho equipo) ya que la ruta
de nmap.x l se incluye directamente dentro del archivo. Puede utilizar la
opción üüwebxml o üü tyle heetpara crear un XML portable que pueda
mostrarse como HTML en cualquier ordenador conectado a la web.
ü2<file pec> (SaLiDaScRipT KIdd|3)

La salida «script kiddie» es como la salida interactiva, excepto que se

post-procesa para que la vean mejor los «l33t HaXXorZ» a los que antes
no les gustaba ?map por su uso consistente de mayúsculas y minúsculas.
Aquellos que no tengan sentido del humor deberían tomar nota de que esta
opción es una broma sobre los «script kiddies» antes de criticarme
por ³ayudarlos´.

ü2G<file pec> (Salida «grepeable»)

Este formato de salida se trata el último porque está obsoleto. La salida en

formato XML es mucho más poderosa, y es igual de conveniente para los
usuarios experimentados. XML es un estándar para el que se dispone de
docenas de intérpretes, mientras que la salida para grep es un «hack»
propio. XML puede extenderse para soportar nuevas funcionalidades de
?map tan pronto como se liberen, mientras que en general tengo que
omitir estas funcionalidades de la salida para grep por no tener un lugar
donde ponerlas.

Sin embargo, la salida para grep es todavía bastante popular. Es

simplemente un formato que lista cada sistema en una línea y que puede
ser fácilmente tratado con herramientas estándar de U?IX como grep,
awk, cut, sed, diff y Perl. Incluso yo la utilizo para pruebas rápidas que
hago desde la línea de órdenes. Sólo hace falta un grep para identificar
todos los sistemas con el puerto de ssh abierto o que ejecuten Solaris,
enviando la salida a través de un conector a awk o cut para mostrar los
campos deseados.

La salida para grep consiste en comentarios (líneas que empiezan por una
almohadilla, «#») y líneas de objetivo. Una línea de objetivo incluye una
combinación de seis campos marcados, separados por tabulaciones y
seguidos de dos puntos. Los campos (en inglés)
son 2 t (Sistema), 2rt (Puertos), r2t2c2l (Protocolos),Ign2redtate (
Estado omitido),  (Sistema operativo), eqIndex (índice de
secuencia), II, y tatu (Estado).

El campo más importante de todos habitualmente es 2rt , que es el que

da los detalles de cada puerto interesante encontrado. Consiste en una lista
separada por comas de entradas de puerto. Cada entrada de puerto
representa uno de los puertos de interés y se muestra con siete subcampos
separados por una barra («/»). Los subcampos son: 2rt
number (?úmero
 de
puerto), tate (Estado), r2t2c2l (Protocolo), wner (Propietario), ervice
(Servicio), unRC
inf2 (Información SunRPC),
y er i2ninf2 (Información de versión).

Esta página de manual, al igual que en el caso de la salida XML, no puede

incluir la documentación completa de este formato. Puede encontrar más
información detallada de la salida de ?map para grep
en http://www.unspecific.com/nmap-oG-output.

ü2 <n2mbreba e> (Salida en todos los formatos)

Por comodidad, puede especificar la opción ü2 î  para

guardar los resultados de los sondeos
en î  .nmap, î  .xml, yî  .gnmap,
respectivamente. Al igual que la mayoría de los programas puede poner un
prefijo con la ruta del directorio como pudiera
serw/regi tr2 nmap/empre af22/ en U?IX o chacking c2 en
Windows.

J
  
  


üv (Incrementa el nivel de detalle)

Hace que ?map imprima más información sobre el sondeo que está
realizando incrementando el nivel de detalle. Los puertos abiertos se
muestran en cuanto se encuentran y se muestra una estimación del tiempo
que ?map espera que dure la tarea de sondeo si piensa que va a durar más
de un par de minutos. Puede utilizarlo dos veces para obtener aún más
detalle. ?o tiene ningún efecto el utilizarlo más de dos veces.

La mayoría de los cambios sólo afectan a la salida interactiva, y algunos

también afectan a la salida «script kiddie». Dado que los demás formatos
van a ser tratados por programas, ?map da información detallada en estos
formatos por omisión sin fatigar a un usuario humano. Sin embargo, hay
algunos cambios en los otros modos que hacen que el tamaño de la salida
resultante se reduzca sustancialmente al omitir información detallada. Por
ejemplo, sólo se imprime una línea de comentario con todos los puertos
sondeados en el formato de salida para grep si se activa el modo de detalle,
porque puede ser demasiada información.

üd

level (Incrementar o fijar el nivel de depuración)

 Cuando no obtiene suficientes datos ni siquiera con el modo de detalle,
¡puede utilizar el modo de depuración para inundarse de detalles! Al igual
que con la opción de detalle (üv), puede activar la depuración con una
opción en la línea de órdenes (üd). Puede incrementar el nivel de
depuración si la especifica múltiples veces. También puede fijar
directamente el nivel de depuración si da un argumento a la opción üd. Por
ejemplo, si utiliza üd se fijaría el nivel de depuración en el nueve. Ese es
el nivel más alto de depuración y provocará que se impriman miles de
líneas a no ser que haga sondeos muy sencillos con pocos puertos y
objetivos.

La salida de depuración es útil cuando sospecha que hay un fallo en ?map

o simplemente si está confundido y quiere saber qué hace ?map y por qué.
Las líneas de depuración no son auto-explicativas, dado que esta función
está dirigida a los desarrolladores. Puede obtener algo como esto:
ime2ut

val 
rtt
ü*
rttvar
ü*
t2
*
delta
*
> rtt
*

rttvar
*
t2
* . Su único recurso si no entiende una línea es
ignorarla, buscarla en el código fuente, o solicitar ayuda en la lista de
desarrolladores (nmap-dev). Algunas líneas sí son auto-explicativas, pero
los mensajes se vuelven más y más extraños a medida que se incrementa el
nivel de depuración.

üüpacketütrace (Trazar paquetes y datos enviados y recibidos)

Esta opción hace que ?map imprima un resumen de cada paquete que
envía o recibe. Esto se utiliza muchas veces para poder depurar el
programa, pero también es útil para los usuarios nuevos que quieren
entender exactamente que es lo que hace ?map bajo el capó. Puede
especificar un número reducido de puertos para evitar que se impriman
miles de líneas, como por ejemplo üp ü . Si sólo está interesado en el
funcionamiento del subsistema de detección de versiones debe utilizar la
opción üüver i2nütrace.

üüifli t (Listar interfaces y rutas)

Imprime la lista de interfaces y las rutas del sistema tal y como las detecta
?map. Esta opción es útil para depurar problemas de enrutamiento o
caracterizaciones equivocadas del tipo de interfaz (como por ejemplo,
cuando ?map trata una conexión PPP como una interfaz Ethernet).

J
 
 

üüappendü2utput (Añadir en lugar de borrar los archivos de salida)

El fichero especificado como salida de un formato como pueda ser ü2

or ü
2 se sobreescribe por omisión. Si prefiere mantener el contenido existente
y añadir los nuevos resultados tendrá que especificar la opción üüappendü
2utput. La información obtenida se añadirá a los ficheros especificados en
esa ejecución de ?map en lugar de sobreescribirlos. Esto no funciona bien
para los ficheros de salida XML (ü2
) ya que el fichero resultante no se
podrá leer correctamente, por regla general, hasta que lo arregle
manualmente.

üüre ume
<n2mbrearchiv2> (Continuar un sondeo detenido)

Algunas ejecuciones de ?map tardan mucho tiempo, del orden de días.

Esos sondeos no siempre se ejecutan hasta el final. Es posible que haya
restricciones que impidan los sondeos de ?map durante la jornada laboral,
se puede caer la red o el sistema donde se está ejecutando ?map puede
sufrir un reinicio esperado o uno no planificado, o incluso es posible que
?map aborte. El administrador que está ejecutando ?map podría
cancelarlo también por cualquier otra razón, simplemente pulsando 
.
En estos casos puede no desearse empezar el sondeo completo desde el
principio. Afortunadamente, si se ha guardado una salida normal (ü2 ) o
para tratarla con grep (ü2G), el usuarios puede pedir a ?map que continúe
el sondeo con el objetivo en el que estaba trabajando cuando se detuvo la
ejecución. Simplemente se tiene que especificar la opción üüre ume y dar
un archivo de salida normal o «grepeable» como argumento. ?o se puede
dar ningún otro argumento, ya que ?map trata el archivo para utilizar las
mismas opciones que se especificaron entonces. Sólo se debe llamar a
?map con
  î
 
 
. ?map añadirá
cualquier resultado nuevo a los ficheros de datos especificados en la
ejecución previa. ?o se soporta la capacidad de reanudar un sondeo con el
formato de salida XML porque combinar dos salidas en un sólo fichero
XML válido sería difícil.

üü tyle heet<ruta
2
RL> (Fija la hoja de estilo XSL para transformar la salida

XML)

?map se distribuye conjuntamente con una hoja de estilo XSL

llamada nmap.x l para poder ver o traducir la salida XML a HTML. La
Salida XML incluye una directiva xmlü tyle heet que apunta al punto
donde está instalado nmap.xml (o al directorio de trabajo actual en
Windows). Para mostrar los resultados basta cargar la salida XML en un
 navegador de web moderno y éste recogerá y utilizará el
archivo nmap.x l del sistema de ficheros. Si quiere especificar una hoja de
estilo diferente, tiene que especificarla como argumento a la opción üü
tyle heet. Puede dar una ruta completa o un URL. Una forma habitual de
llamar a esta opción es la siguiente: üü tyle heet

http//www.in ecure.2rg/nmap/data/nmap.x l. Esto le dice al navegador
que descargue la última versión de la hoja de estilo de Insecure.Org. La
opción üüwebxml hace lo mismo pero con menos teclas y es más fácil de
recordar. Esto facilita la visualización de resultados en un sistema que no
tiene ?map instalado (y que por tanto carece de un archivo nmap.x l). Así,
la URL es lo más útil, pero se utiliza el sistema de ficheros local para el
archivo nmap.xsl por omisión por razones de privacidad.

üüwebxml (Carga la hoja de estilo de Insecure.Org)

Esta opción es simplemente un alias para üü tyle heet

http//www.in ecure.2rg/nmap/data/nmap.x l.

üün2 tyle heet (Omite la declaración de hoja de estilo XSL del XML)

Puede utilizar esta opción para evitar que ?map asocie una hoja de estilo
XSL a su salida XML. En este caso, se omite la directiva xmlü
tyle heet de la salida.

J
 


Esta sección describe algunas opciones importantes (y no tan importantes) que no
encajan realmente en ningún otro sitio.

ü (Activa el sondeo IPv6)

?map tiene soporte IPv6 para la mayoría de sus funcionalidades más

populares desde 2002. En particular, tiene soporte de: sondeo ping (TCP-
only), sondeo connect() y detección de versiones. La sintaxis de las
órdenes es igual que las habituales salvo que debe especificar la opción ü
 Por supuesto, debe utilizarse la sintaxis IPv6 si se indica una dirección
en lugar de un nombre de sistema. Una dirección IPv6 sería parecida
a ffe  ** * ffffe *d , por lo que se recomienda
utilizar nombres de equipo. La salida es igual que en los otros casos. Lo
único que distingue que esta opción está habilitada es que se muestran las
direcciones IPv6 en la línea que indica los ³puertos de interés´.
 Aunque IPv6 no se está utilizando en todo el mundo, sí que se utiliza
mucho en algunos países (generalmente asiáticos) y muchos sistemas
operativos modernos lo soportan. Tanto el origen como el objetivo de su
sondeo deben estar configurados para utilizar IPv6 si desea utilizar ?map
con IPv6. Si su ISP (como sucede con la mayoría) no le da direcciones
IPv6, puede encontrar gestores de túneles gratuitos en muchos sitios y
funciona bien con ?map. Uno de los mejores lo gestiona BT Exact
en https://tb.ipv6.btexact.com/. También he utilizado el que Hurricane
Electric ofrece en http://ipv6tb.he.net/. Los túneles IPv6 a IPv4 («6to4»)
son también otro método muy popular y gratuito .

ü (Opciones de sondeos agresivos)

Esta opción activa algunas opciones avanzadas y agresivas. Aún no he

decidido qué significa exactamente. Actualmente esto activa la detección
de sistema operativo (ü) y el análisis de versiones (ü ). Aunque se
añadirán más opciones en el futuro. La idea es que esta opción active un
conjunto de opciones para evitar que los usuarios de ?map tengan que
recordar un número de opciones muy elevado. Esta opción sólo activa
funcionalidades, no afecta a las opciones de temporización (como ü
) o
de depuración (üv) que quizás desee activar también.

üüdatadir<n2mbredirect2ri2> (Indica la ubicación de un archivo de datos de

?map)

?map obtiene algunos datos especiales al ejecutarse de los archivos

llamados nmapü erviceüpr2be , nmapü ervice , nmapüpr2t2c2l , nmapü
rpc, nmapümacüprefixe , y nmapü2 üfingerprint . ?map buscará primero
estos ficheros en el directorio que se especifique con la opción üü
datadir (si se indica alguno). Los archivos que no se encuentren allí se
buscarán en el directorio especificado por la variable de entorno
?MAPDIR. A continuación se buscará enw/.nmap tanto para el
identificador (UID) real como el efectivo (sólo en sistemas POSIX) o la
ubicación del ejecutable de ?map (sólo sistemas Win32), y también en
una ubicación compilada en la aplicación como pudiera
ser /u r/l2cal/ hare/nmap o /u r/ hare/nmap. ?map, por último, buscará
en el directorio actual.

üü endüeth (Enviar tramas Ethernet en crudo)

Le indica a ?map que debe enviar paquetes en la capa Ethernet en crudo

(enlace de datos) en lugar de en la capa IP (red). Por omisión,
 ?mapelegirá cuál utilizar en función de lo que sea mejor para la
plataforma donde esté ejecutándose. Los sockets crudos (capa IP) son
generalmente más eficientes para sistemas U?IX, mientras que las tramas
Ethernet son necesarias en sistemas Windows ya que Microsoft deshabilitó
el soporte de sockets crudos. ?map seguirá utilizando paquetes IP crudos
en U?IX, aunque se especifique esta opción, cuando no se pueda hacer de
otra forma (como es el caso de conexiones no Ethernet).

üü endüip (Enviar al nivel crudo IP)

Indica a ?map que debe enviar utilizando sockets IP crudos en lugar de

enviar tramas Ethernet de bajo nivel. Esta opción es complementaria a la
opción üü endüeth descrita previamente.

üüprivileged (Asumir que el usuario tiene todos los privilegios)

Esta opción le dice a ?map que simplemente asuma que el usuario con el
que se ejecuta tiene suficientes privilegios para trabajar con sockets
crudos, capturar paquetes y hacer otras operaciones similares que
generalmente sólo puede hacerla en sistemas U?IX el usuario root. Por
omisión, ?map aborta si se han solicitado esas operaciones pero el
resultado de geteuid() no es cero. La opción üüprivileged es útil con las
capacidades del núcleo Linux y sistemas similares que pueden
configurarse para permitir realizar sondeos con paquetes crudos a los
usuarios no privilegiados. Asegúrese de indicar esta opción antes de
cualquier otra opción que pueda requerir de privilegios específicos
(sondeo SY?, detección de SO, etc.). Una forma alternativa a üü
privileged es fijar la variable de entorno ?MAP_PRIVILEGED.

üüinteractive (Comienza en modo interactivo)

Comienza ?map en modo interactivo. En este modo, ?map ofrece un

indicador interactivo que facilita el lanzamiento de múltiples sondeos
(tanto síncronos como en segundo plano). Es útil para aquellas personas
que tienen que sondear desde sistemas multi-usuario, ya que generalmente
quieren hacer un análisis de seguridad sin que los demás usuarios sepan
exactamente qué sistemas se están analizando. Puede utilizar la opción üü
interactive para activar este modo y después utilizar ^para obtener la
ayuda. Esta opción se utiliza muy poco porque los intérpretes de línea de
órdenes habituales son mucho más cómodos y tienen más funciones. Esta
opción incluye un operador de exclamación («!») para ejecutar órdenes de
 la shell, que es una de las muchas razones por las que ?map no se debe
instalar con el bit «setuid» de root.

ü; üüver i2n (Mostrar el número de versión)

Imprime el número de versión de ?map y aborta.

üh; üühelp (Mostrar la página resumen de ayuda)

Imprime una pequeña pantalla de ayuda con las opciones de órdenes más
habituales. Pasa lo mismo si ejecuta ?map sin argumentos.

· 





Todas las pulsaciones de teclado se capturan durante la ejecución de ?map. Esto
le permite interactuar con el programa sin abortarlo ni reiniciarlo. Algunas teclas
especiales cambiarán las opciones mientras que otras teclas imprimirán un
mensaje de estado informándole del estado del sondeo. La convención es que
las p 
p

‰



pp  la cantidad de información que se imprime,
mientras que las p 
p
‰

p
p la información impresa. Tambén
puede pulsar µ¶ para obtener ayuda.

v /

Incrementa / Reduce el detalle (más / menos verboso)

d /

Incrementa / Reduce el nivel de depuración

p /

Activa / Desactiva la traza de paquetes



Imprime la pantalla de ayuda de la ejecución interactiva

Cualquier otra tecla

Imprime un mensaje de estado similar a ésta:

 Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5 undergoing Service
Scan

Service scan Timing: About 28.00% done; ETC: 16:18 (0:00:15

remaining)

· 
A continuación se muestran algunos ejemplos de utilización, desde lo más simple
y rutinario hasta algo más complejo y esotérico. Se utilizan algunas direcciones
IP y dominios para concretar un poco las cosas. En su lugar deberías poner las
direcciones o nombres de 
 

p. Mientras que yo no considero que
sondear los puertos de otras redes es o debería ser ilegal, algunos administradores
de redes no aprecian un sondeo no solicitado de sus redes y pueden quejarse. Lo
mejor es pedir permiso primero.

A modo de prueba, tienes permiso de sondear el servidor canme.nmap.2rg. Este

permiso sólo incluye sondear mediante ?map y no para probar "exploits" o
ataques de denegación de servicio. Por favor, para conservar el ancho de banda
no inicie más de una docena de sondeos contra este servidor el mismo día. Si se
abusa de este servicio de sondeo se desconectará y ?map
reportará Failedt2re 2lvegivenh2 tname/I
canme.nmap.2rg ("?o se pudo
resolver la dirección IP o nombre datos: scanme.nmap.org"). Este permiso
también se aplica a los servidores analiame.nmap.2rg, analiame.nmap.2rg, y
así sucesivamente, aunque esos servidores actualmente no existen.
nmap -v scanme.nmap.org

Esta opción sondea todos los puertos TCP reservados en el

servidor canme.nmap.2rg. La opción üv activa el modo detallado (también
llamado verboso).
nmap -sS -O scanme.nmap.org/24

Lanza un sondeo de tipo SY? sigiloso contra cada una de las 255 máquinas en
la ³clase C´ de la red donde está el sistema "analizame". También intenta
determinar cual es el sistema operativo que se ejecuta en cada máquina que esté
encendida. Esto requiere permisos de root por la opción de sondeo SY? y por la
de detección de sistema operativo.
nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127
Lanza una enumeración de equipos y un sondeo TCP a cada uno de la primera
mitad de las 255 posibles subredes de 8 bit en la red de clase B 198.116. Esto
probará si los sistemas están ejecutando sshd, D?S, pop3d, imapd o tienen un
servidor en el puerto 4564. Para cualquier puerto que se encuentre abierto, se
realizará una detección de versión para determinar qué aplicación se está
ejecutando.
nmap -v -iR 100000 -P0 -p 80

Solicita a ?map que elija 100.000 sistemas aleatoriamente y los sondee buscando
servidores web (puerto 80). La enumeración de sistemas se deshabilita con ü ya
que es un desperdicio enviar un par de pruebas para determinar si el sistema debe
ser analizado cuando de todas maneras sólo se va a analizar un puerto.
nmap -P0 -p80 -oXlogs/pb-port80scan.xml -oGlogs/pb-port80scan.gnmap
216.163.128.20/20

Esto sondea 4096 IPs para buscar cualquier servidor web (sin enviar sondas
ICMP) y guarda la salida en formato para grep y en XML.

Î
Al igual que su autor, ?map no es perfecto. Pero tu puedes ayudar a hacerlo
mejor enviando informes de fallo o incluso escribiendo parches. Si ?map no se
comporta como tú esperas, primero actualiza a la última versión disponible
en http://www.insecure.org/nmap/. Si el problema persiste, investiga para
determinar si la causa ya ha sido descubierta y solucionada. Busca en Google el
mensaje de error o navega en los archivos de ?map-dev en http://seclists.org/.
También deberías leer este manual completo. Si esto no te ayuda, envía un
informe de error en inglés a <nmapüdev@in ecure.2rg>. Por favor, incluya todo lo
que haya visto del problema, así como qué versión de ?map está utilizando y
sobre qué versión del sistema operativo está trabajando. Hay muchas más
probabilidades de que un informe de fallo o una pregunta sobre el uso de ?map
se contesten si se envían a nmap-dev@insecure.org que si se envían directamente
a Fyodor.

Es mejor enviar parches para arreglar el código que un informe de error. Puedes
encontrar las instrucciones básicas para crear parches con sus cambios
enhttp://www.insecure.org/nmap/data/HACKI?G. Puede enviar los parches a
nmap-dev (recomendado) o directamente a Fyodor.
V

Fyodor <fy2d2r@in ecure.2rg> (http://www.insecure.org)

Cientos de personas han realizado valiosas contribuciones a ?map a lo largo de

los años. Sus nombres se detallan en el archivo C GLG que se distribuye
conjuntamente con ?map y que está también disponible
en http://www.insecure.org/nmap/changelog.html.


  
o
 

   
 
 



This is an unnofficial translation of the ?map license details into Spanish. It was
not written by Insecure.Com LLC, and does not legally state the distribution
terms for ?map -- only the original English text does that. However, we hope
that this translation helps Spanish speakers understand the ?map license better.

Esta es una traducción no oficial de los detalles de la licencia de ?mapdetails al

español. Esta traducción no ha sido escrita por Insecure.Com LLC por lo que no
refleja legalmente los términos de distribución de ?map, eso sólo puede hacerlo
el texto original en inglés. Esperamos, sin embargo, que esta traducción pueda
ayudar a aquellas personas que hablan español a entender mejor la licencia de
?map.

  

 

The ?map Security Scanner is (C) 1996-2005 Insecure.Com LLC. ?map is also
a registered trademark of Insecure.Com LLC. This program is free software; you
may redistribute and/or modify it under the terms of the G?U General Public
License as published by the Free Software Foundation; Version 2. This
guarantees your right to use, modify, and redistribute this software under certain
conditions. If you wish to embed ?map technology into proprietary software, we
may be willing to sell alternative licenses (contact < ale @in ecure.c2m>). Many
security scanner vendors already license ?map technology such as host
discovery, port scanning, OS detection, and service/version detection.

 





 La herramienta de sondeos de seguridad ?map es (C)
1996-2005 Insecure.Com LLC. ?map también es una marca registrada por
Insecure.Com LLC. Este programa es software libre. Puede redistribuirlo y/o
modificarlo bajo los términos de la Licencia Pública General de G?U según es
publicada por la Free Software Foundation, versión 2. Esto garantiza su derecho
a utilizarla, modificarla y redistribuirla bajo ciertas condiciones. Si desea
introducir la tecnología de ?map en programas propietarios podemos vender
licencias alternativas (póngase en contacto con < ale @in ecure.c2m>). Hay
muchos fabricantes de herramientas de análisis de seguridad que licencian la
tecnología de ?map como es el descubrimiento de equipos, sondeos de puertos,
detección de sistema operativo y detección de servicios y versiones.

Tenga en cuenta que la GPL impone restricciones importantes en los ³trabajos

derivados´, pero no ofrece una definición precisa de ese término. Para evitar
malentendidos, a continuación se definen, para los propósitos de esta licencia, las
condiciones bajo las que una aplicación constituye un ³trabajo derivado´:

R| Integra código fuente de ?map

R| Lee o incluye los ficheros de ?map que están bajo derechos de copia, eso
incluye nmapü2 üfingerprint o nmapü erviceüpr2be .
R| Ejecuta ?map y analiza los resultados (en contraposición del intérprete de
órdenes típico o la ejecución desde un menú, que simplemente muestra la
salida de ?map en crudo y no son, por tanto, trabajos derivados)
R| Integra o incluye o agrega ?map en un instalador ejecutable propietario,
como los que produce InstallShield.
R| Enlaza a una librería o ejecuta un programa que hace cualquiera de las
cosas descritas anteriormente.

Se debe considerar que el término ³?map´ incluye las porciones o trabajos

derivados de ?map. Esta lista no es exclusiva, su único objetivo es clarificar la
interpretación de trabajos derivados con algunos ejemplos comunes. Estas
restricciones no se aplican cuando redistribuye ?map. Por ejemplo, nada le
impide escribir y vender una interfaz propietaria a ?map. Sólo debe distribuirla
de forma separada e indicar a sus usuarios que vayan
a http://www.insecure.org/nmap/ para obtener ?map.

?o consideramos que las restricciones sean añadidos a la GPL, sino simplemente

una forma de clarificar cómo interpretamos el término ³trabajos derivados´ y su
aplicación al producto ?map licenciado GPL. Esto es parecido a la interpretación
que LinusTorvalds ha dado a ³trabajos derivados´ y su aplicación a los módulos
del núcleo de Linux. ?uestra interpretación sólo aplica a ?map, no hablamos en
nombre de otros productos GPL.

Estaremos encantados de ayudarle si tiene alguna pregunta de cómo aplican las

restricciones de licenciamiento GPL al uso de ?map en trabajos que no son GPL.
Tal y como se menciona más arriba, ofrecemos licencias alternativas para
integrar ?map en aplicaciones propietarias así como en dispositivos hardware.
Ya se han vendido este tipo de contratos a fabricantes de dispositivos de
seguridad y habitualmente incluye una licencia perpetua, al tiempo que se da
soporte prioritario y actualizaciones. Estos contratos financian el desarrollo
continuo de la tecnología ?map. Por favor, contacte con < ale @in ecure.c2m> si
desea más información.

Insecure.Com LLC da permiso para enlazar el código de este programa con

cualquier librería de OpenSSL que se distribuya bajo una licencia idéntica a la
indicada en el fichero Copying.OpenSSL adjunto, así como a la distribución de la
combinación enlazada que incluye a ambos. Ésta es una excepción especial a los
términos de la GPL. Debe obedecer los demás términos de la GPL de G?U en
cualquier otro aspecto en relación al código que utilice que no sea OpenSSL. Si
modifica este fichero puede extender esta excepción a su versión del fichero,
aunque no está obligado a hacerlo.

Si recibe estos ficheros con un acuerdo de licencia por escrito o contrato que
indique términos distintos de los que se describen arriba entonces dicha licencia
alternativa toma precedencia sobre estos comentarios.

   
 




Esta guía de referencia de ?map Reference Guide es (C) 2005 Insecure.Com

LLC. Se distribuye bajo la versión 2.5 de la Licencia CreativeCommons de
Reconocimiento. Esta licencia le permite redistribuir y modificar el trabajo como
desee siempre que reconozca la fuente original. Puede, si lo desea, tratar este
documento con la misma licencia con la que distribuya ?map (como se ha
discutido previamente).

 
 




 
 

Se da el código fuente de este programa porque creemos que los usuarios tienen
el derecho a saber cómo funciona un programa con exactitud antes de ejecutarlo.
También le permite auditar el programa en búsqueda de agujeros de seguridad
(no se ha encontrado ninguno aún).

El código fuente le permite migrar ?map a otras plataformas, arreglar erratas y

añadir nuevas funciones. Le pedimos encarecidamente que envíe sus cambios
a<fy2d2r@in ecure.2rg> para que puedan incorporarse en la distribución
principal. Al enviar estos cambios a Fyodor o cualquiera de las listas de correo de
desarrollo en Insecure.Org se asume que está ofreciendo a Fyodor y a
Insecure.Com LLC derechos ilimitados y no exclusivos para reutilizar, modificar
y relicenciar el código. ?map siempre estará disponible como software libre,
pero esto es importante porque la incapacidad de relicenciar el código ha dado
muchos problemas a otros proyectos de software libre (como es el caso de KDE y
?ASM). También relicenciamos el código de forma ocasional a terceros, como
se ha descrito previamente. Puede especificar condiciones especiales de licencia
para sus contribuciones, sólo tiene que indicarlas cuando las envíe.

’ 


Este programa se distribuye con la esperanza de que sea útil, pero SI?
?I?GU?A GARA?TÍA, incluso sin la garantía MERCA?TIL implícita o sin
garantizar la CO?VE?IE?CIA PARA U? PROPÓSITO PARTICULAR. Véase
la Licencia Pública General de G?U para más detalles
en http://www.gnu.org/copyleft/gpl.html, o en el fichero COPYI?G que se
incluye con ?map.

También debería tener en cuenta que se sabe que ?map ha provocado en algunas
ocasiones que alguna aplicación mal escrita se bloquee, como también ha pasado
con pilas TCP/IP e incluso sistemas operativos. Esto es muy raro, pero es
importante tenerlo en mente. ?

p p 



?

  

p
p







 a no ser que esté preparado para sufrir una caída. Reconocemos
que ?map puede bloquear sus sistemas o redes y hacemos un descargo de
responsabilidad frente a cualquier daño o problemas que ?map pueda causar.

o
 



Debido al ligero riesgo de que se produzcan caídas porque un 
 (persona

que ataca sistemas sin autorización, ?. del T.) utilice ?map para realizar un
análisis antes de atacar algún sistema hay administradores que se molestan y se
quejan cuando se sondean sus sistemas. Así, por regla general es recomendable
pedir permiso para hacer cualquier tipo de sondeo, aún uno ligero, de una red.

?unca debería instalar ?map con privilegios especiales (p. ej. suidroot) por
razones de seguridad.

m
  
 


Este producto incluye programas desarrollados por la Fundación Apache

Software Foundation. También se distribuye una versión modificada de
la librería portable de captura de paquetes Libpcap conjuntamente con nmap. La
versión para Windows de ?map utiliza la librería WinPcaplibrary que es una
versión derivada de la libcap. Lalibrería PCRE, software libre escrito por Philip
Hazel, da el soporte de expresiones regulares. Algunas de las funciones de acceso
a bajo nivel de la red utiliza la librería de red Libdnet, escrita por DugSong. Se
distribuye una versión modificada con ?map. ?map puede, opcionalmente,
enlazar con las herramientas criptográficas OpenSSLpara poder hacer un análisis
de versiones SSL. Todos los programas de terceros descritos en este párrafo se
distribuyen libremente bajo licencias tipo BSD.

   


  

  
oo

Control de exportación de los EEUU: Insecure.Com LLC cree que ?map se

encuentra dentro del capítulo US ECC? (número de clasificación de control de
exportación) 5D992. Esta categoría se denomina ³Programas de seguridad de la
información no controlados en 5D002´. La única restricción a esta clasificación
es AT (anti-terrorismo), que se aplica a casi todos los bienes y deniega la
exportación a un número reducido de naciones rebeldes como Irán o Corea del
?orte. Así, la exportación de ?map no requiere de una licencia especial, permiso
o cualquier otra autorización del gobierno.