Skip to content
PhiloCyber logo
Episodio Anterior: Técnicas de Escaneo de Puertos
Episodio4de 10
Siguiente Episodio: Detección de Servicios

Episodio 4: Tipos Avanzados de Escaneo y Selección de Protocolos

Duración: 1.5 horas (Estimada)

Introducción

¡Bienvenido/a al cuarto episodio de nuestro curso completo de Nmap! Basándonos en los fundamentos del escaneo de puertos que cubrimos en el Episodio 3, este módulo profundizará en tipos de escaneo avanzados y estrategias de selección de protocolos. Aprenderás a elegir y combinar técnicas de escaneo sofisticadas para superar varios desafíos de red y medidas defensivas.

El escaneo avanzado consiste en seleccionar la herramienta adecuada para el trabajo adecuado. Así como un cerrajero utiliza diferentes ganzúas para diferentes cerraduras, un analista de redes experimentado debe saber qué tipo de escaneo proporcionará los resultados más precisos en cada entorno único.

En este episodio, exploraremos tipos de escaneo especializados que van más allá de lo básico, aprenderemos a combinar múltiples técnicas para obtener resultados completos, y desarrollaremos estrategias para escanear en entornos desafiantes como aquellos protegidos por firewalls, sistemas IDS/IPS y otras medidas de seguridad.

Construyendo sobre los Fundamentos del Escaneo de Puertos

Antes de sumergirnos en técnicas avanzadas, repasemos brevemente lo que aprendimos en el Episodio 3 y entendamos cómo los tipos de escaneo avanzados que cubriremos en este episodio se basan en esos fundamentos.

Repaso Rápido del Episodio 3

En el episodio anterior, cubrimos:

  • Fundamentos del protocolo TCP/IP y cómo se relacionan con el escaneo de puertos
  • Los seis estados de puerto en Nmap (abierto, cerrado, filtrado, etc.)
  • Técnicas básicas de escaneo TCP (SYN, Connect, NULL/FIN/Xmas)
  • Escaneo UDP básico y sus desafíos

Ahora construiremos sobre este conocimiento para explorar enfoques de escaneo más sofisticados.

Más Allá de los Escaneos Básicos

Las técnicas de escaneo avanzadas son necesarias cuando:

  • Los escaneos básicos están siendo bloqueados por firewalls o sistemas IDS/IPS
  • Necesitas recopilar información más detallada sobre los servicios
  • Los métodos de escaneo estándar producen resultados ambiguos
  • Estás trabajando con configuraciones de red no estándar
  • El sigilo es una prioridad para evitar la detección

Las técnicas que cubriremos en este episodio están diseñadas para abordar estos desafíos.

Tipos Avanzados de Escaneo TCP

Más allá de los escaneos básicos SYN, Connect y NULL/FIN/Xmas que cubrimos en el Episodio 3, Nmap ofrece varias técnicas de escaneo TCP especializadas para escenarios específicos:

Escaneo TCP ACK (-sA)

El escaneo ACK se utiliza principalmente para mapear conjuntos de reglas de firewall y determinar si son con estado o sin estado:

sudo nmap -sA 192.168.1.1

Cómo funciona:

  1. Nmap envía un paquete ACK (que no forma parte de una conexión establecida)
  2. Si no está filtrado, el objetivo responde con RST (independientemente de si el puerto está abierto o cerrado)
  3. Si está filtrado, no se recibe respuesta o se devuelve un error ICMP
Mostrar Ejemplo de Rastreo de Paquetes
sudo nmap 10.129.2.28 -p 80 -sA --packet-traceSENT (...) TCP ... > ...:80 A ... RCVD (...) TCP ...:80 > ... RA ...

Ventajas:

  • Excelente para mapeo de reglas de firewall
  • Puede evadir filtros de paquetes simples
  • A menudo menos registrado que otros tipos de escaneo

Limitaciones:

  • No puede determinar si los puertos están abiertos o cerrados
  • Solo identifica estados filtrados vs. no filtrados
  • Ineficaz contra firewalls con estado

Escaneo TCP Window (-sW)

El escaneo Window es una variación del escaneo ACK que examina el campo de ventana TCP de los paquetes RST devueltos:

sudo nmap -sW 192.168.1.1

Cómo funciona:

  • Al igual que el escaneo ACK, envía paquetes ACK a los puertos objetivo
  • Analiza el tamaño de ventana TCP en las respuestas RST
  • Algunos sistemas utilizan un tamaño de ventana positivo para puertos abiertos y tamaño de ventana cero para puertos cerrados
  • Este comportamiento es específico de la implementación y no es confiable en todos los sistemas

Aplicación en el Mundo Real

Los escaneos Window son particularmente útiles cuando:

  • Los escaneos ACK muestran puertos no filtrados pero necesitas determinar si están abiertos
  • Estás escaneando sistemas que se sabe que implementan diferenciación de tamaño de ventana
  • Necesitas verificar resultados de otros tipos de escaneo

Escaneo TCP Maimon (-sM)

Nombrado por su descubridor, Uriel Maimon, este escaneo utiliza una sonda FIN/ACK inusual:

sudo nmap -sM 192.168.1.1

Cómo funciona:

  • Envía un paquete FIN+ACK al puerto objetivo
  • Según RFC 793, se debería generar RST independientemente del estado del puerto
  • Algunos sistemas derivados de BSD descartan el paquete para puertos abiertos
  • Al igual que los escaneos NULL/FIN/Xmas, la ausencia de RST sugiere un estado open|filtered

Este tipo de escaneo rara vez se usa hoy en día, ya que la mayoría de los sistemas modernos responden con RST independientemente del estado del puerto, pero se incluye por completitud histórica y escenarios especializados.

Técnicas Avanzadas de Escaneo UDP

El escaneo UDP es inherentemente más desafiante que el escaneo TCP debido a su naturaleza sin conexión. Exploremos técnicas avanzadas para mejorar la precisión y eficiencia del escaneo UDP:

Escaneo UDP con Sondas de Servicio

Combinar el escaneo UDP con la detección de servicios mejora significativamente la precisión:

sudo nmap -sU -sV 192.168.1.1

Cómo funciona:

  • Nmap envía paquetes UDP con cargas útiles específicas del protocolo
  • Por ejemplo, una consulta DNS al puerto 53 o una consulta SNMP al puerto 161
  • Las respuestas válidas confirman que el puerto está abierto e identifican el servicio
  • Este enfoque es mucho más confiable que los paquetes UDP vacíos

Servicios UDP Comunes y Sus Puertos

  • 53: DNS
  • 67/68: DHCP
  • 69: TFTP
  • 123: NTP
  • 161: SNMP
  • 500: IKE (VPN)
  • 514: Syslog
  • 1900: UPnP

Optimización de Rendimiento de Escaneo UDP

Los escaneos UDP pueden ser extremadamente lentos. Aquí hay técnicas para mejorar el rendimiento:

# Escanear solo los puertos UDP más comunes sudo nmap -sU --top-ports 100 192.168.1.1 # Aumentar la plantilla de timing y deshabilitar la resolución DNS sudo nmap -sU -T4 -n --top-ports 20 192.168.1.1 # Escanear servicios UDP específicos sudo nmap -sU -p 53,123,161 192.168.1.1

Estrategias clave de optimización:

  1. Limitar el número de puertos escaneados (--top-ports, -p)
  2. Aumentar la plantilla de timing (-T4 o -T5)
  3. Deshabilitar la resolución DNS (-n)
  4. Aumentar el número de sondas enviadas en paralelo (--min-rate)
  5. Centrarse en puertos que probablemente estén abiertos en tu entorno objetivo

Recuerda que la configuración de timing agresiva puede llevar a puertos perdidos debido a la limitación de tasa o pérdida de paquetes.

Tipos de Escaneo Especializados

Nmap incluye varios tipos de escaneo especializados diseñados para escenarios específicos y reconocimiento avanzado:

Escaneo de Protocolo IP (-sO)

Este escaneo determina qué protocolos IP (TCP, UDP, ICMP, etc.) son compatibles con el objetivo:

sudo nmap -sO 192.168.1.1

Cómo funciona:

  • Envía paquetes IP con diferentes números de protocolo en la cabecera IP
  • Si el protocolo no es compatible, el objetivo puede responder con ICMP protocol unreachable
  • Sin respuesta u otros errores ICMP sugieren que el protocolo podría ser compatible
Mostrar Salida de Ejemplo
Starting Nmap 7.92 ( https://nmap.org )
Nmap scan report for 192.168.1.1
Not shown: 249 closed protocols
PROTOCOL STATE         SERVICE
1       open           icmp
2       open|filtered  igmp
6       open           tcp
17      open           udp
47      open|filtered  gre
50      open|filtered  esp
51      open|filtered  ah
103     open|filtered  pim
108     open|filtered  ipcomp
132     open|filtered  sctp

Este escaneo es útil para descubrir protocolos no estándar y posibles canales encubiertos.

Escaneo FTP Bounce (-b)

Esta técnica utiliza un servidor FTP como proxy para escanear otros hosts:

sudo nmap -b usuario:contraseña@ftp.ejemplo.com 192.168.1.1

Cómo funciona:

  1. Explota el comando PORT del protocolo FTP para escanear sistemas de terceros
  2. Nmap se conecta a un servidor FTP y le solicita que envíe archivos a puertos en el objetivo
  3. Basado en la respuesta del servidor FTP, Nmap determina si los puertos están abiertos

Nota Histórica

Este tipo de escaneo es principalmente de interés histórico, ya que la mayoría de los servidores FTP modernos han deshabilitado esta funcionalidad debido a sus implicaciones de seguridad. Sin embargo, todavía está incluido en Nmap y ocasionalmente es útil cuando se encuentran sistemas heredados.

Escaneo Idle (Zombie) (-sI)

El escaneo idle es una de las técnicas más sofisticadas de Nmap, permitiendo el escaneo completamente ciego:

sudo nmap -sI host_zombie:puerto host_objetivo

Cómo funciona:

  1. Utiliza un host "zombie" de terceros para escanear indirectamente el objetivo
  2. Explota números de secuencia IP ID predecibles en el host zombie
  3. Nmap sondea al zombie para obtener su IP ID actual
  4. Envía paquetes SYN falsificados al objetivo, aparentando venir del zombie
  5. Si el puerto está abierto, el objetivo envía SYN-ACK al zombie, el zombie envía RST, incrementando su IP ID
  6. Nmap sondea al zombie nuevamente para ver si el IP ID aumentó

Técnica Avanzada de Sigilo

El escaneo idle es el único escaneo completamente ciego en Nmap - tu dirección IP nunca aparece en los registros del objetivo. Sin embargo, requiere encontrar un host zombie adecuado con secuencias IP ID predecibles y poco tráfico. Los sistemas modernos con IP IDs aleatorizados han hecho que esta técnica sea menos confiable.

Combinando Tipos de Escaneo

Una de las características más poderosas de Nmap es la capacidad de combinar múltiples técnicas de escaneo en un solo comando. Esto te permite superar las limitaciones de los tipos de escaneo individuales y construir una imagen más completa del objetivo.

Combinaciones de Escaneo Integral

Aquí hay algunas combinaciones de escaneo poderosas para diferentes escenarios:

Descubrimiento de Host Integral y Escaneo de Puertos:

sudo nmap -sS -sU -T4 -A -v 192.168.1.0/24

Combina escaneo SYN y UDP con detección de SO, detección de versión, escaneo de scripts y traceroute.

Escaneo de Evasión de Firewall:

sudo nmap -sS -sV -T2 -f --data-length 200 --randomize-hosts 192.168.1.1

Utiliza paquetes fragmentados, longitud de datos aleatoria, timing más lento y aleatorización de hosts para evadir la detección.

Barrido de Red Rápido con Detección de Servicio:

sudo nmap -sV -F -T4 --version-intensity 2 192.168.1.0/24

Escaneo rápido de puertos comunes con detección de versión ligera para mapeo rápido de red.

Estrategia para Combinar Escaneos

  1. Comienza con un escaneo rápido para identificar hosts activos y puertos abiertos
  2. Continúa con escaneos más específicos en hosts interesantes
  3. Utiliza escaneos especializados para investigar anomalías o resultados ambiguos
  4. Equilibra la minuciosidad con las restricciones de tiempo y los requisitos de sigilo

Aplicaciones en el Mundo Real

Las técnicas de escaneo avanzadas cubiertas en este episodio tienen numerosas aplicaciones prácticas:

Evaluaciones de Seguridad Avanzadas

Los profesionales de seguridad utilizan tipos de escaneo especializados para evadir defensas sofisticadas e identificar vulnerabilidades que los escaneos básicos podrían pasar por alto. Los escaneos ACK ayudan a mapear reglas de firewall, mientras que los escaneos idle proporcionan sigilo.

Validación de Reglas de Firewall

Los administradores de red utilizan escaneos ACK y Window para verificar configuraciones de firewall, asegurando que las reglas de filtrado funcionen según lo esperado e identificando posibles configuraciones incorrectas.

Operaciones de Equipo Rojo

Los equipos rojos combinan múltiples tipos de escaneo para crear perfiles completos de objetivos mientras evaden la detección. Técnicas como el escaneo idle y las sondas específicas de protocolo ayudan a mantener el sigilo durante los compromisos.

Verificación de Cumplimiento

Las organizaciones utilizan estrategias de escaneo integral para verificar el cumplimiento de estándares de seguridad como PCI DSS, que requieren escaneos regulares para detectar servicios no autorizados y vulnerabilidades potenciales.

Puntos Clave

  • Los escaneos TCP avanzados como ACK (-sA) y Window (-sW) son valiosos para mapear reglas de firewall e identificar inspección con estado.
  • Los escaneos especializados como IP Protocol (-sO) e Idle Scan (-sI) proporcionan información única sobre configuraciones de red y permiten reconocimiento sigiloso.
  • El escaneo UDP puede optimizarse mediante la selección específica de puertos, sondas específicas de servicio y configuraciones de tiempo adecuadas.
  • Combinar múltiples tipos de escaneo proporciona resultados más completos y precisos que confiar en una sola técnica.
  • Las estrategias de selección de puertos deben equilibrar la minuciosidad con la eficiencia según los objetivos específicos de la evaluación.
  • La configuración de tiempo y rendimiento debe calibrarse cuidadosamente al entorno objetivo para evitar puertos perdidos o detección.
  • Diferentes escenarios de escaneo (redes internas, sistemas expuestos a Internet, entornos de alta seguridad) requieren diferentes enfoques y combinaciones de técnicas.

Próximos Pasos

En el próximo episodio, exploraremos la detección de servicios y versiones:

  • Cómo Nmap identifica versiones específicas de servicios que se ejecutan en puertos abiertos.
  • Uso de la opción -sV y comprensión de los niveles de intensidad de versión.
  • Interpretación de resultados de fingerprinting de servicios y niveles de confianza.
  • Técnicas para identificar servicios que se ejecutan en puertos no estándar.
  • Equilibrar la minuciosidad de la detección de versiones con la velocidad y el sigilo del escaneo.

Recursos Adicionales

Libro Nmap: Técnicas Avanzadas de Escaneo de Puertos

Libro Nmap: Escaneo Idle

Libro Nmap: Rendimiento y Optimización

Libro Nmap: Evasión de Firewall/IDS

Demostración en Video

Mira la demostración en video para ver estas técnicas avanzadas de escaneo en acción.

Quiz

Knowledge Check

1. ¿Cuál es el propósito principal de un escaneo TCP ACK (-sA) en Nmap?

2. ¿Cuál de los siguientes tipos de escaneo te permite escanear un objetivo sin revelar tu dirección IP en los registros del objetivo?

3. Al optimizar el rendimiento del escaneo UDP, ¿qué enfoque sería el MENOS efectivo?

4. ¿Para qué se utiliza el escaneo de Protocolo IP (-sO)?

5. ¿Cuál de las siguientes combinaciones de escaneo sería más apropiada para un escaneo completo pero sigiloso de un entorno de alta seguridad?

Continuar al Episodio 5: Detección de Servicios y Versiones