Ricardo N. Prieto | PhiloCyber

Introducción

¡Bienvenido/a al segundo episodio de nuestro curso completo de Nmap! En este módulo, vamos a profundizar en las técnicas de descubrimiento de hosts, explorar diferentes métodos para identificar sistemas activos en una red y aprender cómo optimizar nuestro reconocimiento para diferentes entornos.

Basándonos en la base del Episodio 1, vamos a ponernos prácticos con ejemplos concretos que te prepararán para el reconocimiento de redes en el mundo real. Al final de este módulo, vas a poder descubrir hosts eficientemente en cualquier red que estés autorizado/a a escanear.

La Importancia del Descubrimiento de Hosts

Antes de que podamos analizar servicios o identificar vulnerabilidades, primero necesitamos saber qué sistemas están activos en una red. El descubrimiento de hosts (a veces llamado "escaneo ping" o "ping scanning") es el proceso de identificar hosts vivos antes de realizar escaneos de puertos más intensivos.

Un descubrimiento de hosts efectivo:

Ahorra tiempo al enfocar los escaneos detallados solo en hosts activos
Reduce el tráfico de red y la posible interrupción
Ayuda a crear un mapa de red preciso
Identifica dispositivos inesperados o no autorizados ("rogue")

Técnicas de Descubrimiento de Hosts

Nmap ofrece varios métodos para determinar si los hosts están activos. Exploremos estas técnicas y entendamos cuándo usar cada una.

Solicitudes ICMP Echo (Ping)

El método más básico utiliza solicitudes ICMP echo (ping):

sudo nmap -sn 10.129.2.0/24

Este comando:

Envía solicitudes ICMP echo a todos los hosts en el rango
Reporta los hosts que responden con respuestas ICMP echo
Desactiva el escaneo de puertos con la opción -sn

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 14:00 EDT
Nmap scan report for 10.129.2.4
Host is up (0.0023s latency).
Nmap scan report for 10.129.2.10
Host is up (0.0046s latency).
Nmap scan report for 10.129.2.11
Host is up (0.0032s latency).
Nmap done: 256 IP addresses (3 hosts up) scanned in 2.51 seconds

Escaneando desde una Lista de Hosts

Durante pruebas de penetración o auditorías de red, podrías recibir una lista de direcciones IP para escanear. Nmap puede leer objetivos desde un archivo:

# Crear una lista de hosts
cat > hosts.lst
10.129.2.4
10.129.2.10
10.129.2.11
10.129.2.18
10.129.2.19
10.129.2.20
10.129.2.28

# Escanear hosts desde la lista
sudo nmap -sn -iL hosts.lst

La opción -iL le dice a Nmap que lea los objetivos del archivo especificado.

Escaneando Múltiples Direcciones IP

Podemos especificar múltiples direcciones IP individuales:

sudo nmap -sn 10.129.2.18 10.129.2.19 10.129.2.20

O usar la notación de rango para direcciones consecutivas:

sudo nmap -sn 10.129.2.18-20

Entendiendo Cómo Funciona el Descubrimiento de Hosts

Por defecto, cuando ejecutamos un escaneo ping (-sn), Nmap usa varias técnicas:

Solicitud ICMP echo (ping)
Paquete TCP SYN al puerto 443
Paquete TCP ACK al puerto 80
Solicitud ICMP timestamp

Esta combinación aumenta la posibilidad de detección incluso cuando ciertos tipos de paquetes están bloqueados.

Examinando el Proceso de Descubrimiento

Para ver exactamente qué está pasando durante un escaneo, usamos la opción --packet-trace:

sudo nmap 10.129.2.18 -sn --packet-trace

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 14:15 EDT
SENT (0.0074s) ARP who-has 10.129.2.18 tell 10.10.14.2
RCVD (0.0309s) ARP reply 10.129.2.18 is-at DE:AD:00:00:BE:EF
Nmap scan report for 10.129.2.18
Host is up (0.023s latency).
MAC Address: DE:AD:00:00:BE:EF
Nmap done: 1 IP address (1 host up) scanned in 0.05 seconds

Notá que Nmap primero intenta una solicitud ARP cuando el objetivo está en la misma subred. Esto es más rápido y fiable que las sondas ICMP o TCP.

Entendiendo las Razones de Detección

Para ver por qué Nmap determinó que un host está activo, usamos la opción --reason:

sudo nmap 10.129.2.18 -sn --reason

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 14:20 EDT
Nmap scan report for 10.129.2.18
Host is up, received arp-response (0.028s latency).
MAC Address: DE:AD:00:00:BE:EF
Nmap done: 1 IP address (1 host up) scanned in 0.03 seconds

El "received arp-response" nos dice que Nmap determinó que el host estaba activo porque recibió una respuesta ARP.

Forzando Solicitudes ICMP Echo

Si querés usar específicamente solicitudes ICMP echo (incluso en una red local), podés deshabilitar los pings ARP:

sudo nmap 10.129.2.18 -sn -PE --packet-trace --disable-arp-ping

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 14:25 EDT
SENT (0.0107s) ICMP [10.10.14.2 > 10.129.2.18 Echo request (type=8/code=0) id=13607 seq=0] IP [ttl=255 id=23541 iplen=28]
RCVD (0.0152s) ICMP [10.129.2.18 > 10.10.14.2 Echo reply (type=0/code=0) id=13607 seq=0] IP [ttl=128 id=40622 iplen=28]
Nmap scan report for 10.129.2.18
Host is up (0.086s latency).
MAC Address: DE:AD:00:00:BE:EF
Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Opciones explicadas:

-PE: Usar solicitud ICMP echo
--packet-trace: Mostrar todos los paquetes enviados y recibidos
--disable-arp-ping: Omitir el descubrimiento ARP y usar los métodos especificados

Técnicas Avanzadas de Descubrimiento de Hosts

Sin Escaneo Ping (`-Pn`)

A veces los firewalls bloquean los paquetes ICMP y las sondas comunes. En estos casos, podemos omitir la fase de descubrimiento de hosts por completo:

sudo nmap 10.129.2.18 -Pn

La opción -Pn le dice a Nmap que asuma que el host está activo y proceda directamente al escaneo de puertos. Esto es útil cuando sabemos que el host existe pero no responde al ping.

Ping TCP SYN (`-PS`)

Podemos usar paquetes TCP SYN a puertos específicos para el descubrimiento de hosts:

sudo nmap 10.129.2.0/24 -PS22,80,443

Esto envía paquetes TCP SYN a los puertos 22, 80 y 443. Si algún puerto responde (incluso con un rechazo), el host se marca como activo.

Ping TCP ACK (`-PA`)

Similar al ping SYN, pero usa paquetes ACK:

sudo nmap 10.129.2.0/24 -PA22,80,443

Esto puede ser efectivo contra ciertas configuraciones de firewall que bloquean paquetes SYN.

Ping UDP (`-PU`)

Algunos hosts podrían tener TCP completamente filtrado pero responder a paquetes UDP:

sudo nmap 10.129.2.0/24 -PU53,161

Esto envía paquetes UDP a los puertos DNS (53) y SNMP (161), que comúnmente responden incluso en sistemas muy restringidos.

Ping SCTP INIT (`-PY`)

Para redes que usan el protocolo SCTP (común en telecomunicaciones):

sudo nmap 10.129.2.0/24 -PY132

Esto envía paquetes SCTP INIT al puerto 132.

Ping de Protocolo IP (`-PO`)

Esta técnica utiliza varios protocolos IP para descubrir hosts:

sudo nmap 10.129.2.0/24 -PO1,2,4

Esto envía paquetes IP con los números de protocolo 1 (ICMP), 2 (IGMP) y 4 (IP-in-IP).

Descubrimiento en Diferentes Entornos

Diferentes entornos de red requieren diferentes enfoques de descubrimiento:

Red Local (Misma Subred)

En una red local, el escaneo ARP es lo más eficiente:

sudo nmap 192.168.1.0/24 -sn

Nmap utiliza automáticamente solicitudes ARP para hosts en la misma subred.

Redes Remotas (A través de Routers)

Para redes remotas, usá una combinación de métodos ICMP y TCP:

sudo nmap 10.0.0.0/24 -sn -PE -PS22,80,443 -PA80,443

Esto combina solicitudes ICMP echo con sondas TCP SYN y ACK a puertos comúnmente abiertos en servidores.

Redes Muy Filtradas

Para redes con firewalls estrictos:

sudo nmap 10.0.0.0/24 -Pn -p 80,443

Esto omite por completo el descubrimiento de hosts y escanea puertos específicos en todas las direcciones.

Redes Empresariales Grandes

Para escanear grandes redes eficientemente:

sudo nmap 10.0.0.0/16 -sn --min-hostgroup 512 --min-rate 1000

Esto optimiza la velocidad aumentando el tamaño del grupo de hosts y la tasa de paquetes.

Fundamentos del Escaneo de Puertos

Una vez que identificamos los hosts activos, el siguiente paso es determinar qué puertos están abiertos. Exploremos los conceptos básicos del escaneo de puertos.

Entendiendo los Estados de Puerto

Nmap reporta seis posibles estados para los puertos escaneados:

open (abierto): Una aplicación está aceptando activamente conexiones
closed (cerrado): El puerto es accesible pero ninguna aplicación está escuchando
filtered (filtrado): Nmap no puede determinar si está abierto porque un firewall está bloqueando las sondas
unfiltered (sin filtrar): El puerto es accesible pero Nmap no puede determinar si está abierto o cerrado
open|filtered (abierto|filtrado): Nmap no puede determinar si el puerto está abierto o filtrado
closed|filtered (cerrado|filtrado): Nmap no puede determinar si el puerto está cerrado o filtrado

Escaneo Básico de Puertos TCP

El tipo de escaneo más común es el escaneo TCP SYN:

sudo nmap 10.129.2.28 --top-ports=10

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 15:36 EDT
Nmap scan report for 10.129.2.28
Host is up (0.021s latency).

PORT     STATE    SERVICE
21/tcp   closed   ftp
22/tcp   open     ssh
23/tcp   closed   telnet
25/tcp   open     smtp
80/tcp   open     http
110/tcp  open     pop3
139/tcp  filtered netbios-ssn
443/tcp  closed   https
445/tcp  filtered microsoft-ds
3389/tcp closed   ms-wbt-server
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 1.44 seconds

Rastreando Paquetes Durante un Escaneo

Para entender qué está pasando durante un escaneo de puertos, usá la opción de rastreo de paquetes:

sudo nmap 10.129.2.28 -p 21 --packet-trace -Pn -n --disable-arp-ping

Mostrar Salida de Ejemplo (Puerto Cerrado)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 15:39 EDT
SENT (0.0429s) TCP 10.10.14.2:63090 > 10.129.2.28:21 S ttl=56 id=57322 iplen=44 seq=1699105818 win=1024 <mss 1460>
RCVD (0.0573s) TCP 10.129.2.28:21 > 10.10.14.2:63090 RA ttl=64 id=0 iplen=40 seq=0 win=0
Nmap scan report for 10.129.2.28
Host is up (0.014s latency).

PORT   STATE  SERVICE
21/tcp closed ftp
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds

En este ejemplo:

Nmap envía un paquete TCP con el flag SYN (S)
El objetivo responde con un paquete que contiene los flags RST y ACK (RA)
Esto indica que el puerto está cerrado

Entendiendo Puertos Filtrados

Cuando un puerto se muestra como "filtered" (filtrado), típicamente significa que un firewall está bloqueando el acceso:

sudo nmap 10.129.2.28 -p 139 --packet-trace -n --disable-arp-ping -Pn

Mostrar Salida de Ejemplo (Filtrado - Descartado)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 15:45 EDT
SENT (0.0381s) TCP 10.10.14.2:60277 > 10.129.2.28:139 S ttl=47 id=14523 iplen=44 seq=4175236769 win=1024 <mss 1460>
SENT (1.0411s) TCP 10.10.14.2:60278 > 10.129.2.28:139 S ttl=45 id=7372 iplen=44 seq=4175171232 win=1024 <mss 1460>
Nmap scan report for 10.129.2.28
Host is up.

PORT    STATE    SERVICE
139/tcp filtered netbios-ssn
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds

Notá que Nmap envía múltiples paquetes SYN pero no recibe respuesta, indicando que el puerto está filtrado (probablemente descartado por un firewall).

Comportamiento del Firewall: Reject vs. Drop

Los firewalls pueden manejar el tráfico no deseado de dos maneras:

Reject (Rechazar): Enviar de vuelta un mensaje de error (usualmente RST o ICMP inalcanzable)
Drop (Descartar): Descartar silenciosamente los paquetes sin ninguna respuesta

Acá hay un ejemplo de una conexión rechazada:

sudo nmap 10.129.2.28 -p 445 --packet-trace -n --disable-arp-ping -Pn

Mostrar Salida de Ejemplo (Filtrado - Rechazado)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 15:55 EDT
SENT (0.0388s) TCP 10.10.14.2:52472 > 10.129.2.28:445 S ttl=49 id=21763 iplen=44 seq=1418633433 win=1024 <mss 1460>
RCVD (0.0487s) ICMP [10.129.2.28 > 10.10.14.2 Port 445 unreachable (type=3/code=3)] IP [ttl=64 id=20998 iplen=72]
Nmap scan report for 10.129.2.28
Host is up (0.0099s latency).

PORT    STATE    SERVICE
445/tcp filtered microsoft-ds
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 0.05 seconds

Acá, el firewall rechaza activamente la conexión con un mensaje ICMP "port unreachable" (puerto inalcanzable).

Escaneo de Puertos UDP

Aunque el escaneo TCP es más común, el escaneo UDP es crucial para una evaluación de seguridad completa. El escaneo UDP se realiza con la opción -sU:

sudo nmap 10.129.2.28 -F -sU

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 16:01 EDT
Nmap scan report for 10.129.2.28
Host is up (0.059s latency).
Not shown: 95 closed ports
PORT     STATE         SERVICE
68/udp   open|filtered dhcpc
137/udp  open          netbios-ns
138/udp  open|filtered netbios-dgm
631/udp  open|filtered ipp
5353/udp open          zeroconf
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 98.07 seconds

El escaneo UDP es más lento porque:

UDP no tiene conexión (connectionless) y no hay handshake
Los puertos abiertos a menudo no responden a paquetes UDP vacíos
Los puertos cerrados deberían enviar mensajes ICMP "port unreachable"
La limitación de tasa (rate limiting) a menudo afecta estos mensajes ICMP

Examinando Respuestas UDP

Miremos un puerto UDP abierto:

sudo nmap 10.129.2.28 -sU -Pn -n --disable-arp-ping --packet-trace -p 137

Mostrar Salida de Ejemplo (UDP Abierto)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 16:15 EDT
SENT (0.0367s) UDP 10.10.14.2:55478 > 10.129.2.28:137 ttl=57 id=9122 iplen=78
RCVD (0.0398s) UDP 10.129.2.28:137 > 10.10.14.2:55478 ttl=64 id=13222 iplen=257
Nmap scan report for 10.129.2.28
Host is up (0.0031s latency).

PORT    STATE SERVICE
137/udp open  netbios-ns
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 0.04 seconds

Y un puerto UDP cerrado:

sudo nmap 10.129.2.28 -sU -Pn -n --disable-arp-ping --packet-trace -p 100

Mostrar Salida de Ejemplo (UDP Cerrado)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 16:25 EDT
SENT (0.0445s) UDP 10.10.14.2:63825 > 10.129.2.28:100 ttl=57 id=29925 iplen=28
RCVD (0.1498s) ICMP [10.129.2.28 > 10.10.14.2 Port unreachable (type=3/code=3)] IP [ttl=64 id=11903 iplen=56]
Nmap scan report for 10.129.2.28
Host is up (0.11s latency).

PORT    STATE  SERVICE
100/udp closed unknown
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

Guardando y Gestionando Resultados

Es esencial guardar los resultados del escaneo para documentación, comparación y reportes.

Guardando en Diferentes Formatos

Nmap puede guardar resultados en tres formatos principales:

# Guardar en todos los formatos con un comando
sudo nmap 10.129.2.28 -p- -oA objetivo

Esto crea:

objetivo.nmap (formato de texto normal)
objetivo.gnmap (formato grepable)
objetivo.xml (formato XML)

Formato de Salida Normal (`.nmap`)

Contiene la misma salida vista en la terminal.

# Nmap 7.94 scan initiated Tue Apr 14 12:14:53 2025 as: nmap -p- -oA objetivo 10.129.2.28
Nmap scan report for 10.129.2.28
Host is up (0.053s latency).
Not shown: 65525 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
MAC Address: DE:AD:00:00:BE:EF

# Nmap done at Tue Apr 14 12:15:03 2025 -- 1 IP address (1 host up) scanned in 10.22 seconds

Formato de Salida Grepable (`.gnmap`)

Diseñado para facilitar el análisis con herramientas como grep.

# Nmap 7.94 scan initiated Tue Apr 14 12:14:53 2025 as: nmap -p- -oA objetivo 10.129.2.28
Host: 10.129.2.28 ()    Status: Up
Host: 10.129.2.28 ()    Ports: 22/open/tcp//ssh///, 25/open/tcp//smtp///, 80/open/tcp//http///    Ignored State: closed (65525)
# Nmap done at Tue Apr 14 12:14:53 2025 -- 1 IP address (1 host up) scanned in 10.22 seconds

Formato de Salida XML (`.xml`)

Proporciona datos estructurados que pueden ser procesados por otras herramientas.

Mostrar Ejemplo XML

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE nmaprun>
<?xml-stylesheet href="file:///usr/local/bin/../share/nmap/nmap.xsl" type="text/xsl"?>
<nmaprun scanner="nmap" args="nmap -p- -oA objetivo 10.129.2.28" start="1713013200" startstr="Tue Apr 14 12:15:00 2025" version="7.94" xmloutputversion="1.04">
<scaninfo type="syn" protocol="tcp" numservices="65535" services="1-65535"/>
<verbose level="0"/>
<debugging level="0"/>
<host starttime="1713013200" endtime="1713013210"><status state="up" reason="arp-response" reason_ttl="0"/>
<address addr="10.129.2.28" addrtype="ipv4"/>
<address addr="DE:AD:00:00:BE:EF" addrtype="mac" vendor="Intel Corporate"/>
<hostnames>
</hostnames>
<ports><extraports state="closed" count="65525">
<extrareasons reason="resets" count="65525"/>
</extraports>
<port protocol="tcp" portid="22"><state state="open" reason="syn-ack" reason_ttl="64"/><service name="ssh" method="table" conf="3"/></port>
<port protocol="tcp" portid="25"><state state="open" reason="syn-ack" reason_ttl="64"/><service name="smtp" method="table" conf="3"/></port>
<port protocol="tcp" portid="80"><state state="open" reason="syn-ack" reason_ttl="64"/><service name="http" method="table" conf="3"/></port>
</ports>
<times srtt="52614" rttvar="75640" to="355174"/>
</host>
<runstats><finished time="1713013210" timestr="Tue Apr 14 12:15:10 2025" elapsed="10.22" summary="Nmap done at Tue Apr 14 12:15:10 2025; 1 IP address (1 host up) scanned in 10.22 seconds" exit="success"/><hosts up="1" down="0" total="1"/>
</runstats>
</nmaprun>

Creando Reportes HTML

La salida XML puede convertirse a HTML para una mejor legibilidad usando `xsltproc`:

xsltproc objetivo.xml -o objetivo.html

Esto crea un reporte HTML bien formateado que es fácil de compartir con miembros del equipo o clientes.

Ejercicios Prácticos

Ejercicio 1: Comparación de Descubrimiento de Hosts

Compará diferentes técnicas de descubrimiento de hosts en tu red de laboratorio:

# Escaneo ping estándar
sudo nmap -sn 192.168.1.0/24 -oN escaneo_ping.txt

# Ping TCP SYN a puertos comunes
sudo nmap -PS22,80,443 -sn 192.168.1.0/24 -oN ping_syn.txt

# Ping TCP ACK a puertos comunes
sudo nmap -PA22,80,443 -sn 192.168.1.0/24 -oN ping_ack.txt

# Ping UDP a puertos comunes
sudo nmap -PU53,161 -sn 192.168.1.0/24 -oN ping_udp.txt

Compará los resultados:

¿Qué técnica encontró más hosts?
¿Hubo hosts encontrados por un método pero no por otros?
¿Qué método fue más rápido?

Ejercicio 2: Detección de Firewall

Identificá hosts con firewalls analizando los estados de los puertos:

# Escanear puertos comunes
sudo nmap -p 21,22,23,25,80,443,445,3389 192.168.1.0/24 -oN test_firewall.txt

Analizá los resultados:

¿Qué hosts muestran puertos "filtered"?
¿Podés determinar qué tipo de firewall podría estar en uso?
Probá un escaneo más agresivo en un host filtrado:

sudo nmap -p 21,22,23,25,80,443,445,3389 -A --reason 192.168.1.x

Ejercicio 3: Descubrimiento de Servicios UDP

Identificá servicios UDP en tu red:

# Escaneo UDP rápido de puertos comunes
sudo nmap -sU --top-ports=20 192.168.1.0/24 -oN servicios_udp.txt

Analizá los resultados:

¿Qué servicios UDP se están ejecutando en tu red?
¿Hay algún servicio inesperado?
¿Cuántos puertos se muestran como "open|filtered" versus definitivamente "open"?

Ejercicio 4: Comparación de Resultados de Escaneo

Realizá escaneos en diferentes momentos y compará los resultados:

# Escaneo matutino
sudo nmap -sS 192.168.1.0/24 -oX manana.xml

# Escaneo vespertino
sudo nmap -sS 192.168.1.0/24 -oX tarde.xml

# Comparar usando ndiff
ndiff manana.xml tarde.xml > diferencias.txt

Analizá las diferencias:

¿Aparecieron o desaparecieron hosts?
¿Cambió el estado de algún puerto?
¿Qué podría explicar estos cambios?

Resolución de Problemas Comunes

No se Encontraron Hosts

Problema: Tu escaneo no encuentra ningún host, aunque sabés que existen.

Soluciones:

Probá deshabilitando el descubrimiento de hosts: nmap -Pn 192.168.1.0/24
Usá múltiples métodos de descubrimiento: nmap -PS22,80 -PA443 -PU161 -sn 192.168.1.0/24
Verificá tu conexión de red y el enrutamiento
Verificá que tenés permiso para escanear la red objetivo

Escaneos UDP Lentos

Problema: Los escaneos UDP tardan muchísimo en completarse.

Soluciones:

Limitá los puertos: nmap -sU --top-ports=20 192.168.1.0/24
Aumentá el timing: nmap -sU -T4 --top-ports=20 192.168.1.0/24
Aumentá la tasa de paquetes: nmap -sU --min-rate=1000 --top-ports=20 192.168.1.0/24

Problemas de Permisos

Problema: Ves "Note: Host seems down" (Nota: El host parece caído) o no podés ejecutar ciertos tipos de escaneo.

Solución:

Ejecutá Nmap con sudo o privilegios de administrador:

sudo nmap -sS 192.168.1.1

Resultados Inconsistentes

Problema: Obtenés resultados diferentes al escanear el mismo objetivo varias veces.

Soluciones:

Usá un timing más agresivo: nmap -T4 192.168.1.0/24
Aumentá los reintentos: nmap --max-retries 3 192.168.1.0/24
Probá diferentes técnicas de escaneo y compará los resultados

Puntos Clave

El descubrimiento de hosts es el primer paso crucial en el reconocimiento de redes
Diferentes técnicas de descubrimiento funcionan mejor en diferentes entornos
Entender las interacciones de paquetes ayuda a interpretar los resultados del escaneo
El escaneo UDP es esencial pero requiere paciencia e interpretación
Guardar los resultados del escaneo en múltiples formatos permite la documentación y comparación
Combinar múltiples técnicas de escaneo proporciona la visión más completa

Próximos Pasos

En el próximo episodio, exploraremos:

Técnicas de escaneo de puertos con mayor profundidad
Tipos de escaneo TCP y sus casos de uso específicos
Timing del escaneo y optimización del rendimiento
Evadiendo sistemas de firewall e IDS
Personalizando escaneos para entornos específicos

Recursos Adicionales

Docs Oficiales Nmap: Descubrimiento de Hosts

Libro Nmap: Especificación de Objetivos

Libro Nmap: Técnicas de Escaneo de Puertos

Demostración en Video

Nota: Usá este video como guía visual para complementar el material escrito.

Quiz

Knowledge Check

Test your understanding with these questions

1. ¿Cuál es el propósito principal del descubrimiento de hosts en el escaneo de redes?

Easy

2. ¿Qué opción de Nmap se utiliza para realizar un escaneo ping, deshabilitando el escaneo de puertos?

Medium

3. ¿Cuál es la técnica de descubrimiento de hosts más eficiente para usar al escanear hosts en el mismo segmento de red local?

Medium

4. En situaciones donde una red objetivo podría bloquear solicitudes ICMP, ¿qué opción de Nmap se puede usar para omitir la fase de descubrimiento de hosts y asumir que todos los objetivos especificados están en línea?

Medium

5. Al usar la opción `-oA` para guardar los resultados del escaneo de Nmap, ¿en qué tres formatos se guardan los resultados?

Easy

Introducción

La Importancia del Descubrimiento de Hosts

Un descubrimiento de hosts efectivo:

Ahorra tiempo al enfocar los escaneos detallados solo en hosts activos
Reduce el tráfico de red y la posible interrupción
Ayuda a crear un mapa de red preciso
Identifica dispositivos inesperados o no autorizados ("rogue")

Técnicas de Descubrimiento de Hosts

Nmap ofrece varios métodos para determinar si los hosts están activos. Exploremos estas técnicas y entendamos cuándo usar cada una.

Solicitudes ICMP Echo (Ping)

El método más básico utiliza solicitudes ICMP echo (ping):

sudo nmap -sn 10.129.2.0/24

Este comando:

Envía solicitudes ICMP echo a todos los hosts en el rango
Reporta los hosts que responden con respuestas ICMP echo
Desactiva el escaneo de puertos con la opción -sn

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 14:00 EDT
Nmap scan report for 10.129.2.4
Host is up (0.0023s latency).
Nmap scan report for 10.129.2.10
Host is up (0.0046s latency).
Nmap scan report for 10.129.2.11
Host is up (0.0032s latency).
Nmap done: 256 IP addresses (3 hosts up) scanned in 2.51 seconds

Escaneando desde una Lista de Hosts

Durante pruebas de penetración o auditorías de red, podrías recibir una lista de direcciones IP para escanear. Nmap puede leer objetivos desde un archivo:

# Crear una lista de hosts
cat > hosts.lst
10.129.2.4
10.129.2.10
10.129.2.11
10.129.2.18
10.129.2.19
10.129.2.20
10.129.2.28

# Escanear hosts desde la lista
sudo nmap -sn -iL hosts.lst

La opción -iL le dice a Nmap que lea los objetivos del archivo especificado.

Escaneando Múltiples Direcciones IP

Podemos especificar múltiples direcciones IP individuales:

sudo nmap -sn 10.129.2.18 10.129.2.19 10.129.2.20

O usar la notación de rango para direcciones consecutivas:

sudo nmap -sn 10.129.2.18-20

Entendiendo Cómo Funciona el Descubrimiento de Hosts

Por defecto, cuando ejecutamos un escaneo ping (-sn), Nmap usa varias técnicas:

Solicitud ICMP echo (ping)
Paquete TCP SYN al puerto 443
Paquete TCP ACK al puerto 80
Solicitud ICMP timestamp

Esta combinación aumenta la posibilidad de detección incluso cuando ciertos tipos de paquetes están bloqueados.

Examinando el Proceso de Descubrimiento

Para ver exactamente qué está pasando durante un escaneo, usamos la opción --packet-trace:

sudo nmap 10.129.2.18 -sn --packet-trace

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 14:15 EDT
SENT (0.0074s) ARP who-has 10.129.2.18 tell 10.10.14.2
RCVD (0.0309s) ARP reply 10.129.2.18 is-at DE:AD:00:00:BE:EF
Nmap scan report for 10.129.2.18
Host is up (0.023s latency).
MAC Address: DE:AD:00:00:BE:EF
Nmap done: 1 IP address (1 host up) scanned in 0.05 seconds

Notá que Nmap primero intenta una solicitud ARP cuando el objetivo está en la misma subred. Esto es más rápido y fiable que las sondas ICMP o TCP.

Entendiendo las Razones de Detección

Para ver por qué Nmap determinó que un host está activo, usamos la opción --reason:

sudo nmap 10.129.2.18 -sn --reason

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 14:20 EDT
Nmap scan report for 10.129.2.18
Host is up, received arp-response (0.028s latency).
MAC Address: DE:AD:00:00:BE:EF
Nmap done: 1 IP address (1 host up) scanned in 0.03 seconds

El "received arp-response" nos dice que Nmap determinó que el host estaba activo porque recibió una respuesta ARP.

Forzando Solicitudes ICMP Echo

Si querés usar específicamente solicitudes ICMP echo (incluso en una red local), podés deshabilitar los pings ARP:

sudo nmap 10.129.2.18 -sn -PE --packet-trace --disable-arp-ping

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 14:25 EDT
SENT (0.0107s) ICMP [10.10.14.2 > 10.129.2.18 Echo request (type=8/code=0) id=13607 seq=0] IP [ttl=255 id=23541 iplen=28]
RCVD (0.0152s) ICMP [10.129.2.18 > 10.10.14.2 Echo reply (type=0/code=0) id=13607 seq=0] IP [ttl=128 id=40622 iplen=28]
Nmap scan report for 10.129.2.18
Host is up (0.086s latency).
MAC Address: DE:AD:00:00:BE:EF
Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Opciones explicadas:

-PE: Usar solicitud ICMP echo
--packet-trace: Mostrar todos los paquetes enviados y recibidos
--disable-arp-ping: Omitir el descubrimiento ARP y usar los métodos especificados

Técnicas Avanzadas de Descubrimiento de Hosts

Sin Escaneo Ping (`-Pn`)

A veces los firewalls bloquean los paquetes ICMP y las sondas comunes. En estos casos, podemos omitir la fase de descubrimiento de hosts por completo:

sudo nmap 10.129.2.18 -Pn

La opción -Pn le dice a Nmap que asuma que el host está activo y proceda directamente al escaneo de puertos. Esto es útil cuando sabemos que el host existe pero no responde al ping.

Ping TCP SYN (`-PS`)

Podemos usar paquetes TCP SYN a puertos específicos para el descubrimiento de hosts:

sudo nmap 10.129.2.0/24 -PS22,80,443

Esto envía paquetes TCP SYN a los puertos 22, 80 y 443. Si algún puerto responde (incluso con un rechazo), el host se marca como activo.

Ping TCP ACK (`-PA`)

Similar al ping SYN, pero usa paquetes ACK:

sudo nmap 10.129.2.0/24 -PA22,80,443

Esto puede ser efectivo contra ciertas configuraciones de firewall que bloquean paquetes SYN.

Ping UDP (`-PU`)

Algunos hosts podrían tener TCP completamente filtrado pero responder a paquetes UDP:

sudo nmap 10.129.2.0/24 -PU53,161

Esto envía paquetes UDP a los puertos DNS (53) y SNMP (161), que comúnmente responden incluso en sistemas muy restringidos.

Ping SCTP INIT (`-PY`)

Para redes que usan el protocolo SCTP (común en telecomunicaciones):

sudo nmap 10.129.2.0/24 -PY132

Esto envía paquetes SCTP INIT al puerto 132.

Ping de Protocolo IP (`-PO`)

Esta técnica utiliza varios protocolos IP para descubrir hosts:

sudo nmap 10.129.2.0/24 -PO1,2,4

Esto envía paquetes IP con los números de protocolo 1 (ICMP), 2 (IGMP) y 4 (IP-in-IP).

Descubrimiento en Diferentes Entornos

Diferentes entornos de red requieren diferentes enfoques de descubrimiento:

Red Local (Misma Subred)

En una red local, el escaneo ARP es lo más eficiente:

sudo nmap 192.168.1.0/24 -sn

Nmap utiliza automáticamente solicitudes ARP para hosts en la misma subred.

Redes Remotas (A través de Routers)

Para redes remotas, usá una combinación de métodos ICMP y TCP:

sudo nmap 10.0.0.0/24 -sn -PE -PS22,80,443 -PA80,443

Esto combina solicitudes ICMP echo con sondas TCP SYN y ACK a puertos comúnmente abiertos en servidores.

Redes Muy Filtradas

Para redes con firewalls estrictos:

sudo nmap 10.0.0.0/24 -Pn -p 80,443

Esto omite por completo el descubrimiento de hosts y escanea puertos específicos en todas las direcciones.

Redes Empresariales Grandes

Para escanear grandes redes eficientemente:

sudo nmap 10.0.0.0/16 -sn --min-hostgroup 512 --min-rate 1000

Esto optimiza la velocidad aumentando el tamaño del grupo de hosts y la tasa de paquetes.

Fundamentos del Escaneo de Puertos

Una vez que identificamos los hosts activos, el siguiente paso es determinar qué puertos están abiertos. Exploremos los conceptos básicos del escaneo de puertos.

Entendiendo los Estados de Puerto

Nmap reporta seis posibles estados para los puertos escaneados:

open (abierto): Una aplicación está aceptando activamente conexiones
closed (cerrado): El puerto es accesible pero ninguna aplicación está escuchando
filtered (filtrado): Nmap no puede determinar si está abierto porque un firewall está bloqueando las sondas
unfiltered (sin filtrar): El puerto es accesible pero Nmap no puede determinar si está abierto o cerrado
open|filtered (abierto|filtrado): Nmap no puede determinar si el puerto está abierto o filtrado
closed|filtered (cerrado|filtrado): Nmap no puede determinar si el puerto está cerrado o filtrado

Escaneo Básico de Puertos TCP

El tipo de escaneo más común es el escaneo TCP SYN:

sudo nmap 10.129.2.28 --top-ports=10

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 15:36 EDT
Nmap scan report for 10.129.2.28
Host is up (0.021s latency).

PORT     STATE    SERVICE
21/tcp   closed   ftp
22/tcp   open     ssh
23/tcp   closed   telnet
25/tcp   open     smtp
80/tcp   open     http
110/tcp  open     pop3
139/tcp  filtered netbios-ssn
443/tcp  closed   https
445/tcp  filtered microsoft-ds
3389/tcp closed   ms-wbt-server
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 1.44 seconds

Rastreando Paquetes Durante un Escaneo

Para entender qué está pasando durante un escaneo de puertos, usá la opción de rastreo de paquetes:

sudo nmap 10.129.2.28 -p 21 --packet-trace -Pn -n --disable-arp-ping

Mostrar Salida de Ejemplo (Puerto Cerrado)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 15:39 EDT
SENT (0.0429s) TCP 10.10.14.2:63090 > 10.129.2.28:21 S ttl=56 id=57322 iplen=44 seq=1699105818 win=1024 <mss 1460>
RCVD (0.0573s) TCP 10.129.2.28:21 > 10.10.14.2:63090 RA ttl=64 id=0 iplen=40 seq=0 win=0
Nmap scan report for 10.129.2.28
Host is up (0.014s latency).

PORT   STATE  SERVICE
21/tcp closed ftp
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds

En este ejemplo:

Nmap envía un paquete TCP con el flag SYN (S)
El objetivo responde con un paquete que contiene los flags RST y ACK (RA)
Esto indica que el puerto está cerrado

Entendiendo Puertos Filtrados

Cuando un puerto se muestra como "filtered" (filtrado), típicamente significa que un firewall está bloqueando el acceso:

sudo nmap 10.129.2.28 -p 139 --packet-trace -n --disable-arp-ping -Pn

Mostrar Salida de Ejemplo (Filtrado - Descartado)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 15:45 EDT
SENT (0.0381s) TCP 10.10.14.2:60277 > 10.129.2.28:139 S ttl=47 id=14523 iplen=44 seq=4175236769 win=1024 <mss 1460>
SENT (1.0411s) TCP 10.10.14.2:60278 > 10.129.2.28:139 S ttl=45 id=7372 iplen=44 seq=4175171232 win=1024 <mss 1460>
Nmap scan report for 10.129.2.28
Host is up.

PORT    STATE    SERVICE
139/tcp filtered netbios-ssn
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds

Notá que Nmap envía múltiples paquetes SYN pero no recibe respuesta, indicando que el puerto está filtrado (probablemente descartado por un firewall).

Comportamiento del Firewall: Reject vs. Drop

Los firewalls pueden manejar el tráfico no deseado de dos maneras:

Reject (Rechazar): Enviar de vuelta un mensaje de error (usualmente RST o ICMP inalcanzable)
Drop (Descartar): Descartar silenciosamente los paquetes sin ninguna respuesta

Acá hay un ejemplo de una conexión rechazada:

sudo nmap 10.129.2.28 -p 445 --packet-trace -n --disable-arp-ping -Pn

Mostrar Salida de Ejemplo (Filtrado - Rechazado)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 15:55 EDT
SENT (0.0388s) TCP 10.10.14.2:52472 > 10.129.2.28:445 S ttl=49 id=21763 iplen=44 seq=1418633433 win=1024 <mss 1460>
RCVD (0.0487s) ICMP [10.129.2.28 > 10.10.14.2 Port 445 unreachable (type=3/code=3)] IP [ttl=64 id=20998 iplen=72]
Nmap scan report for 10.129.2.28
Host is up (0.0099s latency).

PORT    STATE    SERVICE
445/tcp filtered microsoft-ds
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 0.05 seconds

Acá, el firewall rechaza activamente la conexión con un mensaje ICMP "port unreachable" (puerto inalcanzable).

Escaneo de Puertos UDP

Aunque el escaneo TCP es más común, el escaneo UDP es crucial para una evaluación de seguridad completa. El escaneo UDP se realiza con la opción -sU:

sudo nmap 10.129.2.28 -F -sU

Mostrar Salida de Ejemplo

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 16:01 EDT
Nmap scan report for 10.129.2.28
Host is up (0.059s latency).
Not shown: 95 closed ports
PORT     STATE         SERVICE
68/udp   open|filtered dhcpc
137/udp  open          netbios-ns
138/udp  open|filtered netbios-dgm
631/udp  open|filtered ipp
5353/udp open          zeroconf
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 98.07 seconds

El escaneo UDP es más lento porque:

UDP no tiene conexión (connectionless) y no hay handshake
Los puertos abiertos a menudo no responden a paquetes UDP vacíos
Los puertos cerrados deberían enviar mensajes ICMP "port unreachable"
La limitación de tasa (rate limiting) a menudo afecta estos mensajes ICMP

Examinando Respuestas UDP

Miremos un puerto UDP abierto:

sudo nmap 10.129.2.28 -sU -Pn -n --disable-arp-ping --packet-trace -p 137

Mostrar Salida de Ejemplo (UDP Abierto)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 16:15 EDT
SENT (0.0367s) UDP 10.10.14.2:55478 > 10.129.2.28:137 ttl=57 id=9122 iplen=78
RCVD (0.0398s) UDP 10.129.2.28:137 > 10.10.14.2:55478 ttl=64 id=13222 iplen=257
Nmap scan report for 10.129.2.28
Host is up (0.0031s latency).

PORT    STATE SERVICE
137/udp open  netbios-ns
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 0.04 seconds

Y un puerto UDP cerrado:

sudo nmap 10.129.2.28 -sU -Pn -n --disable-arp-ping --packet-trace -p 100

Mostrar Salida de Ejemplo (UDP Cerrado)

Starting Nmap 7.94 ( https://nmap.org ) at 2025-04-14 16:25 EDT
SENT (0.0445s) UDP 10.10.14.2:63825 > 10.129.2.28:100 ttl=57 id=29925 iplen=28
RCVD (0.1498s) ICMP [10.129.2.28 > 10.10.14.2 Port unreachable (type=3/code=3)] IP [ttl=64 id=11903 iplen=56]
Nmap scan report for 10.129.2.28
Host is up (0.11s latency).

PORT    STATE  SERVICE
100/udp closed unknown
MAC Address: DE:AD:00:00:BE:EF

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

Guardando y Gestionando Resultados

Es esencial guardar los resultados del escaneo para documentación, comparación y reportes.

Guardando en Diferentes Formatos

Nmap puede guardar resultados en tres formatos principales:

# Guardar en todos los formatos con un comando
sudo nmap 10.129.2.28 -p- -oA objetivo

Esto crea:

objetivo.nmap (formato de texto normal)
objetivo.gnmap (formato grepable)
objetivo.xml (formato XML)

Formato de Salida Normal (`.nmap`)

Contiene la misma salida vista en la terminal.

# Nmap 7.94 scan initiated Tue Apr 14 12:14:53 2025 as: nmap -p- -oA objetivo 10.129.2.28
Nmap scan report for 10.129.2.28
Host is up (0.053s latency).
Not shown: 65525 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
MAC Address: DE:AD:00:00:BE:EF

# Nmap done at Tue Apr 14 12:15:03 2025 -- 1 IP address (1 host up) scanned in 10.22 seconds

Formato de Salida Grepable (`.gnmap`)

Diseñado para facilitar el análisis con herramientas como grep.

# Nmap 7.94 scan initiated Tue Apr 14 12:14:53 2025 as: nmap -p- -oA objetivo 10.129.2.28
Host: 10.129.2.28 ()    Status: Up
Host: 10.129.2.28 ()    Ports: 22/open/tcp//ssh///, 25/open/tcp//smtp///, 80/open/tcp//http///    Ignored State: closed (65525)
# Nmap done at Tue Apr 14 12:14:53 2025 -- 1 IP address (1 host up) scanned in 10.22 seconds

Formato de Salida XML (`.xml`)

Proporciona datos estructurados que pueden ser procesados por otras herramientas.

Mostrar Ejemplo XML

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE nmaprun>
<?xml-stylesheet href="file:///usr/local/bin/../share/nmap/nmap.xsl" type="text/xsl"?>
<nmaprun scanner="nmap" args="nmap -p- -oA objetivo 10.129.2.28" start="1713013200" startstr="Tue Apr 14 12:15:00 2025" version="7.94" xmloutputversion="1.04">
<scaninfo type="syn" protocol="tcp" numservices="65535" services="1-65535"/>
<verbose level="0"/>
<debugging level="0"/>
<host starttime="1713013200" endtime="1713013210"><status state="up" reason="arp-response" reason_ttl="0"/>
<address addr="10.129.2.28" addrtype="ipv4"/>
<address addr="DE:AD:00:00:BE:EF" addrtype="mac" vendor="Intel Corporate"/>
<hostnames>
</hostnames>
<ports><extraports state="closed" count="65525">
<extrareasons reason="resets" count="65525"/>
</extraports>
<port protocol="tcp" portid="22"><state state="open" reason="syn-ack" reason_ttl="64"/><service name="ssh" method="table" conf="3"/></port>
<port protocol="tcp" portid="25"><state state="open" reason="syn-ack" reason_ttl="64"/><service name="smtp" method="table" conf="3"/></port>
<port protocol="tcp" portid="80"><state state="open" reason="syn-ack" reason_ttl="64"/><service name="http" method="table" conf="3"/></port>
</ports>
<times srtt="52614" rttvar="75640" to="355174"/>
</host>
<runstats><finished time="1713013210" timestr="Tue Apr 14 12:15:10 2025" elapsed="10.22" summary="Nmap done at Tue Apr 14 12:15:10 2025; 1 IP address (1 host up) scanned in 10.22 seconds" exit="success"/><hosts up="1" down="0" total="1"/>
</runstats>
</nmaprun>

Creando Reportes HTML

La salida XML puede convertirse a HTML para una mejor legibilidad usando `xsltproc`:

xsltproc objetivo.xml -o objetivo.html

Esto crea un reporte HTML bien formateado que es fácil de compartir con miembros del equipo o clientes.

Ejercicios Prácticos

Ejercicio 1: Comparación de Descubrimiento de Hosts

Compará diferentes técnicas de descubrimiento de hosts en tu red de laboratorio:

# Escaneo ping estándar
sudo nmap -sn 192.168.1.0/24 -oN escaneo_ping.txt

# Ping TCP SYN a puertos comunes
sudo nmap -PS22,80,443 -sn 192.168.1.0/24 -oN ping_syn.txt

# Ping TCP ACK a puertos comunes
sudo nmap -PA22,80,443 -sn 192.168.1.0/24 -oN ping_ack.txt

# Ping UDP a puertos comunes
sudo nmap -PU53,161 -sn 192.168.1.0/24 -oN ping_udp.txt

Compará los resultados:

¿Qué técnica encontró más hosts?
¿Hubo hosts encontrados por un método pero no por otros?
¿Qué método fue más rápido?

Ejercicio 2: Detección de Firewall

Identificá hosts con firewalls analizando los estados de los puertos:

# Escanear puertos comunes
sudo nmap -p 21,22,23,25,80,443,445,3389 192.168.1.0/24 -oN test_firewall.txt

Analizá los resultados:

¿Qué hosts muestran puertos "filtered"?
¿Podés determinar qué tipo de firewall podría estar en uso?
Probá un escaneo más agresivo en un host filtrado:

sudo nmap -p 21,22,23,25,80,443,445,3389 -A --reason 192.168.1.x

Ejercicio 3: Descubrimiento de Servicios UDP

Identificá servicios UDP en tu red:

# Escaneo UDP rápido de puertos comunes
sudo nmap -sU --top-ports=20 192.168.1.0/24 -oN servicios_udp.txt

Analizá los resultados:

¿Qué servicios UDP se están ejecutando en tu red?
¿Hay algún servicio inesperado?
¿Cuántos puertos se muestran como "open|filtered" versus definitivamente "open"?

Ejercicio 4: Comparación de Resultados de Escaneo

Realizá escaneos en diferentes momentos y compará los resultados:

# Escaneo matutino
sudo nmap -sS 192.168.1.0/24 -oX manana.xml

# Escaneo vespertino
sudo nmap -sS 192.168.1.0/24 -oX tarde.xml

# Comparar usando ndiff
ndiff manana.xml tarde.xml > diferencias.txt

Analizá las diferencias:

¿Aparecieron o desaparecieron hosts?
¿Cambió el estado de algún puerto?
¿Qué podría explicar estos cambios?

Resolución de Problemas Comunes

No se Encontraron Hosts

Problema: Tu escaneo no encuentra ningún host, aunque sabés que existen.

Soluciones:

Probá deshabilitando el descubrimiento de hosts: nmap -Pn 192.168.1.0/24
Usá múltiples métodos de descubrimiento: nmap -PS22,80 -PA443 -PU161 -sn 192.168.1.0/24
Verificá tu conexión de red y el enrutamiento
Verificá que tenés permiso para escanear la red objetivo

Escaneos UDP Lentos

Problema: Los escaneos UDP tardan muchísimo en completarse.

Soluciones:

Limitá los puertos: nmap -sU --top-ports=20 192.168.1.0/24
Aumentá el timing: nmap -sU -T4 --top-ports=20 192.168.1.0/24
Aumentá la tasa de paquetes: nmap -sU --min-rate=1000 --top-ports=20 192.168.1.0/24

Problemas de Permisos

Problema: Ves "Note: Host seems down" (Nota: El host parece caído) o no podés ejecutar ciertos tipos de escaneo.

Solución:

Ejecutá Nmap con sudo o privilegios de administrador:

sudo nmap -sS 192.168.1.1

Resultados Inconsistentes

Problema: Obtenés resultados diferentes al escanear el mismo objetivo varias veces.

Soluciones:

Usá un timing más agresivo: nmap -T4 192.168.1.0/24
Aumentá los reintentos: nmap --max-retries 3 192.168.1.0/24
Probá diferentes técnicas de escaneo y compará los resultados

Puntos Clave

El descubrimiento de hosts es el primer paso crucial en el reconocimiento de redes
Diferentes técnicas de descubrimiento funcionan mejor en diferentes entornos
Entender las interacciones de paquetes ayuda a interpretar los resultados del escaneo
El escaneo UDP es esencial pero requiere paciencia e interpretación
Guardar los resultados del escaneo en múltiples formatos permite la documentación y comparación
Combinar múltiples técnicas de escaneo proporciona la visión más completa

Próximos Pasos

En el próximo episodio, exploraremos:

Técnicas de escaneo de puertos con mayor profundidad
Tipos de escaneo TCP y sus casos de uso específicos
Timing del escaneo y optimización del rendimiento
Evadiendo sistemas de firewall e IDS
Personalizando escaneos para entornos específicos

Recursos Adicionales

Docs Oficiales Nmap: Descubrimiento de Hosts

Libro Nmap: Especificación de Objetivos

Libro Nmap: Técnicas de Escaneo de Puertos

Demostración en Video

Nota: Usá este video como guía visual para complementar el material escrito.

Quiz

Knowledge Check

Test your understanding with these questions

1. ¿Cuál es el propósito principal del descubrimiento de hosts en el escaneo de redes?

Easy

2. ¿Qué opción de Nmap se utiliza para realizar un escaneo ping, deshabilitando el escaneo de puertos?

Medium

3. ¿Cuál es la técnica de descubrimiento de hosts más eficiente para usar al escanear hosts en el mismo segmento de red local?

Medium

5. Al usar la opción `-oA` para guardar los resultados del escaneo de Nmap, ¿en qué tres formatos se guardan los resultados?

Easy

Episodio 2: Descubrimiento de Hosts - Encontrando Sistemas Activos

Introducción

La Importancia del Descubrimiento de Hosts

Técnicas de Descubrimiento de Hosts

Solicitudes ICMP Echo (Ping)

Escaneando desde una Lista de Hosts

Escaneando Múltiples Direcciones IP

Entendiendo Cómo Funciona el Descubrimiento de Hosts

Examinando el Proceso de Descubrimiento

Entendiendo las Razones de Detección

Forzando Solicitudes ICMP Echo

Técnicas Avanzadas de Descubrimiento de Hosts

Sin Escaneo Ping (-Pn)

Ping TCP SYN (-PS)

Ping TCP ACK (-PA)

Ping UDP (-PU)

Ping SCTP INIT (-PY)

Ping de Protocolo IP (-PO)

Descubrimiento en Diferentes Entornos

Red Local (Misma Subred)

Redes Remotas (A través de Routers)

Redes Muy Filtradas

Redes Empresariales Grandes

Fundamentos del Escaneo de Puertos

Entendiendo los Estados de Puerto

Escaneo Básico de Puertos TCP

Rastreando Paquetes Durante un Escaneo

Entendiendo Puertos Filtrados

Comportamiento del Firewall: Reject vs. Drop

Escaneo de Puertos UDP

Examinando Respuestas UDP

Guardando y Gestionando Resultados

Guardando en Diferentes Formatos

Formato de Salida Normal (.nmap)

Formato de Salida Grepable (.gnmap)

Formato de Salida XML (.xml)

Creando Reportes HTML

Ejercicios Prácticos

Ejercicio 1: Comparación de Descubrimiento de Hosts

Ejercicio 2: Detección de Firewall

Ejercicio 3: Descubrimiento de Servicios UDP

Ejercicio 4: Comparación de Resultados de Escaneo

Resolución de Problemas Comunes

No se Encontraron Hosts

Escaneos UDP Lentos

Problemas de Permisos

Resultados Inconsistentes

Puntos Clave

Próximos Pasos

Recursos Adicionales

Docs Oficiales Nmap: Descubrimiento de Hosts

Libro Nmap: Especificación de Objetivos

Libro Nmap: Técnicas de Escaneo de Puertos

Demostración en Video

Quiz

Knowledge Check

Episodio 2: Descubrimiento de Hosts - Encontrando Sistemas Activos

Introducción

La Importancia del Descubrimiento de Hosts

Técnicas de Descubrimiento de Hosts

Solicitudes ICMP Echo (Ping)

Escaneando desde una Lista de Hosts

Escaneando Múltiples Direcciones IP

Entendiendo Cómo Funciona el Descubrimiento de Hosts

Examinando el Proceso de Descubrimiento

Entendiendo las Razones de Detección

Forzando Solicitudes ICMP Echo

Técnicas Avanzadas de Descubrimiento de Hosts

Sin Escaneo Ping (-Pn)

Ping TCP SYN (-PS)

Ping TCP ACK (-PA)

Ping UDP (-PU)

Ping SCTP INIT (-PY)

Ping de Protocolo IP (-PO)

Descubrimiento en Diferentes Entornos

Red Local (Misma Subred)

Redes Remotas (A través de Routers)

Redes Muy Filtradas

Redes Empresariales Grandes

Fundamentos del Escaneo de Puertos

Sin Escaneo Ping (`-Pn`)

Ping TCP SYN (`-PS`)

Ping TCP ACK (`-PA`)

Ping UDP (`-PU`)

Ping SCTP INIT (`-PY`)

Ping de Protocolo IP (`-PO`)

Formato de Salida Normal (`.nmap`)

Formato de Salida Grepable (`.gnmap`)

Formato de Salida XML (`.xml`)

Sin Escaneo Ping (`-Pn`)

Ping TCP SYN (`-PS`)

Ping TCP ACK (`-PA`)

Ping UDP (`-PU`)

Ping SCTP INIT (`-PY`)

Ping de Protocolo IP (`-PO`)

Formato de Salida Normal (`.nmap`)

Formato de Salida Grepable (`.gnmap`)

Formato de Salida XML (`.xml`)