1

NMAP Manual de Usuario

Thomas J Ramírez Rozo Cod: 0801551 Franklin Aguirre Cadena Cod: 0801501 Andres

Abstract— A continuación se describe el manual de intalacion Se da click en "I gree" luego sale el siguiente pantallazo:
y la guia de funcionamiento del NMAP y se tratara de acceder
a un host objetivo usando la conbinacion de NMAP y NC.
Index Terms— nmap, port, services, nc v

I. I NTRODUCCION
El escaneado de redes es casi tan antiguo como las propias
redes. Antes los hackers solían usar módems para comprobar
bloques de números telefónicos y grabar las respuestas en
un proceso conocido como “wardialing”. Hoy en día, los
escáneres de puertos envían paquetes IP especialmente manip-
ulados a través de Internet para detectar e identi car sistemas
en funcionamiento.
Nmap (Network Mapper), que fue en un primer momento
presentado por Fyodor en septiembre de 1997, es probable-
mente una de las utilidades más completas para escanear redes.
Fyodor no estaba muy contento con las características que
proporcionaban herramientas como Strobe o scan.
Quería una herramienta que realizara algo que aún no se
había visto, algo que consiguió con Nmap.

II. I NSTALACIÓN Aca se seleccionan los componentes del NMAP que se

desean instalara y los que no luego se da click en "Next"
A. Windows Self-installer
Todo NMAP release incluye una version Windows
self-installer llamada nmap-<version>-setup.exe (donde
<version> es el numero de la version del release especi co).
MUchos de los usuarios escogen esta opcion por el hecho
de que es muy sencilla.Otra ventaja del self-installer es que
nos da la posibilidad de intalar el Zenmap GUI. Simplemente
ejecute el instalador y vaya a travez de pantallasos que lo
guian para la selección de la ubicación del WinPcap. El
installador fue creado con software libre Nullsoft Scriptable
Install System.

Se selecciona la ruta en la cual se desea intalar el NMAP

y se da click en "Install"

A continuación se instala el producto como se muetra en la

grá ca:
 2

se da click en "Finish" y con esto se da por terminada la

instalación del NMAP con el self-installer.

Hssta que se completa la instalacion y ha sido exitosa:

B. Nmap zip binaries

1) Se descarga el archivo de la siguiente dirección

http://nmap.org/download.html.
2) Descomprimir el archipo zip en el directorio que se
desee, un ejemplo puede ser C:nProgram Files. Un direc-
torio llamado nmap-<version> se crea automaticamente
el cual incluye los ejecutables del nmap y los archivos
de datos. Microsoft Windows XP y Vista incluyen zip
extracción simplemente haciendo haciendo click derecho
en el archivo en el explorer; si no se tiene un archivo
de descomresion puede usar el 7-Zip que es de software
libre o alternatuivas comerciales como son el WinZip y
Se selecciona si se quieren accesos directos y woallaa PKZIP.
3) Para mejorar el rendimiento de los scaneos (problema
propio de windows por su de ciencia en el manejo de
recursos de red) se aplican los cambios en el registro
simplemente ejecutando el archivo de registro que viene
en el archivo zip.
4) Nmap requiere el paquete WinpCap de libreria de cap-
tura; esta viene incluida en el archivo zip o se puede
bajar de la web http://www.winpcap.org. Se debe instalar
la version 4.0 o superior si se decide bajarla de la
dirección anterior.
5) Debido a que el nmap es compilado, este requiere el
paquete de Microsoft Visual C++ 2008 Redistributable.
Muchos sistemas ya tienen estos paquetes instalados
pero se deberia ejecutar el erchivo vcredist_x86.exe del
archivo zip en caso de necesitarlo.
Muchos usuarios pre eren esta instalacion porque como es
software libre pueden colaborar con la creacion del nmap
 3

III. NMAP –exclude <sist1[,sist2][,sist3],...>: Excluye ciertos sistemas

o redes
Nmap (“mapeador de redes”) es una herramienta de código –exclude le < chero_exclusión>: Excluye los sistemas in-
abierto para exploración de red y auditoría de seguridad. dicados en el chero
Se diseñó para analizar rápidamente grandes redes, aunque 2) DESCUBRIMIENTO DE HOSTS: : -sL: Sondeo de lista
funciona muy bien contra equipos individuales. Nmap utiliza - Simplemente lista los objetivos a analizar
paquetes IP "crudos" en formas originales para determinar qué -sP: Sondeo Ping - Sólo determina si el objetivo está vivo
equipos se encuentran disponibles en una red, qué servicios -P0: Asume que todos los objetivos están vivos
(nombre y versión de la aplicación) ofrecen, qué sistemas -PS/PA/PU [listadepuertos]: Análisis TCP SYN, ACK o
operativos (y sus versiones) ejecutan, qué tipo de ltros de UDP de los puertos indicados
paquetes o rewalls se están utilizando así como docenas de -PE/PP/PM: Solicita un análisis ICMP del tipo echo, marca
otras características. Aunque generalmente se utiliza Nmap de fecha y máscara de red
en auditorías de seguridad, muchos administradores de redes -n/-R: No hacer resolución DNS / Siempre resolver [por
y sistemas lo encuentran útil para realizar tareas rutinarias, omisión: a veces]
como puede ser el inventariado de la red, la plani cación de –dns-servers <serv1[,serv2],...>: Especi car servidores
actualización de servicios y la monitorización del tiempo que DNS especí cos
los equipos o servicios se mantiene activos. –system-dns: Utilizar la resolución del sistema operativo
La salida de Nmap es un listado de objetivos analizados, 3) TÉCNICAS DE ANÁLISIS: : -sS/sT/sA/sW/sM: Análisis
con información adicional para cada uno dependiente de las TCP SYN/Connect()/ACK/Window/Maimon
opciones utilizadas. La información primordial es la “tabla de -sN/sF/sX: Análisis TCP Null, FIN, y Xmas
puertos interesantes”. Dicha tabla lista el número de puerto y –scan ags <indicador>: Personalizar los indicadores TCP
protocolo, el nombre más común del servicio, y su estado. a utilizar
Los estados son: -sI <sistema zombi[:puerto_sonda]>: Análisis pasivo
Open (abierto): signi ca que la aplicación en la («Idle», N. del T.)
máquina destino se encuentra esperando conexiones o paquetes -sO: Análisis de protocolo IP
en ese puerto. -b <servidor ftp rebote>: Análisis por rebote FTP
Filtered ( ltrado): indica que un rewall, ltro, u otro 4) ESPECIFICACIÓN DE PUERTOS Y ORDEN DE
obstáculo en la red está bloqueando el acceso a ese puerto, por ANÁLISIS: : -p <rango de puertos>: Sólo sondear los puertos
lo que Nmap no puede saber si se encuentra abierto o cerrado indicados
Closed (cerrado): no tienen ninguna aplicación es- -F: Rápido - Analizar sólo los puertos listados en el archivo
cuchando en los mismos, aunque podrían abrirse en cualquier nmap-services
momento. -r: Analizar los puertos secuencialmente, no al azar.
Un ltered (no ltrado): son aquellos que responden 5) DETECCIÓN DE SERVICIO/VERSIÓN: : -sV: Sondear
a los sondeos de Nmap, pero para los que Nmap no puede puertos abiertos, para obtener información de servicio/versión
determinar si se encuentran abiertos o cerrados. –version-intensity <nivel>: Fijar de 0 (ligero) a 9 (probar
Nmap informa de las combinaciones de estado openj ltered todas las sondas)
y closedj ltered cuando no puede determinar en cuál de los –version-light: Limitar a las sondas más probables (intensi-
dos estados está un puerto. La tabla de puertos también puede dad 2)
incluir detalles de la versión de la aplicación cuando se ha –version-all: Utilizar todas las sondas (intensidad 9)
solicitado detección de versiones. Nmap ofrece información –version-trace: Presentar actividad detallada del análisis
de los protocolos IP soportados, en vez de puertos abiertos. (para depurar)
Además de la tabla de puertos interesantes, Nmap puede
6) DETECCIÓN DE SISTEMA OPERATIVO : -O: Activar
dar información adicional sobre los objetivos, incluyendo el
la detección de sistema operativo (SO)
nombre de DNS según la resolución inversa de la IP, un listado
–osscan-limit: Limitar la detección de SO a objetivos prom-
de sistemas operativos posibles, los tipos de dispositivo, y
etedores
direcciones MAC.
–osscan-guess: Adivinar el SO de la forma más agresiva
7) TEMPORIZADO Y RENDIMIENTO:: -T[0-5]: Selec-
A. Resumen de opciones cionar plantilla de temporizado (los números altos son más
Cuando se ejecuta Nmap sin parámetros se muestra este rápidos)
resumen de opciones. Puede encontrar siempre la última –min-hostgroup/max-hostgroup <tamaño>: Paralelizar los
versión en http://www.insecure.org/nmap/data/nmap.usage.txt. sondeos
Algunas de las opciones menos conocidas no se incluyen aquí. –min-parallelism/max-parallelism <msegs>: Paralelización
1) ESPECIFICACIÓN DE OBJETIVO:: Se pueden indicar de sondeos
nombres de sistema, direcciones IP, redes, etc. –min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout
-iL <archivo_entrada>: Lee una lista de sistemas/redes del <msegs>: indica el tiempo de ida y vuelta de la sonda.
archivo. –max-retries <reintentos>: Limita el número máximo de
-iR <número de sistemas>: Selecciona objetivos al azar retransmisiones de las sondas de análisis de puertos.
 4

–host-timeout <msegs>: Abandonar un objetivo pasado sistema objetivo. El caso más sencillo es la indicación de sólo
este tiempo una IP, o nombre de sistema, para que sea analizado.
–scan-delay/–max-scan-delay <msegs>: Ajusta el retraso Si se desea analizar una red completa de equipos adyacentes
entre sondas Nmap soporta el direccionamiento estilo CIDR. Puede añadir
8) EVASIÓN Y FALSIFICACIÓN PARA CORTAFUE- /<numBits> a una dirección IP o nombre de sistema para
GOS/IDS:: -f; –mtu <valor>: fragmentar paquetes (opción que Nmap sondee toda IP cuyos primeros <numBits> sean
con el MTU indicado) los mismos que los de la dirección IP o nombre de sistema
-D <señuelo1,señuelo2[,ME],...>: Disimular el análisis con indicado. Por ejemplo, 192.168.10.0/24 analizaría los 256
señuelos «ME» es «YO» mismo. sistemas que existen entre la dirección 192.168.10.0 y la
-S <Dirección_IP>: Falsi car la dirección IP origen dirección 192.168.10.255, ambas inclusive. De hecho, si usa
-e <interfaz>: Utilizar la interfaz indicada 192.168.10.40/24 obtendría exactamente el mismo resultado.
-g/–source-port <numpuerto>: Utilizar el número de puerto La máscara más pequeña permitida es /1, que analizaría media
dado Internet. La más grande, /32, analizaría únicamente la IP o
–data-length <num>: Agregar datos al azar a los paquetes nombre de sistema indicados porque todos los bits estarían
enviados jos.
–ttl <val>: Fijar el valor del campo time-to-live (TTL) de La notación CDIR es breve pero no siempre es su cien-
IP temente exible. Por ejemplo, puede querer sondear la red
–spoof-mac <dirección mac/pre jo/nombre de fabricante>: 192.168.0.0/16 pero omitir cualquier IP que termine por .0
Falsi car la dirección MAC o por .255 ya que son habitualmente direcciones de difusión.
–badsum: Enviar paquetes con una suma de comprobación Es posible hacer esto con Nmap mediante el direccionamiento
TCP/UDP falsa por octetos. En lugar de especi car una dirección IP normal
9) SALIDA: : -oN/-oX/-oS/-oG < le>: Guardar el sondeo puede especi car una lista separada por comas de números o
en formato normal, XML, sj<rIpt kIddi3 (n3n3b4n4n4), y rangos para cada octeto. Los rangos no tienen por qué estar
Grepeable (para usar con grep(1)), respectivamente, al archivo limitados a los últimos octetos. Por ejemplo, si especi ca 0-
indicado. 255.0-255.13.37 se realizará un sondeo en todo Internet de las
-oA <nombre_base>: Guardar en los tres formatos princi- direcciones IP que terminan en 13.37.
pales al mismo tiempo Sólo puede especi car direcciones IPv6 si utiliza su nombre
-v: Aumentar el nivel de mensajes detallados (-vv para IPv6 totalmente cuali cado o su nombre de sistema. No se
aumentar el efecto) soporta el uso de CIDR o rangos de octetos para IPv6 porque
-d[nivel]: Fijar o incrementar el nivel de depuración (Tiene raramente son útiles.
sentido hasta 9) Aunque habitualmente se especi can los objetivos en la
–packet-trace: Mostrar todos los paquetes enviados y línea de órdenes puede utilizar las siguientes opciones para
recibidos controlar la selección de objetivos:
–i ist: Mostrar interfaces y rutas (para depurar) -iL <archivo_entrada> (Entrada de una lista)
–append-output: Agregar, en vez de sobreescribir, a los Toma la especi cación de objetivos del archivo
archivos indicados con -o. <archivo_entrada>. Para sondear un número elevado de
–resume <archivo>: Retomar un análisis abortado/detenido objetivos sólo tiene que generar la lista en un archivo, y
–stylesheet <ruta/URL>: Convertir la salida XML a HTML entregárselo a Nmap con la opción -iL. Las entradas de ese
según la hoja de estilo XSL indicada archivo pueden estar en cualquiera de los formatos aceptados
–webxml: Referenciar a la hoja de estilo de Insecure.Org por Nmap (direcciones IP, nombres de sistema, CIDR, IPv6
para tener un XML más portable o rangos de octeto). Cada elemento debe estar separado por
–no_stylesheet: No asociar la salida XML con ninguna hoja uno o más espacios, tabuladores, o por líneas. Si quiere leer
de estilos XSL el archivo de la entrada estándar puede especi car un guión
10) MISCELÁNEO:: -6: Habilitar análisis IPv6 (-) como nombre de archivo.
-A: Habilita la detección de SO y de versión -iR <cant. sistemas> (Elegir objetivos al azar)
–datadir <nombreDir>: Indicar la ubicación de los archivos Cuando se quieren realizar encuestas que cubran toda Inter-
de datos Nmap personalizados. net uno puede querer elegir objetivos al azar. La opción <cant.
–send-eth/–send-ip: Enviar paquetes utilizando tramas Eth- sistemas> indica a Nmap cuántas direcciones IP debe generar
ernet o paquetes IP "crudos". aleatoriamente. Se ltran de forma automática las direcciones
–privileged: Asumir que el usuario tiene todos los privile- no deseables, incluyendo las direcciones privadas, de multicast
gios o direccionamiento no asignado. Si se utiliza el valor 0, Nmap
-V: Muestra el número de versión realizará un análisis que no acabará nunca.
-h: Muestra esta página resumen de la ayuda. –exclude <equipo1[,equipo2][,equipo3],...> (Excluir
equipo o redes)
Indica con una lista separada por comas los objetivos que
B. Especi cación de objetivos deben excluirse del análisis. Se excluirán aunque se encuentren
Todo lo que se escriba en la línea de parámetros de Nmap dentro de un rango especi cado en la línea de órdenes. Esto
que no sea una opción se considera una especi cación de puede ser útil cuando la red a analizar tiene objetivos que no
 5

se deben tocar, como puedan ser servidores de misión crítica, luego emita un listado de los equipos que respondieron al
que pueden reaccionar adversamente a un análisis de puertos, mismo. No se realizan más sondeos (como un análisis de
o si la red incluye subredes administradas por otras personas. puertos o detección de sistema operativo). A diferencia del
–exclude le <archivo> (Excluir desde una Lista) sondeo de lista, el análisis ping es intrusivo, ya que envía
Al igual que –exclude, esta función permite excluir obje- paquetes a los objetivos, pero es usualmente utilizado con el
tivos, pero en lugar de utilizar la línea de órdenes toma el mismo propósito. Permite un reconocimiento liviano de la red
listado de un <archivo>, que utiliza la misma sintaxis que la objetivo sin llamar mucho la atención.
opción -iL. Puede ser fácilmente utilizada para contabilizar las
máquinas disponibles en una red, o monitorizar servidores. A
esto se lo suele llamar barrido ping, y es más able que hacer
C. Descubriendo sistemas ping a la dirección de broadcast, ya que algunos equipos no
Uno de los primeros pasos en cualquier reconocimiento de responden a ese tipo de consultas.
red es el de reducir un conjunto de rangos de direcciones IP La opción -sP envía una solicitud de eco ICMP y un
en una lista de equipos activos. Analizar cada puerto de cada paquete TCP al puerto 80 por omisión. Cuando un usuario sin
una de las direcciones IP es lento, y usualmente innecesario. privilegios ejecuta Nmap se envía un paquete SYN (utilizando
Nmap ofrece una gran variedad de opciones para person- la llamada connect()) al puerto 80 del objetivo. Cuando
alizar las técnicas utilizadas. Los usuarios pueden evitar el un usuario privilegiado intenta analizar objetivos en la red
paso de ping utilizando un sondeo de lista (-sL) o deshabili- Ethernet local se utilizan solicitudes ARP (-PR) a no ser que
tando el ping (-P0), o enviando combinaciones arbitrarias de se especi que la opción –send-ip.
sondas TCP SYN/ACK, UDP e ICMP a múltiples puertos de la La opción -sP puede combinarse con cualquiera de las
red remota. El propósito de estas sondas es solicitar respuestas opciones de sondas de descubrimiento (las opciones -P*,
que demuestren que una dirección IP se encuentra activa . excepto -P0) para disponer de mayor exibilidad. Si se utilizan
Si no se proveen opciones de descubrimiento de sistemas, cualquiera de las opciones de sondas de descubrimiento y
Nmap envía un paquete TCP ACK al puerto 80 y un ICMP número de puerto, se ignoran las sondas por omisión (ACK y
Echo Request a cada máquina objetivo. Una excepción a este solicitud de eco ICMP). Se recomienda utilizar estas técnicas
comportamiento es cuando se utiliza un análisis ARP, para si hay un cortafuegos con un ltrado estricto entre el sistema
los objetivos que se encuentren en la red Ethernet local. Para que ejecuta Nmap y la red objetivo. Si no se hace así pueden
usuarios de shell UNIX que no posean privilegios, un paquete llegar a pasarse por alto ciertos equipos, ya que el rewall
SYN es enviado en vez del ACK, utilizando la llamada al anularía las sondas o las respuestas a las mismas.
sistema connect(). Estos valores por omisión son el equivalente -P0 (No realizar ping)
a las opciones -PA -PE. Con esta opción, Nmap no realiza la etapa de descubrim-
Las opciones -P* (permiten seleccionar los tipos de ping) iento. Bajo circunstancias normales, Nmap utiliza dicha etapa
pueden combinarse. Puede aumentar sus probabilidades de para determinar qué máquinas se encuentran activas para
penetrar rewalls estrictos enviando muchos tipos de sondas hacer un análisis más agresivo. Nmap sólo realiza ese tipo
utilizando diferentes puertos o banderas TCP y códigos ICMP. de sondeos, como análisis de puertos, detección de versión
El ARP discovery (-PR) se realiza por omisión contra objetivos o de sistema operativo contra los equipos que están vivos.
de la red Ethernet local incluso si se especi ca otra de las Si se deshabilita el descubrimiento de sistemas con la op-
opciones -P*, porque es generalmente más rápido y efectivo. ción -P0 entonces Nmap utilizará las funciones de análisis
Las siguientes opciones controlan el descubrimiento de solicitadas contra todas las direcciones IP especi cadas. Si se
sistemas. especi ca una red del tamaño de una clase B cuyo espacio
-sL (Sondeo de lista) de direccionamiento es de 16 bits, en la línea de órdenes, se
El sondeo de lista es un tipo de descubrimiento de sistemas analizará cada una de las 65.536 direcciones IP. Al igual que
que tan solo lista cada equipo de las redes especi cadas, sin con el sondeo de lista, se evita el descubrimiento apropiado
enviar paquetes de ningún tipo a los objetivos. Por omisión, de sistemas, pero, en vez de detenerse y emitir un listado de
Nmap realiza una resolución inversa DNS en los equipos, objetivos, Nmap continúa y realiza las funciones solicitadas
para obtener sus nombres. Adicionalmente, Nmap reporta el como si cada IP objetivo se encontrara activa.
número total de direcciones IP. El sondeo de lista es una -PS [lista de puertos] (Ping TCP SYN)
buena forma de asegurarse de que tenemos las direcciones Esta opción envía un paquete TCP vacío con la bandera
IP correctas de los objetivos. SYN puesta. El puerto destino por omisión es el 80 (se puede
Ya que la idea es simplemente emitir un listado de los sis- con gurar en tiempo de compilación cambiando el valor de
temas objetivo, las opciones de mayor nivel de funcionalidad DEFAULT_TCP_PROBE_PORT en nmap.h), pero se puede
como análisis de puertos, detección de sistema operativo, o añadir un puerto alternativo como parámetro. También se
análisis ping no pueden combinarse con este sondeo. Si desea puede especi car una lista de puertos. Si hace esto se enviarán
deshabilitar el análisis ping aún realizando dicha funcionalidad sondas en paralelo a cada uno de los puertos.
de mayor nivel, compruebe la documentación de la opción -P0. La bandera SYN indica al sistema remoto que quiere
-sP (Sondeo ping) establecer una conexión. Normalmente, si el puerto destino
Esta opción le indica a Nmap que únicamente realice está cerrado se recibirá un paquete RST (reset). Si el puerto
descubrimiento de sistemas mediante un sondeo ping, y que está abierto el objetivo responderá con el segundo paso del
 6

saludo en tres pasos TCP respondiendo con un paquete TCP es más probable que funcione una sonda SYN, dado que los
SYN/ACK. El sistema donde se ejecuta Nmap romperá la paquetes ACK no esperados se reconocen como falsos y se
conexión que se está estableciendo enviando un paquete RST descartan.
en lugar de enviar el paquete ACK que completaría el saludo -PU [lista de puertos] (Ping UDP)
TCP. Nmap no envía este paquete, sino que lo envía el núcleo El ping UDP es otra opción para descubrir sistemas. Esta
del sistema donde se ejecuta Nmap respondiendo al paquete opción envía un paquete UDP vacío (salvo que se especi que –
SYN/ACK que no esperaba. data-length) a los puertos indicados. La lista de puertos se debe
A Nmap no le importa si el puerto está abierto o cerrado. dar en el mismo formato que se ha indicado anteriormente
Si, tal y como se acaba de describir, llega una respuesta RST ó para las opciones -PS y -PA. Si no se especi ca ningún
SYN/ACK entonces Nmap sabrá que el sistema está disponible puerto se utiliza el puerto 31338. Se puede con gurar este
y responde. puerto por omisión en el momento de compilar cambiando
En sistemas UNIX, generalmente sólo el usuario privile- DEFAULT_UDP_PROBE_PORT en nmap.h. Se utiliza un
giado root puede enviar paquetes TCP crudos. Los usuarios puerto alto y poco común porque no es deseable enviar este
no privilegiados tienen una forma de evitar esta restricción sondeo a otro tipo de puertos.
utilizando la llamada al sistema connect() contra el puerto des- La sonda UDP debería generar un paquete ICMP de puerto
tino. Esto hace que se envíe el paquete SYN al sistema, para no alcanzable si da contra un puerto cerrado en el equipo
establecer la conexión. Si la llamada connect() devuelve un objetivo. Si llega éste entonces Nmap puede identi car ese
resultado de éxito rápidamente o un fallo ECONNREFUSED sistema como vivo y alcanzable. Otros errores ICMP, como
entonces se puede deducir que la pila TCP que tiene bajo ésta el de sistema o red inalcanzable o TTL excedido indican
ha recibido un SYN/ACK o un RST y que puede marcar el un sistema que está muerto o que no es alcanzable. Si no
sistema como disponible. El sistema se puede marcar como no llega ninguna respuesta también se entiende que el sistema
disponible si el intento de conexión se mantiene parado hasta no está disponible. Si se alcanza un puerto abierto la mayoría
que vence un temporizador. Esta es también la forma en la de los servicios simplemente descartarán el paquete vacío y
que se gestiona esto en conexiones IPv6 ya que Nmap aún no no devolverán ninguna respuesta. Ésta es la razón por la que
puede crear paquetes IPv6 crudos. se utiliza el puerto 31338 ya que es poco probable que esté
-PA [lista de puertos] (Ping TCP ACK) utilizándose. Algunos servicios responderán con un paquete
El ping TCP ACK es muy parecido al ping SYN. La UDP vacío lo que ayuda a Nmap a determinar que el sistema
diferencia es que en este caso se envía un paquete con la está disponible.
bandera ACK en lugar de la SYN. Este paquete indica que se La principal ventaja de este tipo de sondeos es que
han recibido datos en una conexión TCP establecida, pero se atraviesan rewalls y ltros que sólo analizan TCP.
envían sabiendo que la conexión no existe. En este caso los -PE; -PP; -PM (Tipos de ping ICMP)
sistemas deberían responder con un paquete RST, lo que sirve Nmap puede enviar los paquetes estándar que envía el
para determinar que están vivos. programa ping además de los tipos de descubrimiento de
La opción -PA utiliza el mismo puerto por omisión que la equipos con TCP y UDP. Nmap envía paquetes ICMP tipo
sonda SYN (el puerto 80) y también puede tomar una lista 7 (echo request) a las direcciones IP objetivos y espera recibir
de puertos destino en el mismo formato. Si un usuario sin un tipo 0 (Echo Reply) de los sistemas que estén disponibles.
privilegios intenta hacer esto, o se especi ca un objetivo IPv6, Lamentablemente muchos sistemas y rewalls bloquean esos
se utiliza el procedimiento descrito anteriormente. Aunque en paquetes en lugar de responder como requiere el estándar
este caso el procedimiento no es perfecto porque la llamada RFC 1122. Por ésta razón los sondeos que sólo utilizan el
connect() enviará un paquete SYN en lugar de un ACK. protocolo ICMP no son muy ables para analizar sistemas
Muchos administradores con guran los enrutadores y al- desconocidos en Internet. Utilice la opción -PE para activar
gunos rewalls sencillos para que bloqueen los paquetes SYN este comportamiento de solicitud de eco.
salvo para aquellos destinados a los servicios públicos, como Nmap no hace sólo esto, aunque la solicitud eco es la
el servidor web o el servidor de correo de la organización. consulta estándar de ping ICMP. El estándar ICMP también
Esto evita que se realicen otras conexiones entrantes al especí ca solicitudes de huellas de tiempo, de información y
mismo tiempo que permite a los usuarios realizar conexiones de máscara de red, que corresponden con los códigos 13, 15
salientes a Internet. Este acercamiento de ltrado sin estados y 17 respectivamente. Aunque el objetivo de estas solicitudes
toma pocos recursos de los cortafuegos/enrutadores y está es obtener la máscara de red o fecha actual de un sistema
ampliamente soportado por ltros hardware y software. El también pueden utilizarse para descubrir sistemas. Un sistema
programa Net lter/iptables de Linux ofrece la opción –syn que responde es porque está vivo y disponible. Nmap no
para implementar este acercamiento sin estados. Cuando se implementa los paquetes de solicitud de información en sí,
han implementado reglas de ltrado como éstas es posible ya que no están muy soportados. Las consultas de huella de
que se bloqueen las sondas ping SYN (-PS) cuando éstas se tiempo y máscara de red se pueden enviar con las opciones
envíen a un puerto cerrado. Sin embargo, en estos casos, las -PP y -PM. Si se recibe una respuesta de huella de tiempo
sondas ACK podrían saltarse las reglas y llegar a su destino. (código ICMP 14) o de máscara de red (código 18) entonces
El sistema Net lter/iptables de Linux soporta esta posi- es que el sistema está disponible.
bilidad a través de la opción –state, que hace categorías de -PR (Ping ARP)
paquetes en base a su estado de conexión. En estos sistemas Una de las formas de uso más comunes de Nmap es el
 7

sondeo de una red de área local Ethernet. Cuando Nmap puertos por segundo en una red rápida en la que no existan
intenta enviar un paquete IP crudo, como pudiera ser una cortafuegos. El sondeo SYN es relativamente sigiloso y poco
solicitud de eco ICMP, el sistema operativo debe determinar molesto, ya que no llega a completar las conexiones TCP.
primero la dirección (ARP) correspondiente a la IP objetivo También funciona contra cualquier pila TCP en lugar de
para poder dirigirse a ella en la trama Ethernet. Esto es depender de la idiosincrasia especí ca de una plataforma
habitualmente un proceso lento y problemático, dado que concreta, al contrario de lo que pasa con los sondeos de Nmap
los sistemas operativos no se escribieron pensando en que Fin/Null/Xmas, Maimon o pasivo. También muestra una clara
tendrían que hacer millones de consultas ARP contra sistemas y able diferenciación entre los estados abierto, cerrado, y
no disponibles en un corto periodo de tiempo. ltrado.
El sondeo ARP hace que sea Nmap y su algoritmo opti- A esta técnica se la conoce habitualmente como sondeo
mizado el que se encargue de las solicitudes ARP. Si recibe medio abierto, porque no se llega a abrir una conexión TCP
una respuesta, no se tiene ni que preocupar de los paquetes completa. Se envía un paquete SYN, como si se fuera a abrir
basados en IP dado que ya sabe que el sistema está vivo. Esto una conexión real y después se espera una respuesta. Si se
hace que el sondeo ARP sea mucho más rápido y able que los recibe un paquete SYN/ACK esto indica que el puerto está
sondeos basados en IP. Por ello se utiliza por omisión cuando abierto, mientras que si se recibe un RST (reset) indica que
se analizan sistemas Ethernet si Nmap detecta que están en la no hay nada escuchando en el puerto. Si no se recibe ninguna
red local. Nmap utiliza ARP para objetivos en la misma red respuesta después de realizar algunas retransmisiones entonces
local aún cuando se utilicen distintos tipos de ping (como -PE el puerto se marca como ltrado. También se marca el puerto
o -PS). Si no quiere hacer un sondeo ARP tiene que especi car como ltrado si se recibe un error de tipo ICMP no alcanzable
la opción —send-ip. (tipo 3, códigos 1,2, 3, 9, 10, ó 13).
-n (No realizar resolución de nombres) -sT (sondeo TCP connect())
Le indica a Nmap que nunca debe realizar resolución DNS El sondeo TCP Connect() es el sondeo TCP por omisión
inversa de las direcciones IP activas que encuentre. Ya que cuando no se puede utilizar el sondeo SYN. Esto sucede
DNS es generalmente lento, esto acelera un poco las cosas. cuando el usuario no tiene privilegios para enviar paquetes en
-R (Realizar resolución de nombres con todos los objetivos) crudo o cuando se están sondeando redes IPv6. Nmap le pide
Le indica a Nmap que deberá realizar siempre la resolución al sistema operativo subyacente que establezcan una conexión
DNS inversa de las direcciones IP objetivo. Normalmente se con el sistema objetivo en el puerto indicado utilizando la
realiza esto sólo si se descubre que el objetivo se encuentra llamada del sistema connect(), a diferencia de otros tipos de
vivo. sondeo, que escriben los paquetes a bajo nivel.
–system-dns (Utilizar resolución DNS del sistema) Ésta es la misma llamada del sistema de alto nivel que
Por omisión, Nmap resuelve direcciones IP por si mismo la mayoría de las aplicaciones de red, como los navegadores
enviando las consultas directamente a los servidores de nom- web o los clientes P2P, utilizan para establecer una conexión.
bres con gurados en el sistema, y luego espera las respuestas. También, en lugar de leer las respuestas directamente de la
Varias solicitudes son realizadas en paralelo para mejorar el línea, Nmap utiliza esta API para obtener la información de
rendimiento. Especi ca esta opción si desea que sí utilice la estado de cada intento de conexión.
resolución del sistema (una IP por vez utilizando la llamada Nmap tiene menos control sobre la llamada de alto nivel
getnameinfo()). Este método es más lento y raramente útil, a Connect() que cuando utiliza paquetes en crudo, lo que hace
no ser que hubiera un error en el código DNS de Nmap. Éste que sea menos e ciente. La llamada al sistema completa las
es el método por omisión para los sondeos IPv6. conexiones para abrir los puertos objetivo, en lugar de realizar
–dns-servers <servidor1[,servidor2],...> (Servidores a uti- el reseteo de la conexión medio abierta como hace el sondeo
lizar para las consultas DNS) SYN. Esto signi ca que se tarda más tiempo y son necesarios
Nmap generalmente determina los servidores DNS de su más paquetes para obtener la información, pero también sig-
archivo resolv.conf (UNIX) o del registro (Win32). Puede ni ca que los sistemas objetivos van a registrar probablemente
utilizar esta opción para especi car sus propios servidores. la conexión. Un IDS decente detectará cualquiera de los dos,
Esta opción no se utiliza si utiliza la opción –system-dns o pero la mayoría de los equipos no tienen este tipo de sistemas
está realizando un sondeo IPv6. La resolución a través de más de alarma.
de un servidor de DNS es generalmente más rápida que la -sU (sondeos UDP)
consulta a uno solo. La mayoría de los servicios más habituales en Internet
utilizan el protocolo TCP, los servicios UDP también son
D. Técnicas de sondeo de puertos muy comunes. Tres de los más comunes son los servicios
DNS, SNMP, y DHCP (puertos registrados 53, 161/162, y
Existen aproximadamente doce técnicas de sondeos de 67/68 respectivamente). Dado que el sondeo UDP es general-
puertos que soporta Nmap. Sólo puede utilizarse un método mente más lento y más difícil que TCP, algunos auditores
en un momento concreto, salvo por el sondeo UDP (-sU) que de seguridad ignoran estos puertos. Esto es un error, porque
puede combinarse con cualquiera de los sondeos TCP. es muy frecuente encontrarse servicios UDP vulnerables y
-sS (sondeo TCP SYN) los atacantes no ignoran estos protocolos. Afortunadamente,
El sondeo SYN es el utilizado por omisión y el más Nmap puede utilizarse para hacer un inventario de puertos
popular . Puede realizarse rápidamente, sondeando miles de UDP.
 8

El sondeo UDP se activa con la opción -sU. Puede combi- La sonda de un sondeo ACK sólo tiene jada la bandera
narse con un tipo de sondeo TCP como el sondeo SYN (-sS) ACK (a menos que utilice –scan ags). Cuando se sondean
para comprobar ambos protocolos al mismo tiempo. sistemas no ltrados los puertos abiertos y cerrados devolverán
Los sondeos UDP funcionan mediante el envío (sin datos) un paquete RST. Nmap marca el puerto como no ltrado, lo
de una cabecera UDP para cada puerto objetivo. Si se obtiene que signi ca que son alcanzables por el paquete ACK, pero no
un error ICMP que indica que el puerto no es alcanzable (tipo se puede determinar si están abiertos o cerrados. Los puertos
3, código 3) entonces se marca el puerto como cerrado. Si se que no responden o que envían mensajes de error ICMP en
recibe cualquier error ICMP no alcanzable (tipo 3, códigos 1, respuesta (tipo 3, código 1, 2, 3, 9, 10, o 13), se marcan como
2, 9, 10, o 13) se marca el puerto como ltrado. En algunas ltrados.
ocasiones se recibirá una respuesta al paquete UDP, lo que -sW (sondeo de ventana TCP)
prueba que el puerto está abierto. Si no se ha recibido ninguna Es igual al sondeo ACK que se aprovecha de un detalle de
respuesta después de algunas retransmisiones entonces se implementación de algunos sistemas que permite diferenciar
clasi ca el puerto como abiertoj ltrado. Esto signi ca que el puertos abiertos de los cerrados, en lugar de imprimir no
puerto podría estar abierto o que hay un ltro de paquetes ltrado cuando se devuelve un RST. Hace esto examinando el
bloqueando la comunicación. campo de ventana TCP del paquete RST devuelto. Algunos
Uno de los grandes problemas con el sondeo UDP es hacerlo sistemas jan un tamaño de ventana positivo para puertos
rápidamente. Los puertos cerrados son aún más comunes y abiertos (incluso para paquetes RST) mientras que se utiliza
son un problema mayor. Generalmente envían un error ICMP una ventana de tamaño cero para los cerrados. Así, en lugar
de puerto no alcanzable. Pero, a diferencia de los paquetes de listar el puerto como no ltrado cuando se recibe un RST,
RST que envían los puertos TCP cerrados cuando responden el sondeo de ventana permite listar el puerto como abierto o
a un sondeo SYN o Connect, muchos sistemas imponen una cerrado en función de si el valor de la ventana TCP en ese
tasa máxima de mensajes ICMP de puerto inalcanzable por paquete RST es positivo o cero, respectivamente.
omisión. Depende de un detalle de implementación de una minoría
-sN; -sF; -sX (sondeos TCP Null, FIN, y Xmas) de sistemas que existen en Internet, así que no es siempre
Estos tres tipos de sondeos aprovechan una inde nición en able. Los sistemas que no hacen ésto habitualmente harán
la RFC de TCP que diferencia los puertos abiertos y cerrados. que se muestren los puertos como cerrados. Por supuesto,
Mientras que no se enviará una respuesta si el puerto está es posible que el sistema no tenga ningún puerto abierto.
cerrado. Siempre y cuando se incluyan esos tres bits es válida Si la mayoría de los puertos están cerrados pero alguno de
la combinación de cualquiera de los otros tres (FIN, PSH, y los números de puertos comunes (como pueda ser el 22, 25
URG). Nmap aprovecha esto con tres tipos de sondeo: ó 53) están ltrados, entonces el sistema es posible que sea
Sondeo Null(-sN): No ja ningún bit (la cabecera de ban- susceptible a ésto. Algunas veces hay sistemas que mostrarán
deras TCP es 0) el comportamiento justo contrario. Si su sondeo muestra 1000
Sondeo FIN (-sF) : Solo ja el bit TCP FIN. puertos abiertos y 3 puertos cerrados o ltrados entonces
Sondeo Xmas (-sX): Fija los bits de FIN, PSH, y URG ags, es posible que sean estos últimos los que están abiertos en
iluminando el paquete como si fuera un árbol de Navidad. realidad.
Estos tres tipos de sondeos son exactamente los mismos en -sM (sondeo TCP Maimon)
comportamiento salvo por las banderas TCP que se jen en Es exactamente la misma a los sondeos Null, FIN, y Xmas,
los paquetes sonda. Si se recibe un paquete RST entonces se pero en los que se envía una sonda FIN/ACK. Según el RFC
considera que el puerto está cerrado. Si no se recibe ninguna 793 (TCP), se debería generar un paquete RST cuando se
respuesta el puerto se marca como cerradoj ltrado. Se marca responde a dicha sonda independientemente de si el puerto
ltrado si se recibe un error ICMP no alcanzable (tipo 3, está cerrado o abierto. Uriel se dio cuenta, sin embargo, de
código 1, 2, 3, 9, 10, o 13). que muchos sistemas derivados de BSD simplemente descartan
La ventaja fundamental de este tipo de sondeos es que el paquete si el puerto está abierto.
pueden atravesar algunos rewalls que no hagan inspección –scan ags (Sondeo TCP a medida)
de estados. Otra ventaja es que este tipo de sondeos son algo La opción –scan ags le permite diseñar su propio sondeo
más sigilosos que, incluso, un sondeo SYN. Algunos sistemas mediante la especi cación de banderas TCP arbitrarias. La
operativos muy utilizados que hacen ésto son Microsoft Win- opción –scan ags puede ser un valor numérico como el 9 (PSH
dows, muchos dispositivos Cisco, BSDI, e IBM OS/400. Este y FIN), aunque es más sencillo utilizar nombres simbólicos.
sondeo no funciona contra sistemas basados en UNIX. Otro Sólo tienes que juntar una combinación de URG, ACK, PSH,
problema de estos sondeos es que no se puede distinguir los RST, SYN, y FIN.
puertos abiertos de algunos puertos ltrados, lo que resulta en Además de poder especi car las banderas que desee se
la respuesta abiertoj ltrado. puede especi car el tipo de sondeo TCP Esto le dice a Nmap
-sA (sondeo TCP ACK) cómo debe interpretar las respuestas. Por ejemplo, un sondeo
Es distinto de otros que se han discutido hasta ahora SYN considera que si no se recibe respuesta el puerto está
en que no puede determinar puertos abiertos (o incluso ltrado mientras que si no se recibe una respuesta en un sondeo
abiertosj ltrados). Se usa para mapear reglas de rewalls, y FIN se trata como abiertoj ltrado. Nmap se comportará igual
para determinar si son rewalls con inspección de estados y que para el sondeo tipo base, con la diferencia de que utilizará
qué puertos están ltrados. las banderas TCP que usted especi que.
 9

-sI <sistema zombi [:puerto_sonda]> (Sondeo ocioso) puerto está abierto o no. Esta es una buena manera de atravesar
Es un método de sondeo avanzado que le permite hacer un cortafuegos porque, habitualmente, los servidores de FTP de
sondeo de puertos TCP a ciegas (lo que signi ca que no se una organización están ubicados en un lugar en el que tienen
envía ningún paquete al sistema objetivo desde su dirección más acceso a otros sistemas internos que el acceso que tiene
IP real). En lugar de esto se utiliza un ataque con un canal un equipo en Internet. Nmap puede hacer sondeos con rebotes
alternativo que se aprovecha de la generación de la secuencia de FTP con la opción -b.
de los identi cadores de fragmentación IP del sistema zombi
para obtener información de los puertos abiertos en el objetivo. E. Especi cación de puertos y orden de sondeo
Los sistemas IDS mostrarán que el sondeo lo está realizando el
Nmap ofrece distintas opciones para especi car los puertos
sistema zombi que especi que (que debe estar vivo y cumplir
que se van a sondear y si el orden de los sondeos es aleatorio
algunos requisitos).
o secuencial. Nmap, por omisión, sondea todos los puertos
Además de ser extraordinariamente sigiloso este tipo de
hasta el 1024 además de algunos puertos con números altos
sondeo permite determinar las relaciones basadas en IP entre
listados en el chero nmap-services para los protocolos que
distintos sistemas. El listado de puertos muestra los puertos
se sondeen.
abiertos desde la perspectiva del sistema zombi. Así que puede
-p <rango de puertos> (Sólo sondea unos puertos especí-
analizar el mismo objetivo con zombis distintos que cree que
cos)
podrían ser de con anza para éste.
Esta opción especi ca los puertos que desea sondear y toma
-sO (sondeo de protocolo IP)
precedencia sobre los valores por omisión. Puede especi car
El sondeo de protocolo IP le permite determinar qué proto-
tanto números de puerto de forma individual, así como rangos
colos (TCP, ICMP, IGMP, etc.) soportan los sistemas objetivo.
de puertos. Puede omitir el valor inicial y/o el valor nal del
Esto no es, técnicamente, un sondeo de puertos, dado que
rango. Nmap utilizará 1 ó 65535 respectivamente. De esta
cambia los números de protocolo IP en lugar de los números
forma, puede especi car -p- para sondear todos los puertos
de puerto TCP ó UDP. Pero también se puede utilizar la opción
desde el 1 al 65535. Se permite sondear el puerto cero siempre
-p para seleccionar los números de protocolo a analizar, los
que lo especi que explícitamente. Esta opción especi ca el
resultados se muestran en el formato de tabla utilizado para
número de protocolo que quiere sondear (de 0 a 255) en el
los puertos e incluso utiliza el mismo motor de sondeo que
caso de que esté sondeando protocolos IP (-sO).
los métodos de sondeo de puertos reales. Es tan parecido a un
Puede especi car un protocolo especí co cuando sondee
sondeo de puertos que debe tratarse aquí.
puertos TCP y UDP si precede el número de puerto con T: o
El sondeo de protocolos utiliza mecanismos parecidos al
U:. El cali cador dura hasta que especi que otro cali cador.
sondeo UDP. Envía cabeceras de paquetes IP iterando por
Tenga en cuenta que para sondear tanto UDP como TCP
el campo de 8 bits que indica el protocolo IP, en lugar de
deberá especi car la opción -sU y al menos un tipo de sondeo
iterar por el campo de número de puerto de un paquete
TCP. Si no se da un cali cador de protocolo se añadirán los
UDP. Las cabeceras generalmente están vacías y no contienen
números de puerto a las listas de todos los protocolos.
datos. De hecho, ni siquiera tienen una cabecera apropiada
-F (Sondeo rápido (puertos limitados))
para el protocolo que se indica. Las tres excepciones son
Indica que sólo quiere sondear los puertos listados en el
TCP, UDP e ICMP. Se incluye una cabecera de protocolo
chero nmap-services que se incluye con nmap (o el chero de
válida para éstos porque algunos sistemas no los enviarán
protocolos si indica -sO). Esto es más rápido que sondear todos
sin ellas y porque Nmap ya tiene funciones para crearlas.
los 65535 puertos de un sistema. La diferencia de velocidad
El sondeo de protocolos espera la recepción de mensajes de
con el sondeo TCP por omisión (unos 1650 puertos) no es muy
ICMP protocolo no alcanzable en lugar de mensajes ICMP
alta dado que esta lista contiene muchos puertos TCP (más de
puerto no alcanzable. Nmap marca el protocolo como abierto
1200). La diferencia puede ser muy grande si especi ca su
si recibe una respuesta en cualquier protocolo del sistema
propio chero nmap-services más pequeño si utiliza la opción
objetivo. Se marca como cerrado si se recibe un error ICMP de
–datadir.
protocolo no alcanzable (tipo 3, código 2). Si se reciben otros
-r (No aleatorizar los puertos)
errores ICMP no alcanzable (tipo 3, códigos 1, 3, 9, 10, o 13)
Nmap ordena de forma aleatoria los puertos a sondear por
se marca el protocolo como ltrado (aunque al mismo tiempo
omisión. Esta aleatorización generalmente es deseable, pero si
indican que el protocolo ICMP está abierto). El protocolo se
lo desea puede especi car la opción -r para analizar de forma
marca como abiertoj ltrado si no se recibe ninguna respuesta
secuencial los puertos.
después de las retransmisiones.
-b <sistema de rebote ftp> (sondeo de rebote FTP)
Una funcionalidad interesante en el protocolo FTP es la
posibilidad de utilizar conexiones FTP de pasarela. Esta opción F. Detección de servicios y de versiones
puede abusarse a muchos niveles así que muchos servidores Si le indica a Nmap que mire un sistema remoto le podrá
han dejado de soportarla. Una de las formas de abusar de ésta decir que tiene abiertos los puertos 25/tcp, 80/tcp y 53/udp.
es utilizar el servidor de FTP para hacer un sondeo de puertos Informará que esos puertos se corresponden habitualmente con
a otro sistema. Simplemente hace falta decirle al servidor de un servidor de correo (SMTP), servidor de web (HTTP) o
FTP que envíe un chero a cada puerto interesante del servidor servidor de nombres (DNS), si utilizas su base de datos nmap-
objetivo cada vez. El mensaje de error devuelto indicará si el services con más de 2.200 puertos conocidos. Generalmente
 10

este informe es correo dado que la gran mayoría de demonios –version-intensity <intensidad> (Fijar la intensidad de la
que escuchan en el puerto 25 TCP son, en realidad, servidores detección de versiones)
de correo. Nmap envía una serie de sondas cuando se activa la detec-
Aún en el caso de que Nmap tenga razón y el servidor está ción de versiones (-sV) con un nivel de rareza pre-asignado
ejecutando servidores de SMTP, HTTP y DNS esto no dice y variable de 1 a 9. Las sondas con un número bajo son
mucho. Cuando haga un análisis de vulnerabilidades (o tan efectivas contra un amplio número de servicios comunes,
sólo un inventario de red) en su propia empresa o en su cliente mientras que las de números más altos se utilizan rara vez.
lo que habitualmente también quiere saber es qué versión se El nivel de intensidad indica que sondas deberían utilizarse.
está utilizando del servidor de correcto y de DNS. Puede Cuanto más alto sea el número, mayor las probabilidades
ayudar mucho a la hora de determinar qué ataques pueden de identi car el servicio. Sin embargo, los sondeos de alta
afectar a un servidor el saber el número de versión exacto intensidad tardan más tiempo. El valor de intensidad puede
de éste. La detección de versiones le ayuda a obtener esta variar de 0 a 9. El valor por omisión es 7. Se probará una
información. sonda independientemente del nivel de intensidad cuando ésta
La detección de versiones pregunta para obtener más in- se registra para el puerto objetivo a través de la directiva nmap-
formación de lo que realmente se está ejecutando una vez service-probes ports. De esta forma se asegura que las sondas
se han detectado los puertos TCP y/o UDP con alguno de de DNS se probarán contra cualquier puerto abierto 53, las
los métodos de sondeo. La base de datos nmap-service-probes sondas SSL contra el puerto 443, etc.
contiene sondas para consultar distintos servicios y reconocer –version-light (Activar modo ligero)
y tratar distintas respuestas en base a una serie de expresiones. Éste es un alias conveniente para –version-intensity 2. Este
Nmap intenta determinar el protocolo del servicio (ftp, ssh, modo hace que la detección de versiones sea más rápida
telnet ó http), el nombre de la aplicación ( Bind de ISC, pero también hace que sea menos probable identi car algunos
http de Apache, telnetd de Solaris), un número de versión, un servicios.
tipo de dispositivo ( impresora o router), la familia de sistema –version-all (Utilizar todas las sondas)
operativo (Windows o Linux) y algunas veces algunos detalles Éste es un alias para –version-intensity 9, hace que se
misceláneos ,por ejemplo, si un servidor X acepta cualquier utilicen todas las sondas contra cada puerto.
conexión externa, la versión de protocolo SSH o el nombre –version-trace (Trazar actividad de sondeo de versiones)
de usuario Kazaa). Por supuesto, la mayoría de los servicios Esta opción hace que Nmap imprima información de depu-
no ofrecen toda esta información. Si se ha compilado Nmap ración detallada explicando lo que está haciendo el sondeo de
con soporte OpenSSL se conectará también a servidores SSL versiones. Es un conjunto de lo que obtendría si utilizara la
para determinar qué servicio escucha detrás de la capa de opción –packet-trace.
cifrado. Se utiliza la herramienta de pruebas RPC de Nmap -sR (Sondeo RPC)
(-sR) de forma automática para determinar el programa RPC y Este método funciona conjuntamente con los distintos méto-
el número de versión si se descubren servicios RPC. Algunos dos de sondeo de puertos de Nmap. Toma todos los puertos
puertos UDP se quedan en estado openj ltered si un barrido TCP/UDP que se han encontrado y los inunda con órdenes de
de puertos UDP no puede determinar si el puerto está abierto programa NULL SunRPC con el objetivo de determinar si son
o ltrado. La detección de versiones intentará obtener una puertos RPC y, si es así, los programas y número de versión
respuesta de estos puertos y cambiará al estado abierto si lo que están detrás. Así, puede obtener de una forma efectiva
consigue. Los puertos TCP en estado openj ltered se tratan la misma información que rpcinfo -p aunque el mapeador de
de forma similar. Tenga en cuenta que la opción -A de Nmap puertos está detrás de un cortafuegos (o protegido por TCP
actualiza la detección de versiones entre otras cosas. wrappers). Los señuelos no funcionan con el sondeo RPC
La detección de versiones se activa y controla con las actualmente. Esta opción se activa automáticamente como
siguientes opciones: parte de la detección de versiones (-sV) si la ha seleccionado.
-sV (Detección de versiones)
Activa la detección de versiones como se ha descrito pre-
viamente. Puede utilizar la opción -A en su lugar para activar G. Detección de sistema operativo
tanto la detección de versiones como la detección de sistema Uno de los aspectos más conocidos de Nmap es la detección
operativo. del sistema operativo en base a la comprobación de huellas
–allports (No excluir ningún puerto de la detección de TCP/IP. Nmap envía una serie de paquetes TCP y UDP al
versiones) sistema remoto y analiza prácticamente todos los bits de las
La detección de versiones de Nmap omite el puerto respuestas. Nmap compara los resultados de una docena de
TCP 9100 por omisión porque algunas impresoras imprimen pruebas como puedan ser el análisis de ISN de TCP, el
cualquier cosa que reciben en este puerto, lo que da lugar a soporte de opciones TCP y su orden, el análisis de IPID y
la impresión de múltiples páginas con solicitudes HTTP get, las comprobaciones de tamaño inicial de ventana, con su base
intentos de conexión de SSL, etc. Este comportamiento puede de datos nmap-os- ngerprints. Esta base de datos consta de
cambiarse modi cando o eliminando la directiva Exclude en más de 1500 huellas de sistema operativo y cuando existe una
nmap-service-probes, o especi cando –allports para sondear coincidencia se presentan los detalles del sistema operativo.
todos los puertos independientemente de lo de nido en la Cada huella contiene una descripción en texto libre del sistema
directiva Exclude. operativo, una clasi cación que indica el nombre del proveedor
 11

, el sistema operativo subyacente, la versión del SO y el tipo H. Evasión de cortafuegos/IDS y falsi cación
de dispositivo.
Los ltros de red como los rewalls pueden hacer muy
Nmap le indicará una URL donde puede enviar las huellas difícil el análisis de una red. Esto no va a ser más fácil en
si conoce con seguridad el sistema operativo que utiliza el el futuro, ya que uno de los objetivos de estos dispositivos
equipo si no puede adivinar el sistema operativo de éste y es generalmente limitar el reconocimiento casual de la red.
las condiciones son óptimas (encontró al menos un puerto En cualquier caso, Nmap ofrece varias funcionalidades para
abierto y otro cerrado). Si envía esta información contribuirá ayudar a entender estas redes complejas, y que también sirven
al conjunto de sistemas operativos que Nmap conoce y la para veri car que los ltros funcionan como se espera de ellos.
herramienta será así más exacta para todo el mundo. Incluso tiene mecanismos para saltarse las defensas que no
La detección de sistema operativo activa, en cualquier caso, hayan sido implementadas del todo correctamente.
una serie de pruebas que hacen uso de la información que Las compañías, además de restringir la actividad de red,
ésta recoge. Una de estas pruebas es la medición de tiempo están monitorizando cada vez más el trá co con sistemas
de actividad, que utiliza la opción de marca de tiempo TCP de detección de intrusos (IDS, Intrusion Detection Systems).
(RFC 1323) para adivinar cuánto hace que un equipo fue Todos los IDS principales vienen preinstalados con reglas
reiniciado. Esta prueba sólo funciona en sistemas que ofrecen diseñadas para detectar sondeos de Nmap porque, a veces,
esta información. Otra prueba que se realiza es la clasi cación se realizan sondeos previos a un ataque. Muchos de estos pro-
de predicción de número de secuencia TCP. Esta prueba mide ductos han mutado recientemente para convertirse en sistemas
de forma aproximada cuánto de difícil es crear una conexión de prevención de intrusiones (IPS) que bloquean activamente
TCP falsa contra el sistema remoto. Se utiliza cuando se quiere el trá co reconocido como maligno.
hacer uso de relaciones de con anza basadas en la dirección -f (fragmentar los paquetes); –mtu (utilizar el MTU especi-
IP origen para ocultar la fuente de un ataque. Ya no se cado)
hace habitualmente este tipo de malversación pero aún existen La opción -f hace que el sondeo solicitado utilicen paquetes
muchos equipos que son vulnerables a ésta. Esta información IP fragmentados pequeños. La idea es dividir la cabecera del
sólo se ofrece en la salida normal en el modo detallado (-v). paquete TCP entre varios paquetes para hacer más difícil que
También se informa de la generación de números de secuencia los ltros de paquetes, sistemas de detección de intrusos y
IPID cuando se activa el modo detallado conjuntamente con otras molestias detecten lo que se está haciendo. El sniffer da
la opción -O. La mayoría de los equipos estarán en la clase un fallo de segmentación inmediatamente después de recibir el
“incremental”, lo que signi ca que incrementan el campo ID primero de estos pequeños fragmentos. Especi ca esta opción
en la cabecera IP para cada paquete que envían. Esto hace que una sola vez y Nmap dividirá los paquetes en ocho bytes
sean vulnerables a algunos ataques avanzados de obtención de o menos después de la cabecera de IP. De esta forma, una
información y de falseo de dirección. cabecera TCP de veinte bytes se dividiría en 3 paquetes.
La detección de sistema operativo se activa y controla con Dos con ocho bytes de cabecera TCP y uno con los últimos
las siguientes opciones: ocho. Obviamente, cada fragmento tiene su propia cabecera
-O (Activa la detección de sistema operativo) IP. Especi ca la opción -f otra vez para utilizar fragmentos
Activa la detección de sistema operativo. También se puede de dieciséis bytes (reduciendo la cantidad de fragmentos).
utilizar la opción -A para activar la detección de sistema O puedes especi car tu propio tamaño con la opción –mtu.
operativo y de versiones. No utilice la opción -f si utiliza –mtu. El tamaño debe ser
múltiplo de 8. Aunque la utilización de paquetes fragmentados
–osscan-limit (Limitar la detección de sistema operativo a
no le ayudará a saltar los ltros de paquetes y cortafuegos
los objetivos prometedores)
que encolen todos los fragmentos IP (como cuando se uti-
La detección de sistema operativo funcionará mejor si se liza la opción CONFIG_IP_ALWAYS_DEFRAG del núcleo
dispone de un puerto TCP abierto y otro cerrado. De na esta de Linux), algunas redes no pueden tolerar la pérdida de
opción si no quiere que Nmap intente siquiera la detección de rendimiento que esto produce y deshabilitan esa opción. Otros
sistema operativo contra sistemas que no cumplan este criterio. no pueden habilitar esta opción porque los fragmentos pueden
Esta opción puede ahorrar tiempo, sobre todo si está realizando tomar distintas rutas para entrar en su red. Algunos sistemas
sondeos -P0 sobre muchos sistemas. desfragmentan los paquetes salientes en el núcleo. Un ejemplo
–osscan-guess; –fuzzy (Aproximar los resultados de la de- de ésto es Linux con el módulo de seguimiento de conexiones
tección de sistema operativo) de iptables.
Cuando Nmap no puede detectar un sistema operativo que -D <señuelo1 [,señuelo2][,ME],...> (Esconde un sondeo
encaje perfectamente a veces ofrecerá posibilidades que se con señuelos)
aproximen lo su ciente. Las opciones tienen que aproximarse Realiza un sondeo con señuelos. Esto hace creer que los
mucho al detectado para que Nmap haga esto por omisión. equipos que utilice como señuelos están también haciendo un
Cualquiera de estas dos opciones (equivalentes) harán que sondeo de la red. De esta manera sus IDS pueden llegar a infor-
Nmap intente aproximar los resultados de una forma más mar de que se están realizando de 5 a 10 sondeos de puertos
agresiva. desde distintas direcciones IP, pero no sabrán qué dirección
IP está realizando el análisis y cuáles son señuelos inocentes.
Aunque esta técnica puede vencerse mediante el seguimiento
 12

del camino de los enrutadores, descarte de respuesta (response- paquete entrante UDP desde el puerto 53 (DNS) o 67 (DHCP).
dropping), y otros mecanismos activos, generalmente es una Nmap ofrece las opciones -g y –source-port para
técnica efectiva para esconder su dirección IP. aprovecharse de estas debilidades. Simplemente indique el
Se debe separar cada equipo de distracción mediante comas, número de puerto y Nmap enviará los paquetes desde ese
y puede utilizar ME (YO) como uno de los señuelos para puerto cuando sea posible. Nmap debe utilizar distintos
representar la posición de su verdadera dirección IP. Si pone números de puerto para ciertos tipos de prueba en la detección
ME en la sexta posición o superior es probable que algunos de- de sistema operativo para que funcionen correctamente, y las
tectores de sondeos de puertos habituales ni siquiera muestren solicitudes de DNS ignoran la opción –source-port porque
su dirección IP. Si no utiliza ME, Nmap le pondrá en una Nmap depende de las librerías del sistema para hacerlas. Esta
posición aleatoria. opción se soporta completamente en muchos sondeos TCP,
Se utilizan los señuelos tanto para el sondeo de ping inicial incluyendo el sondeo SYN, al igual que los sondeos UDP.
(si se utiliza ICMP, SYN, ACK, o cualquier otro) como durante –data-length <número> (Añadir datos aleatorios a los pa-
la fase de sondeo. También se utilizan los señuelos durante la quetes enviados)
detección de sistema operativo (-O). Normalmente Nmap envía paquetes mínimos que contienen
-S <Dirección_IP> (Falsi ca la dirección de origen) sólo la cabecera. Así, los paquetes TCP que envía son gen-
Nmap puede que no sea capaz de determinar tu dirección eralmente de 40 bytes y las solicitudes echo de ICMP son de
IP en algunas ocasiones (Nmap se lo dirá si pasa). En esta tan sólo 28. Esta opción le dice a Nmap que añada el número
situación, puede utilizar la opción -S con la dirección IP de indicado de bytes aleatorios a la mayoría de los paquetes que
la interfaz a través de la cual quieres enviar los paquetes. envía. Esta opción no afecta a los paquetes enviados para la
Otro uso alternativo de esta opción es la de falsi car la detección de sistema operativo (-O), pero sí a la mayoría de los
dirección para que los objetivos del análisis piensen que algún paquetes de ping y de sondeo de puertos. Esta opción hace que
otro los está sondeando. ¡Imagine una compañía a los que el sondeo sea un poco más lento, pero también que el sondeo
les sondea repetidamente la competencia! Generalmente es sea un poco más difícil de detectar.
necesaria la opción -e si lo quiere utilizar así, y también sería –ttl <valor> (Indica el valor del campo tiempo-de-vida de
recomendable la opción -P0. la cabecera IP)
-e <interfaz> (Utilizar la interfaz especi cada) Establece el campo tiempo de vida (time-to-live) en la
Indica a Nmap a través de qué interfaz debe enviar y recibir cabecera de los paquetes IPv4 al valor especi cado.
los paquetes. Nmap debería detectar esto automáticamente, –randomize-hosts (Mezclar aleatoriamente la lista de
pero se lo dirá si no. equipos a sondear)
–source-port <número_de_puerto>; -g Indica a Nmap que debe mezclar aleatoriamente cada grupo
<número_de_puerto> (Falsi car el puerto de origen) de hasta 8096 equipos antes de hacer un sondeo. Esto puede
Un error de con guración sorprendentemente común es con- hacer que el sondeo sea menos obvio para algunos sistemas
ar en el trá co basándose únicamente en el número de puerto de monitorización de la red, especialmente cuando se combina
origen. Es fácil entender por qué pasa esto. Un administrador con las opciones que ralentizan el sondeo. Si quiere mezclar
que está con gurando su nuevo rewall, recibe de repente aleatoriamente listas más grandes, incremente el valor de la
quejas de todos sus usuarios desagradecidos que le dicen que constante PING_GROUP_SZ en nmap.h y recompile el pro-
sus aplicaciones han dejado de funcionar. En particular, puede grama. Una solución alternativa es generar la lista de sistemas
romperse el DNS porque las respuestas UDP de DNS de a sondear con un sondeo de lista (-sL -n -oN < chero>),
servidores externos ya no pueden entrar en la red. Otro ejemplo ordenarlo aleatoriamente con un script de Perl, y luego darle
habitual es el caso del FTP. En una transferencia activa de FTP, a Nmap la lista entera con la opción -iL.
el servidor remoto intenta establecer una conexión de vuelta –spoof-mac <dirección MAC, pre jo o nombre del
con el cliente para transferir el archivo solicitado. fabricante> (Falsi ca la dirección MAC)
Existen soluciones seguras para estos problemas, como las Solicita a Nmap que use la MAC dada para todas las tramas
pasarelas en el nivel de aplicación o los módulos de cortafue- de Ethernet enviadas. Esta opción activa implícitamente la
gos que realizan un análisis del protocolo. Desgraciadamente, opción –send-eth para asegurar que Nmap envía los paquetes
también hay soluciones más fáciles y menos seguras. Al darse del nivel Ethernet. La MAC dada puede tener varios formatos.
cuenta que las respuestas de DNS vienen del puerto 53 y que Nmap elegirá una MAC completamente aleatoria para la sesión
las conexiones activas de FTP vienen del puerto 20, muchos si se utiliza el valor “0”. Nmap utilizará la MAC indicada si el
administradores caen en la trampa de con gurar su sistema de parámetro es un número par de dígitos hexadecimales. Nmap
ltrado para permitir el trá co entrante desde estos puertos. rellenará los 6 bytes restantes con valores aleatorios si se dan
Los administradores de red con mucho trabajo no son los menos de 12 dígitos hexadecimales. Si el argumento no es ni
únicos que caen en esta trampa. Muchos productos se lanzan 0 ni un conjunto de dígitos hexadecimales, Nmap mirará en
al mercado con estas reglas inseguras. Hasta Microsoft lo ha nmap-mac-pre xes para encontrar un fabricante cuyo nombre
hecho. Los ltros de IPsec que se preinstalan con Windows coincida con el parámetro utilizado (en esta búsqueda no
2000 y Windows XP contienen una regla implícita que permite diferenciará entre mayúsculas y minúsculas). Si se encuentra
todo el trá co TCP o UDP desde el puerto 88 (Kerberos). Otro algún fabricante, Nmap utilizará el OUI del fabricante (pre jo
caso conocido es el de las versiones de Zone Alarm Firewall de 3 bytes) y rellenará los otros 3 bytes aleatoriamente.
Personal que, hasta la versión 2.1.25, permitían cualquier –badsum (Envía paquetes con sumas de comprobación
 13

TCP/UDP erróneas)
Esta opción le indica a Nmap que debe generar sumas de
comprobación inválidas para los paquetes que se envíen a los
equipos objetivos. Cualquier respuesta que se reciba vendrá
de un cortafuegos o un IDS que no comprobó la suma, dado
que la mayoría de las pilas IP descartan estos paquetes.