Unidad 4 - Segunda Edición IHE

Curso Introducción al
Hacking ético.
Unidad 4.
Escaneo (SCANNING)
© 2019 Junta de Andalucía. Consejería de Economía, Conocimiento, Empresas y Universidad. Este documento y, en su caso,
cualquier documento anexo al mismo, contiene información de carácter confidencial exclusivamente dirigida a su destinatario o
destinatarios. Queda prohibida su divulgación, copia o distribución a terceros sin la previa autorización escrita de “Sociedad
Andaluza para el Desarrollo de las Telecomunicaciones S.A.”. Si no es Ud. el destinatario del documento le ruego lo destruya sin
hacer copia digital o física, comunicando a “Sociedad Andaluza para el Desarrollo de las Telecomunicaciones S.A.” vía e-mail o fax
la recepción del presente documento. Toda declaración de voluntad contenida deberá ser tenida por no producida.
ÍNDICE
1. INTRODUCCIÓN AL ESCANEO (SCANNING) ............... 3
2. HABILIDADES NECESARIAS ........................... 3
3. COMANDOS BÁSICOS Y OTRA UTILIDADES ............... 3
3.1. Ping ......................................... 4

3.2. Traceroute ................................... 4
3.3. Nping ........................................ 5
3.4. HPING3 ....................................... 9
4. ESCANEO DE PUERTOS Y SERVICIOS .............. 11
4.1. SuperScan ................................... 11

4.2. Unicornscan ................................. 18
4.3. Amap ........................................ 21
4.4 Nmap ......................................... 24
4.5. Zenmap ...................................... 32
4.4 Zmap ......................................... 37
5. ESCANEO WEB ..................................... 40
5.1. WhatWeb ..................................... 41

5.2. DirBuster ................................... 43
6. EVASIÓN DE DISPOSITIVOS DE PROTECCIÓN PERIMETRAL 48
6.1. Decoy Scan .................................. 49

6.2. Falseando los datos relacionados con el origen
de los paquetes. ...................................... 50
6.3. Tiempo de entrega de los paquetes. .......... 51
Curso Introducción al Hacking ético. Unidad 4.

Página 1 de 52
7. LECTURA ......................................... 52
Documentación Nmap. Disponible en:

https://nmap.org/docs.html ......................... 52

Página 2 de 52
1. INTRODUCCIÓN AL ESCANEO (SCANNING)
Durante la etapa de escaneo vamos a ser muy activos enviando paquetes al objetivo,
y, dependiendo del tipo de escaneo y de la postura de seguridad del objetivo,
pueden saltar las alarmas, por lo que conviene hacerlo de forma inteligente. A lo
largo de este módulo vamos a estudiar diferentes estrategias para escanear un
objetivo.
Este módulo incluye:
• Uso de populares herramientas como Nmap, SuperScan, etc.
• Descubrimiento de sistemas.
• Traceado.
• Escaneo de puertos.
• Identificado de sistemas operativos y servicios.
• Escaneo de vulnerabilidades.
2. HABILIDADES NECESARIAS
Es conveniente tener conocimiento en los protocolos de red más comunes, como
son TCP, UDP, ICMP, ARP, HTTP, etc., para entender qué hacen las herramientas y
analizar el resultado.
3. COMANDOS BÁSICOS Y OTRA UTILIDADES
La mayoría de sistemas operativos incluyen herramientas de diagnóstico de redes
que podemos utilizar para analizar la infraestructura de red del objetivo; algunos de
estos comandos son traceroute y ping.

Página 3 de 52
3.1. Ping
El comando ping es una herramienta de diagnóstico incluida en la mayoría de
sistemas operativos y sirve para ver si un sistema contesta, si está operativo.
En la Figura 4.1 ejecutamos el comando ping.
Figura 4.1. Comando ping

Fuente: elaboración propia
3.2. Traceroute
Traceroute es una consola de diagnóstico que permite seguir la pista de los
paquetes que vienen desde un host (punto de red). Se obtiene, además, una
estadística del RTT o latencia de red de esos paquetes, lo que viene a ser una

Página 4 de 52
estimación de la distancia a la que están los extremos de la comunicación. Esta
herramienta se llama traceroute en UNIX, Mac[1] y GNU/Linux, mientras que en
Windows se llama tracert.
Figura 4.2. Comando traceroute

Utilizando este comando, podemos obtener una visión de cómo están configurados
los dispositivos de red del objetivo.
3.3. Nping
URL: http://nmap.org/nping/
Nping es una herramienta de código abierto para la generación de paquetes de red,
análisis de respuesta y medida del tiempo de respuesta. Nping puede generar
paquetes de red para una amplia gama de protocolos, permitiendo a los usuarios
el control total sobre las cabeceras de los protocolos. Mientras que Nping puede

Página 5 de 52
utilizarse como una herramienta de ping para detectar sistemas activos, también
puede ser utilizado como un generador de paquetes crudos para la pila de red,
envenenamiento ARP, ataques de denegación de servicio, itinerario trazado, etc. El
modo echo de Nping permite a los usuarios ver cómo cambian los paquetes en
tránsito entre los hosts de origen y de destino. Es una gran manera de entender las
reglas de los cortafuegos, detectar la corrupción de paquetes y más.
Características de Nping:
• Generación de paquetes TCP, UDP, ICMP y ARP.
• Soporte para múltiples especificaciones de host de destino.
• Soporte para múltiples especificaciones de puerto de destino.
• Modos para usuarios no-root.
• Modo echo de solución de problemas avanzados y descubrimiento.
• Apoyo para la generación de paquetes Ethernet.
• Soporte para IPv6.
• Se ejecuta en Linux, Mac OS y MS Windows.
• Capacidades de rastreo.
• Altamente personalizable.
• Gratuito y de código abierto.
Al ejecutar Nping sin ningún parámetro, nos devuelve la ayuda, como se puede
apreciar en la Figura 4.3.

Página 6 de 52
Figura 4.3. Parámetros del comando ping
Ejecutamos Nping como un simple ping a una IP (véase Figura 4.4). También hemos
especificado que solo enviaremos cuatro paquetes.

Página 7 de 52
Figura 4.4. Enviando paquetes ICMP al objetivo
Uno de los puntos fuertes de Nping es su capacidad de generar paquetes para otros
protocolos. En el siguiente ejemplo, vamos a realizar lo que se conoce como
traceroute TCP en la que enviamos una serie de paquetes a un puerto TCP para ver
si el servidor nos responde. Esto es útil para redes que bloquean ICMP (véase Figura
4.5).

Página 8 de 52
Figura 4.5. Enviando paquetes TCP puerto 80 al objetivo
3.4. HPING3
Se trata de una herramienta que lleva un buen recorrido y es reconocida por
permitir la manipulación e incluso la creación de paquetes de datos en múltiples
protocolos de red. Estas características en HPING3 habilitan a un atacante para
hacer muchas cosas, tanto en las etapas de reconocimiento, como en las fases
previas de explotación. Por ejemplo, algo que se suele hacer con bastante
frecuencia utilizando HPING3 es ataques DoS. Hay varios tipos de ataques DoS, en

Página 9 de 52
el caso de HPING3 es común lazar ataques del tipo SYN Flood (inundación SYN). Se
trata de un tipo de ataque que envía paquetes TCP con la flag SYN habilitada a un
servidor lo más rápido posible. Cuando se procesen estas solicitudes, ocupará los
recursos del servidor y no podrá responder a los usuarios reales que intenten
usarlo.
Aunque se trata de una herramienta que ha sido utilizada principalmente por
profesionales de la seguridad informática, también ha sido empleada por personas
con otros perfiles profesionales que no tienen relación directa con la seguridad para
probar redes y sistemas. Algunas de las cosas que puedes hacer usando HPING3 se
listan a continuación:
- Pruebas contra Firewalls
- Escaneo de puertos
- Pruebas de red, usando diferentes protocolos, TOS, fragmentación, etc.
- Traceroute avanzado, bajo todos los protocolos compatibles
- Fingerprint de sistemas operativos.
- Detección del tiempo de actividad de un sistema remoto.
- Para fines educativos, aprendizaje de la pila TCP/IP.

Página 10 de 52
4. ESCANEO DE PUERTOS Y SERVICIOS
4.1. SuperScan
URL: http://www.mcafee.com/es/downloads/free-tools/superscan.aspx
SuperScan es un potente y popular escáner de puertos que corre en Windows.
Las características de SuperScan:
• Rápido.
• Rangos IP ilimitados.
• Mejora la detección host usando múltiples métodos ICMP.
• Escaneo TCP SYN.
• Exploración UDP (dos métodos).
• Soporta formatos CIDR.
• Generación de informes simple HTML.
• Escaneo de puertos origen.
• Resuelve el nombre rápidamente.
• Recoge el banner.
• Descripción de los puertos.
• IP y puertos son aleatorios.
• Incorpora diversas herramientas útiles (ping, traceroute, Whois, etc.).
• Soporta enumerar equipos Windows.
SuperScan tiene un interfaz muy simple e intuitivo, como se puede apreciar en la
Figura 4.6. En esta pantalla introducimos la IP o rango IP a escanear.

Página 11 de 52
Figura 4.7. Interfaz SuperScan
SuperScan tiene diversas pestañas donde poder configurar el escaneo y las
diferentes utilidades que incorpora. En la Figura 4.7 se puede ver la pestaña de
configuración del escaneo, como son los puertos TCP y UDP y parámetros de ICMP.

Página 12 de 52
Figura 4.8. Configuración del escaneo
Otra pestaña interesante es Tools, donde podemos encontrar diferentes utilidades
para realizar Whois, Ping, Traceroute, etc., de un dominio o IP (véase Figura 4.8).

Página 13 de 52
Figura 4.9. Pestaña Tools
Cuando SuperScan está escaneando un objetivo, nos proporciona información del
estado, como número de sistemas identificados, número de puertos TCP y UDP
identificados y el tiempo estimado para terminar el escaneo.
En la Figura 4.9 tenemos la ventana de escaneo.

Página 14 de 52
Figura 4.10. Ventana de escaneo
Una vez completado el escaneo, SuperScan nos presenta un sumario con el
resultado: número de sistemas identificados y total de puertos TCP y UDP abiertos.
En la Figura 4.10 podemos ver el resultado de SuperScan.

Página 15 de 52
Figura 4.11. SuperScan escaneo completado
En la pestaña Windows Enumeration tenemos una utilidad muy potente para
enumerar equipos con Windows. SuperScan utiliza el protocolo Netbios para
obtener gran cantidad de información del objetivo.
SuperScan utiliza una conocida vulnerabilidad llamada Sesiones Nulas para
conectar a un equipo Windows sin necesidad de contraseña, funciona en versiones
antiguas de Windows. En caso de tener éxito, SuperScan recopilará información del
equipo, como se puede apreciar en la Figura 4.12.

Página 16 de 52
Figura 4.12. Conectando a un equipo Windows estableciendo una sesión nula
En la Figura 4.13 podemos apreciar el estado de los servicios Windows en el objetivo.

Página 17 de 52
Figura 4.13. Servicios Windows
4.2. Unicornscan
URL: http://www.unicornscan.org/
Unicornscan es un intento de crear una pila TCP/IP a nivel de usuario distribuido. Se
pretende proporcionar al investigador una interfaz superior para introducir un
estímulo y medir la respuesta de TCP/IP de un dispositivo o red. Aunque
actualmente cuenta con cientos de características individuales, un conjunto de
habilidades principales incluye:
• Escaneo TCP con todas las variaciones de banderas TCP.

Página 18 de 52
• Escaneo TCP de recogida de banners.
• Escaneo UDP (envío de una firma para provocar una respuesta).
• Identificación activa y pasiva del OS, la aplicación e identificación de los
componentes mediante el análisis de las respuestas.
• Salvar en formato PCAP y filtrado de archivos.
• Soporte de base de datos.
• Soporte para módulos personalizados.
• Vistas personalizables con datos.
Al ejecutar Unicornscan sin ningún parámetro, obtenemos la ayuda, Figura 4.14.

Página 19 de 52
Figura 4.14. Parámetros Unicornscan
Podemos configurar el escaneo con multitud de parámetros, pero un escaneo
simple utilizando las opciones por defecto lo podemos ver en la Figura 4.15.
El resultado incluye el protocolo, nombre del servicio, puerto, IP y el TTL.

Página 20 de 52
Figura 4.15. Escaneando un objetivo con Unicornscan
4.3. Amap
URL: https://www.thc.org/thc-amap/
Amap fue la primera herramienta que realizaba identificación de servicios; aunque
hoy en día Nmap le supera, incluimos Amap en el curso por razones históricas.
Todavía puede sernos útil en determinas circunstancias.

Página 21 de 52
Esta herramienta utiliza diferentes técnicas para identificar un puerto y determinar
el servicio.
Ejecutamos Amap en la línea de comandos para obtener la ayuda y ver los
diferentes parámetros de configuración (véase Figura 4.16).
Figura 4.16. Parámetros de Amap


Página 22 de 52
Amap es muy fácil de utilizar. En el siguiente ejemplo hemos especificado la IP y el
rango de puertos a escanear y que nos muestre el banner del servicio (véase la
Figura 4.17).
Figura 4.17. Identificando los servicios


Página 23 de 52
4.4 Nmap
URL: https://nmap.org/
Nmap (Network Mapper) es una utilidad gratuita y de código abierto para el
descubrimiento de la red y la auditoría de seguridad. A muchos administradores de
red también les resulta útil para tareas como inventario de red, gestión de horarios
de actualización de servicio y monitoreo de sistemas. Nmap utiliza paquetes IP
crudos para determinar qué anfitriones están disponibles en la red, qué servicios
(nombre de la aplicación y versión), qué sistemas operativos (y versiones del sistema
operativo) se están ejecutando, qué tipo de paquete de filtros/cortafuegos están en
uso y otras docenas de características. Fue diseñado para analizar rápidamente
grandes redes, pero funciona bien contra un sistema únicamente. Nmap se ejecuta
en todos los sistemas operativos de computadoras principales y los binarios
oficiales están disponibles para Linux, Windows y Mac OS X. Además del clásico
ejecutable de línea de comandos de Nmap, la suite incluye una avanzada interfaz
gráfica y visor de resultados (Zenmap), una transferencia de datos flexible,
redirección y herramienta de depuración (Ncat), la exploración de una utilidad para
comparar resultados (Ndiff) y una generación de paquetes y herramientas de
análisis de respuesta (Nping).
Las características de Nmap:
• Flexible: docenas de técnicas avanzadas para el mapeo de redes lleno de filtros
IP, firewalls, routers y otros obstáculos. Esto incluye muchos mecanismos de
escaneo de puertos (tanto TCP y UDP), detección SO, detección de la versión,
barridos ping y más.

Página 24 de 52
• Potente: Nmap se ha utilizado para escanear redes enormes de cientos de miles
de máquinas.
• Portable: la mayoría de sistemas operativos son compatibles, incluyendo Linux,
Microsoft Windows, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD,
Sun OS, Amiga y más.
• Fácil: mientras que Nmap ofrece un rico conjunto de características avanzadas
para usuarios avanzados, puedes empezar simplemente como "nmap-v -A IP".
Tanto la versión por línea de comandos como la versión gráfica (GUI) están
disponibles para satisfacer sus preferencias. Los binarios están disponibles para
aquellos que no quieran compilar Nmap.
• Gratuito: los objetivos primarios del proyecto Nmapson son ayudar a hacer un
poco más seguro Internet y proporcionar a los administradores y hackers una
herramienta avanzada para explorar redes. Nmap está disponible para su
descarga gratuita y también viene con código fuente completo, que se puede
modificar y redistribuir bajo los términos de la licencia.
• Buena documentación.
• Soportado: aunque Nmap no viene con ninguna garantía, está respaldada por
una vibrante comunidad de desarrolladores y usuarios.
• Premios: Nmap ha ganado numerosos premios.
• Popular: miles de personas descargan Nmap cada día, y se incluye en muchos
sistemas operativos (Redhat Linux, Debian Linux, Gentoo, FreeBSD, OpenBSD,
etc.). Es uno de los programas top 10 (de 30.000) en el Repositorio
Freshmeat.Net.
Nmap es el escáner por excelencia y con razón. Incorpora tantas opciones,
scripts, etc., que tiene libros dedicados a esta potente herramienta.

Página 25 de 52
Nmap incorpora multitud de técnicas de escaneo, algunas de las más populares:
• Barridos Ping:
− Ping Only (-sP).
− ARP Ping (-PR).
− ICMP Echo Request Ping (-PE).
− TCP SYN Ping (-PS).
− TCP ACK Ping (-PA).
− UDP Ping (-PU).
• Traceroute:
− –traceroute.
• Escaneo de puertos:
− TCP SYN or Stealth Scan (-sS).
− TCP ConnectScan (-sT).
− TCP ACK Scan.
− UDP Scan (-sU).
− TCP FIN Scan (-sF).
− TCP NULL Scan (-sN).
− XMAS ScanScan (-sX).
− CustomScan (--scanflags).
− IP ProtocolScan (-sO).
• Detección de sistema operativo y servicios:
− Operating System Detection (-O).
− Service Version Detection (-sV).
• Técnicas de evasión:
− Fragment Packets (-f).
− Specific MTU (--mtu).

Página 26 de 52
− Using a Decoy (-D).
− Specify source port (--source-port).
− Append Random Data (--data-length).
− Spoof MAC Address (--spoof-mac).
− Send Bad Checksum (--badsum).
Por regla general, al utilizar Nmap, tendremos que realizar diferentes tipos de
escaneo del objetivo.
Nmap acepta tantos parámetros que es recomendable leer la documentación y
entender cómo funciona cada escaneo (véase la Figura 4.18).

Página 27 de 52
Figura 4.18 Parámetros de Nmap
Desde hace tiempo, Nmap incluyó un parámetro llamado agresivo (-A), que engloba
diferentes técnicas de escaneo, detección de sistema operativo y servicios. Este
modo de escaneo es un buen punto de partida cuando utilizamos Nmap.

Página 28 de 52
En la Figura 4.19 podemos ver cómo ejecutar este modo.
Figura 4.19. Escaneo agresivo de Nmap


Página 29 de 52
La detección del sistema operativo de forma remota es uno de los puntos fuertes
de Nmap y muy útil para nosotros de cara a futuros ataques. Para activar este modo,
debemos ejecutar Nmap con el parámetro –0.
En la Figura 4.20 podemos ver cómo Nmap ha detectado que el objetivo es una
máquina con Linux.

Página 30 de 52
Figura 4.20. Detección del sistema operativo
Otra capacidad de Nmap muy útil es poder detectar el servicio, al estilo Amap. Al
igual que identificamos el sistema operativo, también debemos identificar los
diferentes servicios que corren en el objetivo para futuros ataques. En la Figura 4.21.
podemos ver un ejemplo de este modo.

Página 31 de 52
Figura 4.21. Identificando los servicios
Nmap es una potente herramienta y una de las más importantes que debemos
conocer a fondo. También incorpora un motor de scripts Nmap Scripting Engire (NSE)
para realizar multitud de acciones.
La comunidad de seguridad ha publicado docenas de scripts para casi todo, desde
detectar malware, explotar vulnerabilidades, mejoras en la detección de servicios,
etc.
Familiarizarnos con el lenguaje de scripts es vital para poder escribir nuestras
propias herramientas automatizadas.
4.5. Zenmap
URL: https://nmap.org/zenmap/
Zenmap es el GUI oficial de Nmap. Es una aplicación gratuita y de código abierto
multiplataforma (Linux, Windows, Mac OS X, BSD, etc.) que pretende facilitar el uso
de Nmap para principiantes al tiempo que proporciona características avanzadas
para los usuarios experimentados. Utilizada con frecuencia para exploraciones de
red, pueden guardarse perfiles para que sean fáciles de ejecutar repetidamente. Un
creador de comando permite la creación interactiva de líneas de comando Nmap.
Los resultados pueden ser guardados para ser analizados posteriormente. Esos
resultados también pueden compararse con otros para ver cómo se diferencian.

Página 32 de 52
Si no queremos lidiar con la línea de comandos de Nmap, entonces Zenmap es la
solución. Con un simple GUI podemos realizar todo tipo de escaneos.
Al ejecutar Zenmap, se nos presenta un GUI desde el cual poder realizar los
escaneos con Nmap. En la Figura 4.22 podemos ver el GUI y los diferentes perfiles
por defecto que podemos seleccionar o crear los nuestros propios.
Figura 4.22. Interfaz de Znmap y perfiles de

escaneo
Una vez completado el escaneo, Zenmap nos presenta los resultados. En función
del modo seleccionado, tendremos más o menos información. En este ejemplo
hemos seleccionado el modo agresivo (-A), por lo que el resultado incluye los
puertos, servicios y detección del sistema operativo (véase la Figura 4.23).

Página 33 de 52
Figura 4.23. Escaneo completado
En la pestaña Ports/Hosts tenemos todas las IP y puertos identificados. Si hemos
activado el modo de detección de servicios (-sV), también se incluirá el detalle (véase
la Figura 4.24).

Página 34 de 52
Figura 4.24. Puertos identificados
En la pestaña Topology tenemos una visualización del escaneo. En el centro está
nuestro equipo y orbitando alrededor tenemos las diferentes IP identificadas, Figura
4.25.

Página 35 de 52
Figura 4.25. Topología del escaneo
En la pestaña Host Details podemos encontrar un sumario del escaneo que incluye
las IP identificadas, el sistema operativo, información de red e información adicional
(véase la Figura 4.26).

Página 36 de 52
Figura 4.26. Sumario del escaneo
4.4 Zmap
Como se ha mencionado antes, Nmap es una potente herramienta que permite
cosas que otras similares no soportan, como por ejemplo sus capacidades de
scripting por medio del motor NSE. Aún así es interesante conocer otras soluciones
y proyectos que van por la misma línea de Nmap. Una de dichas herramientas es
“Zmap” un escáner de puertos muy interesante, especialmente desde el punto de

Página 37 de 52
vista de un investigador de seguridad ya que cuenta con varias opciones para lanzar
escaneos contra el espacio de direcciones IPv4 completo. Esto se traduce a que con
“Zmap” es posible analizar de forma sistemática, todas las direcciones IPv4 que se
encuentran disponibles en Internet. Dicho esto, hay que tener en cuenta ciertas
limitaciones, especialmente relacionadas con la capacidad de computo del
ordenador con el que se lanza la herramienta y la velocidad de la conexión a
Internet. Evidentemente en la mayoría de los casos es mucho más interesante
realizar escaneos específicos contra un segmento de red en Internet o en una
Intranet en lugar de hacerlo contra el rango completo de direcciones IP, para ello
Zmap también permite especificar subnets en formato CIDR y controlar la velocidad
con la que se envían los paquetes de datos al objetivo del escaneo. Por defecto, la
herramienta se encarga de realizar un escaneo del tipo TCP SYN sin realizar el TCP
handshake completo contra el objetivo. Además, intenta hacerlo con la tasa de
transferencia más rápida posible, este comportamiento por defecto también se
puede personalizar por medio de una serie de interruptores que se encuentran
disponibles en la herramienta para cambiar el número de direcciones IP que se
deben analizar, el tipo de escaneo, la velocidad de transferencia, listado de puertos,
entre otras.
Se puede instalar directamente sobre un sistema basado en Debian utilizando la
herramienta “apt-get” o en sistemas basados en RedHat con la herramienta “yum”,
sin embargo, para este tipo de herramientas suele ser más interesante descargar la
última versión de su repositorio de fuentes y posteriormente compilar e instalar
manualmente. El repositorio del proyecto se encuentra en la siguiente ruta y para
instalarlo basta con ejecutar los siguientes comandos.
#git clone https://github.com/zmap/zmap.git

Página 38 de 52
#apt-get install build-essential cmake libgmp3-dev gengetopt libpcap-dev flex
byacc libjson-c-dev pkg-config libunistring-dev
#cd zmap
#cmake -DENABLE_DEVELOPMENT=OFF
#make && make install
Una vez instalado, se puede comenzar a ejecutar el comando “zmap”
zmap --help
Los parámetros básicos para utilizar zmap son “-p”, “-o”, “-b”, “-w” y “-f”.
“-p” permite especificar el listado de puertos que serán escaneados en el objetivo, “-
B” permite establecer un límite máximo en la velocidad de transferencia, “-n”
permite establecer un número máximo de máquinas que se deben analizar y “-o”
permite establecer un fichero en el que se escribirán los resultados arrojados por la
herramienta. Finalmente, Zmap recibe por argumento un listado de subnets que
serán analizadas, aunque también es posible omitir dicho argumento y en tal caso,
el escaneo se realizará contra el rango completo de direcciones IPv4, algo que no
es el mejor de los escenarios, no solamente por cuestiones de rendimiento y uso de
los recursos del sistema, sino también porque es posible que algún objetivo
denuncie de un posible ataque contra sus infraestructuras por realizar un escaneo
de puertos sin autorización.
Si se utiliza el interruptor “-o”, por defecto solamente incluye las direcciones IP
únicas que han contestado correctamente a un paquete del tipo SYN/ACK, sin
embargo, se pueden utilizar reglas sobre los campos que se deben incluir en el
reporte final utilizando “-f”. Para conocer todos los filtros que se pueden aplicar con
este interruptor, se puede ejecutar zmap con “–list-output-fields”. Existen muchos
más argumentos interesantes de la herramienta que se pueden consultar en la

Página 39 de 52
documentación oficial de Zmap. A continuación se incluyen algunos ejemplos del
uso de ésta herramienta que permitirá comprender mejor su funcionamiento:
1. Zmap debe intentar enviar 1 Gigabyte de datos cada segundo en el proceso de
escaneo al puerto 443 de cada IP del listado.
#zmap -B 1G 62.168.1.0/16 -p 443
2. Zmap enviará paquetes de datos tan rápido como pueda.

#zmap -r 20 62.168.1.0/16 -p 443
3. Define el valor 555 como puerto de origen de los paquetes enviados al destino y
“192.168.20.112” como dirección IP de origen.
#zmap -s 555 -S 192.168.20.112 62.168.1.0/16 -p 443
4. Ejecuta el escaneo anterior utilizando un nombre de interfaz de red distinto

(“eth4”) y 20 hilos concurrentes.
#zmap -s 555 -S 192.168.20.112 62.168.1.0/16 -i eth4 -T 20 -p 443
5. ESCANEO WEB
Un vez que hayamos identificado los sistemas del objetivo, IP, puertos y servicios,
sistemas operativos y demás, podemos enfocarnos a las partes concretas, como los
portales web que suelen proporcionar mucha información.

Página 40 de 52
5.1. WhatWeb
URL: http://www.morningstarsecurity.com/research/whatweb
WhatWeb identifica sitios web. Su objetivo es responder a la pregunta "¿Cuál es ese
sitio?". WhatWeb reconoce las tecnologías web, incluyendo sistemas de gestión de
contenidos (CMS), plataformas de blogs, paquetes de estadística/analytics,
bibliotecas JavaScript, servidores web y dispositivos integrados. WhatWeb tiene más
de 900 plugins, cada uno reconoce algo diferente. WhatWeb también identifica los
números de versión, direcciones de correo electrónico, ID de cuenta, módulos
marco web, errores SQL y mucho más.
Las características de WhatWeb:
• Más de 900 plugins.
• Controlar la velocidad/sigilo y fiabilidad.
• Plugins incluyen URL de ejemplo.
• Rendimiento: controla el número de escaneos concurrentes.
• Múltiples formatos de log: breve (greppable), Verbose (legible), XML, JSON,
MagicTree, RubyObject, MongoDB.
• Araña de web recursiva.
• Soporte TOR.
• Cabeceras personalizables HTTP.
• Autenticación HTTP básica.
• Control de re-direccionamiento de página web.
• Intervalos de direcciones IP Nmap-estilo.
• LogicaFuzzy.
• Plugins definidos en la línea de comandos.

Página 41 de 52
WhatWeb es una estupenda herramienta para identificar las tecnologías web que
utiliza el objetivo y encontrar posibles vectores de ataque.
Al ejecutar WhatWeb sin ningún parámetro, obtenemos la ayuda, como se puede
apreciar en la Figura 4.27.
Figura 4.27. WhatWeb

Manejar WhatWeb es muy sencillo, basta con especificar el dominio del objetivo y
WhatWeb nos devuelve el resultado (véase la Figura 4.28).

Página 42 de 52
Figura 4.28. Escaneando un portal web con WhatWeb
5.2. DirBuster
URL: http://sourceforge.net/projects/dirbuster/
DirBuster es una aplicación Java multihilo diseñada para obtener por fuerza bruta
los nombres de directorios y archivos en servidores web/de aplicación. A menudo
ocurre que lo que ahora parece un servidor web en una fase de instalación por
omisión no lo es, y tiene páginas y aplicaciones ocultas. DirBuster trata de encontrar
estos.
DirBuster tiene las siguientes características:
• Multihilado ha sido registrado arriba de 6.000 peticiones/segundo.
• Funciona con http y https.

Página 43 de 52
• Busca directorios y archivos.
• Buscará recursivamente en los directorios que encuentre.
• Capaz de hacer escaneo basado en listas o fuerza bruta pura.
• DirBuster puede ser iniciado en cualquier directorio.
• Cabeceras HTTP personalizadas pueden ser agregadas.
• Soporte para proxy.
• Cambio automático entre peticiones HEAD y GET.
• Modo analizador de contenidos cuando intentos fallidos regresen como 200.
• Extensiones de archivos personalizadas pueden ser usadas.
• El desempeño puede ser ajustado mientras el programa está en ejecución.
DirBuster viene con un conjunto único de listas de archivos y directorios. Estas han
sido generadas basándose en los nombres de archivo y directorio que son
realmente usados por desarrolladores en sitios de Internet. El orden de las listas se
basa en la frecuencia del elemento encontrado. Por lo tanto, los elementos más
comunes aparecen hasta arriba. Estas listas son las que hacen DirBuster.
Las siguientes listas están incluidas con DirBuster:
• directory-list-2.3-small.txt - (87650 palabras) - Directorios/archivos que fueron
encontrados en, al menos, tres sitios diferentes.
• directory-list-2.3-medium.txt - (220546 palabras) - Directorios/archivos que
fueron encontrados en al menos dos sitios diferentes.

Página 44 de 52
• directory-list-2.3-big.txt - (1273819 palabras) - Todos los Directorios/archivos que
fueron encontrados.
• directory-list-lowercase-2.3-small.txt - (81629 palabras) - Versión sin distinguir
mayúsculas y minúsculas de directory-list-2.3-small.txt.
• directory-list-lowercase-2.3-medium.txt - (207629 palabras) - Versión sin
distinguir mayúsculas y minúsculas de directory-list-2.3-medium.txt.
• directory-list-lowercase-2.3-big.txt - (1185240 palabras) - Versión sin distinguir
mayúsculas y minúsculas de directory-list-2.3-big.txt.
• directory-list-1.0.txt - (141694 palabras) - Lista original sin ordenar.
• apache-user-enum-1.0.txt - (8916 nombres de usuario) - Usada para descubrir
usuarios de sistema en apache con el módulo userdir habilitado, basado en una
lista de usuarios que he tenido (sin ordenar).
• apache-user-enum-2.0.txt - (10341 nombres de usuario) - Usada para descubrir
usuarios de sistema en apache con el módulo userdir habilitado, basado en
~XXXXX encontrados durante la generación de la lista (ordenado).
En la Figura 4.29 tenemos el interfaz de DirBuster donde configuramos el escaneo.

Página 45 de 52
Figura 4.29. Interfaz de DirBuster
Deberemos especificar el dominio, si seleccionamos el modo de fuerza bruta
basado en listas, hemos de elegir un diccionario (Kali trae varios que podemos
utilizar). Otros parámetros son fuerza bruta en directorios y ficheros, análisis
recursivo, etc.
En la Figura 4.30 se puede ver cómo hemos configurado el escaneo. Cuando
estemos listos, debemos pulsar el botón Start.

Página 46 de 52
Figura 4.30. Configurando los parámetros del escaneo
Cuando DirBuster entra en modo de escaneo, abre una ventana donde podemos
ver el estado del escaneo, el número de hilos y que está comprobando cada uno en
todo momento, la velocidad de las peticiones, el número de peticiones realizadas,
etc.
En la Figura 4.31 tenemos la ventana de escaneo de DirBuster.

Página 47 de 52
Figura 4.31. Escaneando un objetivo
6. EVASIÓN DE DISPOSITIVOS DE PROTECCIÓN

PERIMETRAL
En apartados anteriores se ha explicado el uso de Nmap para ejecutar un ataque de
reconocimiento utilizando los diferentes tipos de escaneo disponibles. También se
han mencionado a grandes rasgos y sin entrar en demasiados detalles, las opciones
disponibles en dicha herramienta para evadir mecanismos de protección en el
objetivo

Página 48 de 52
En este apartado, se explicarán las técnicas que podría utilizar un hacker ético con
Nmap para evadir las reglas de un IDS (Intrusion Detection System) o IPS (Intrusion
Prevention System) para poder llevar a cabo el escaneo contra el objetivo sin activar
alarmas en dichos sistemas, de tal forma sea lo más silencioso posible.
6.1. Decoy Scan
Se trata de un tipo de escaneo en el que es posible establecer diferentes señuelos
en los paquetes enviados al sistema objetivo, de tal forma que el IDS o cualquier
sistema de protección perimetral en el objetivo verá múltiples paquetes de datos
cuyo origen es aparentemente aleatorio. En definitiva, en el campo “origen” de cada
uno de los paquetes TCP creados por Nmap, se van a incluir diferentes direcciones
IP de forma aleatoria, dependiendo de los valores indicandos en la opción -D. Por
ejemplo, en la siguiente instrucción se intenta ejecutar un escaneo sigiloso con 7
señuelos.
nmap -sS -D
192.168.1.30,192.168.1.31,192.168.1.32,192.168.1.35,192.168.1.36,192.168.1.37,ME
192.168.1.34
Como se puede apreciar, en la opción “-D” se incluyen una serie de direcciones IP,
las cuales pueden o no existir. Lo importante en este caso, es que cada una de éstas
direcciones IP van a ser insertadas en los paquetes enviados por Nmap, en un

Página 49 de 52
intento por ocultar la dirección IP real del usuario que está ejecutando el escaneo y
evitar que se registren alarmas debido a las múltiples peticiones realizadas por la
herramienta. Por otro lado, entre los señuelos es posible indicar la dirección del
sistema desde donde se está ejecutando el escaneo con la palabra reservada “ME”
y también, es posible dejar que Nmap genere de forma automática y aleatoria una
dirección válida con la palabra reservada “RND”.
6.2. Falseando los datos relacionados con el origen de los

paquetes.
Con NMAP es posible definir una dirección IP falsa, puertos falsos y MAC falsa para
realizar un escaneo contra una máquina objetivo. De esta forma, aunque exista un
sistema de detección de intrusos en la red donde se localiza el objetivo y éste
detecta que se está realizando un escaneo de puertos, los logs se verán alterados
indicando la dirección origen que el atacante ha querido. Se trata de una técnica
muy útil, sin embargo, no es muy sutil, ya que aunque la identidad del atacante no
se ve comprometida, es posible que se disparen todas las alarmas en el objetivo por
un posible ataque de reconocimiento.
nmap -PN --spoof-mac 00:11:22:33:44:55 --source-port 80 -n -e eth0 -S

192.168.1.22 192.168.1.34

Página 50 de 52
6.3. Tiempo de entrega de los paquetes.
Es posible ejecutar un escaneo con Nmap utilizando las opciones para controlar el
tiempo de entrega de los paquetes a la máquina objetivo. De esta forma, es mucho
más difícil que un IDS pueda identificar el ataque, aunque en contrapartida, un
escaneo rutinario puede tardar mucho más tiempo en llevarse a cabo. Para
conseguir éste objetivo, en Nmap se encuentra la opción “-T”, al cual dependiendo
del mecanismo utilizado (T1, T2, T3, etc.) el tiempo del escaneo puede variar
considerablemente.
T0: El tiempo empleado en el escaneo es entre las 2 y 4 horas.
nmap -T0 192.168.1.34
T1: el tiempo empleado en el escaneo está entre los 30 y 45 minutos.
nmap -T1 192.168.1.34
T2: el tiempo empleado en el escaneo está entre los 20 y 30 minutos.
nmap -T2 192.168.1.34
T3: El tiempo empleado en el escaneo está entre los 10 y 20 minutos.

Página 51 de 52
nmap -T3 192.168.1.34
T4: El tiempo empleado en el escaneo es inferior a los 10 minutos.
nmap -T4 192.168.1.34
T5: El tiempo empleado en el escaneo es inferior a los 5 minutos.
nmap -T5 192.168.1.41
Los tiempos anteriormente indicados son simplemente estimaciones que pueden
darse en entornos de red con niveles normales de latencia y congestión, sin
embargo, en algunos casos, dependiendo evidentemente de las características
concretas de la red y los tiempos de respuesta reportados por el servidor, dichos
tiempos pueden variar sensiblemente. También es importante anotar que a partir
del modo “T3” el escaneo tiene mayores probabilidades de ejecutarse con éxito sin
despertar ninguna sospecha o alarma en el objetivo. No obstante, como se ha
indicado anteriormente, el tiempo en completarse puede ser mucho mayor.
7. LECTURA
Documentación Nmap. Disponible en: https://nmap.org/docs.html

Página 52 de 52

Unidad 4 - Segunda Edición IHE

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Unidad 4 - Segunda Edición IHE

Uploaded by

Copyright:

Available Formats

Curso Introducción al

1. INTRODUCCIÓN AL ESCANEO (SCANNING) ............... 3

2. HABILIDADES NECESARIAS ........................... 3

3. COMANDOS BÁSICOS Y OTRA UTILIDADES ............... 3

3.1. Ping ......................................... 4

4. ESCANEO DE PUERTOS Y SERVICIOS .............. 11

4.1. SuperScan ................................... 11

5. ESCANEO WEB ..................................... 40

5.1. WhatWeb ..................................... 41

6. EVASIÓN DE DISPOSITIVOS DE PROTECCIÓN PERIMETRAL 48

6.1. Decoy Scan .................................. 49

Curso Introducción al Hacking ético. Unidad 4.

Documentación Nmap. Disponible en:

Curso Introducción al Hacking ético. Unidad 4.

y, dependiendo del tipo de escaneo y de la postura de seguridad del objetivo,

largo de este módulo vamos a estudiar diferentes estrategias para escanear un

Este módulo incluye:

• Uso de populares herramientas como Nmap, SuperScan, etc.

• Identificado de sistemas operativos y servicios.

Es conveniente tener conocimiento en los protocolos de red más comunes, como

3. COMANDOS BÁSICOS Y OTRA UTILIDADES

La mayoría de sistemas operativos incluyen herramientas de diagnóstico de redes

estos comandos son traceroute y ping.

Curso Introducción al Hacking ético. Unidad 4.

El comando ping es una herramienta de diagnóstico incluida en la mayoría de

sistemas operativos y sirve para ver si un sistema contesta, si está operativo.

En la Figura 4.1 ejecutamos el comando ping.

Figura 4.1. Comando ping

Traceroute es una consola de diagnóstico que permite seguir la pista de los

Curso Introducción al Hacking ético. Unidad 4.

herramienta se llama traceroute en UNIX, Mac[1] y GNU/Linux, mientras que en

Windows se llama tracert.

Figura 4.2. Comando traceroute

Nping es una herramienta de código abierto para la generación de paquetes de red,

análisis de respuesta y medida del tiempo de respuesta. Nping puede generar

Curso Introducción al Hacking ético. Unidad 4.

envenenamiento ARP, ataques de denegación de servicio, itinerario trazado, etc. El

reglas de los cortafuegos, detectar la corrupción de paquetes y más.

• Generación de paquetes TCP, UDP, ICMP y ARP.

• Soporte para múltiples especificaciones de host de destino.

• Soporte para múltiples especificaciones de puerto de destino.

• Modos para usuarios no-root.

• Modo echo de solución de problemas avanzados y descubrimiento.

• Apoyo para la generación de paquetes Ethernet.

• Soporte para IPv6.

• Se ejecuta en Linux, Mac OS y MS Windows.

• Gratuito y de código abierto.

apreciar en la Figura 4.3.

Curso Introducción al Hacking ético. Unidad 4.

especificado que solo enviaremos cuatro paquetes.

Curso Introducción al Hacking ético. Unidad 4.

Curso Introducción al Hacking ético. Unidad 4.

Se trata de una herramienta que lleva un buen recorrido y es reconocida por

permitir la manipulación e incluso la creación de paquetes de datos en múltiples

protocolos de red. Estas características en HPING3 habilitan a un atacante para

Curso Introducción al Hacking ético. Unidad 4.

Aunque se trata de una herramienta que ha sido utilizada principalmente por

profesionales de la seguridad informática, también ha sido empleada por personas

- Pruebas contra Firewalls

- Pruebas de red, usando diferentes protocolos, TOS, fragmentación, etc.

- Traceroute avanzado, bajo todos los protocolos compatibles

- Fingerprint de sistemas operativos.

- Detección del tiempo de actividad de un sistema remoto.