01 Aspectos Básicos de Redes

Aspectos Bsicos de Redes
Al finalizar el captulo, el alumno podr:
Identificar los campos ms importantes de los protocolos: ICMP, IP, TCP y

UDP.
Reconocer los distintos tipos de patrones de ataque en el trfico de red.
Manejar herramientas de software de deteccin de sistemas operativos.
Temas:
1.
Suite TCP/IP.
2.
Fragmentacin.
3.
Internet Control Message Protocol (ICMP).
4.
Teora de estmulo y respuesta.
5.
Uso de NMAP para escaneo de redes
CIBERTEC
1.
Suite TCP/IP
La suite TCP/IP es el stack de protocolos utilizado para comunicaciones en Internet y

en redes privadas. Se encuentra compuesto de 4 capas:
A. Interfase de red
Define las capas fsica y enlace del modelo OSI, as como, el modo en el que
TCP/IP accede a las redes de transporte de datos, tanto LAN como WAN. Sin
embargo, no define el funcionamiento de la red, slo cmo se accede a ella.
B. Internet
La capa de red del modelo OSI define el modo en que son encaminados los
paquetes, a travs de rutas lgicas, bajo un determinado formato de paquetes,
que incluyen direcciones fuente y destino, siguiendo un esquema de
direccionamiento. Entre otras funciones tiene:
Especifica las direcciones lgicas, a travs de las cuales se identificar a
cada uno de los sistemas accesibles desde Internet.
Define un modo de comunicacin no orientado a conexin basado en el
mejor esfuerzo, es decir, los protocolos de enrutamiento definen las mejores
rutas para que un paquete llegue a su destino. En esta capa no se exige
confirmacin de llegada de paquetes al destino.
Realiza el proceso de asociacin de direcciones fsicas con direcciones
Internet.
CIBERTEC
Provee fragmentacin y reensamblaje de paquetes para soportar enlaces de

datos con tamaos distintos de unidades de transmisin (Maximum
Transmisin Unit, MTU).
C. Transporte
Este protocolo est descrito en el RFC 793 y es un servicio orientado a
conexin, y de naturaleza confiable. Tiene una conexin punto a punto, cuyas
caractersticas principales son:
Slo existe una ruta de destino, es decir, un punto por el cual el paquete
ingresa y sale.
Los paquetes tienen identificadores que indican el orden en el cual fueron
enviados.
Corresponde a la capa de transporte del modelo OSI.
Provee control de errores.
Maneja la secuencia de datos.
Mantiene la integridad de los datos.
En esta capa se segmentan los datos que provienen de la capa de aplicacin.

Presenta dos tipos de protocolos: Transmission Control Protocol (TCP), el
cual ofrece servicios orientados a conexin y User Datagram Protocol (UDP),
el cual no ofrece servicios orientados a conexin.
Tipos de conexin
Servicios orientados a conexin: primero deben establecer una conexin
antes de transferir algn dato.
Consta de 3 fases:
Establecimiento de conexin
Transferencia de datos
Finalizacin de conexin
Servicios no orientados a conexin: transmite datos sin necesidad de

establecer una conexin previamente.
D. Aplicacin
Esta capa agrupa las tres capas superiores del modelo OSI (Sesion,
Presentacin y Aplicacin). La aplicacin es el cliente del protocolo de la capa
de transporte que es utilizado para enviar o recibir una secuencia de mensajes.
CIBERTEC
2.
Fragmentacin
La fragmentacin permite el paso de paquetes de gran tamao (hasta 1420 bytes), a

travs de redes que slo permiten paquetes de tamao pequeo a mediano (64 a 256
bytes). La fragmentacin se puede dar de 2 formas: fragmentacin normal y anormal.
2.1. Fragmentacin Normal de Paquetes

A nivel de la cabecera IP, existen 2 campos que regulan la fragmentacin de
paquetes: Flags y Fragment Offset.
La fragmentacin se da cuando el paquete IP viaja de una red a otra, donde las
redes tienen especificado un mximo MTU (Maximum Transmisin Unit) que
limita la longitud del paquete en ese segmento de red. Por lo tanto, cuando cada
paquete es mayor al MTU especificado, ste es fragmentado.
El tamao mximo -llamado MTU- de los paquetes a enviar puede variar
dependiendo del medio fsico utilizado para la transmisin.
El valor mximo que tcnicamente puede utilizarse para un datagrama IP es de
65536 bytes, aunque en la prctica se utilizan otros tamaos mucho ms
pequeos:
Ethernet: 1518 bytes (tpicamente 1500 bytes).

PPPoE: 1492 bytes.
ATM: 8190 bytes.
FDDI: 4470 bytes.
PPP: 576 bytes.
CIBERTEC
En la fragmentacin normal de paquetes se tiene una serie de consideraciones,

tales como:
Hay una secuencia de los paquetes fragmentados, de tal manera que son
ubicados en una posicin especfica en el buffer de almacenamiento.
Hay un reclculo de los campos header length, total length y header
checksum.
Un paquete no fragmentado tiene toda la informacin de fragmentacin con
valor 0, esto es, los campos more fragments y fragment offset son 0. Cuando
se ejecuta la fragmentacin, se efectan los siguientes pasos.
El campo flag Dont Fragment (DF) es revisado para ver si es permitida la
fragmentacin. Si el bit es puesto a 1, el paquete ser descartado y un
mensaje de error ser enviado al emisor por medio de un paquete ICMP.
Basado en el valor MTU, el campo de datos es dividido en 2 ms partes.
Todas las nuevas porciones de datos creados deben tener una longitud que
sea mltiplo de 8 bytes, con la excepcin de la ltima porcin de datos.
Todas las porciones de datos son ubicadas en paquetes IP. Las cabeceras de
paquetes son copias del original con algunas modificaciones.
- El bit del campo More Fragments (MF) es fijado a 1 en todos los
fragmentos menos en el ltimo.
- El campo fragment offset es fijado en cada paquete a la ubicacin de
la porcin de datos, ocupado en el paquete original relativo al comienzo
del paquete original no fragmentado. El offset es medido en unidades
de 8 bytes.
- Si fueron incluidas opciones en el paquete original, el bit de alto orden
del tipo de opcin, determina si ellos sern o no, copiados a todos los
paquetes fragmentados o slo en el primero. Por instancia, la opcin
Source Route tiene que ser copiado en todos los fragmentos y por lo
tanto, ellos tienen este bit fijado a 1.
- El campo header length del nuevo paquete es fijado.
- El campo total length del nuevo paquete es fijado.
- El campo header checksum es recalculado.
Cada uno de estos paquetes fragmentados es dirigido ahora, como un
paquete normal IP. Luego, IP maneja cada fragmento de manera
independiente, por lo que el fragmento puede atravesar diferentes ruteadores
hacia su destino y puede ser sujeto de mayor fragmentacin si pasa a travs
de una red que maneja MTUs ms pequeos.
En el host destino, todos los paquetes son reensamblados en el mensaje
original. El campo de identificacin de los paquetes fue fijado por el host emisor
en un nmero nico. Como la fragmentacin no altera este campo, los
fragmentos que llegan en el lado receptor pueden ser identificados por este
campo el cual es utilizado con la direccin fuente y destino en el paquete.
En orden a reensamblar los fragmentos, el host receptor asigna un buffer de
almacenamiento tan pronto como el primer fragmento llega. Un temporizador de
rutina es iniciado. Cuando el tiempo del temporizador termina y no llegan todos
los fragmentos, el paquete es descartado.
CIBERTEC
Cuando los fragmentos subsecuentes del paquete principal llegan antes de que
el temporizador expire, el dato es copiado en el buffer de almacenamiento en la
ubicacin indicada por el campo fragment offset.
Proceso de fragmentacin de un paquete de 4028 bytes
En el paquete original, la suma de las cabeceras y los datos ICMP suman 4028 bytes.
Este paquete al ser transmitido en una red Ethernet deber ser fragmentado,
generandose as 3 paquetes de 1500 bytes o menos. Cada fragmento llevar
obligatoriamente al menos la cabecera IP (necesaria para saber hacia dnde se dirige
el fragmento), que en este caso ocupa 20 bytes, as que tendremos realmente 1480
bytes tiles.
El primer fragmento contendr la Cabecera IP + la cabecera ICMP + la informacin
restante para llegar a 1500 bytes, en este caso 1472 bytes. Puesto que es el primer
fragmento, el valor de Offset valdr 0 y el bit MF valdr 1 ya que hay ms paquetes.
CIBERTEC
El segundo fragmento contendr la Cabecera IP + la informacin restante para llegar

a 1500 bytes, en este caso 1480. Ahora el valor de Offset valdr 1480, ya que es la
posicin que debe ocupar al ensamblar el fragmento (recordemos que el primer
fragmento tena 8+1472 = 1480). El bit MF valdr 1 ya que no es el ltimo paquete.
El tercer fragmento contendr la Cabecera IP + la informacin restante, en este caso
1048 bytes (ya no hay ms bytes). El valor de Offset valdr 2960, ya que el primer y
segundo fragmento ocupaban 1480 cada uno. El bit MF se establece a 0 porque es el
ltimo fragmento del paquete.
2.2. Fragmentacin anormal de Paquetes

Existen ataques que se aprovechan de la capacidad de fragmentacin para
anular sistemas. Dentro de estos ataques destacan:
A. Teardrop / Teardrop2
Los ataques de tipo Teardrop toman ventaja del cdigo que no es
apropiadamente reensamblado, sobrescribiendo paquetes UDP. El ataque
empieza mediante la fragmentacin de un paquete UDP que es enviado hacia
el host vctima.
El primer paquete tiene un tamao y un identificador de desplazamiento. El
siguiente paquete tiene un desplazamiento de inicio que no corresponde al
del paquete previo y que es menor al que corresponde. Cuando el host
vctima trata de reensamblar el paquete original, queda fuera de servicio. Los
sistemas operativos propensos a este ataque son Linux y Windows (9x, Me,
NT/2000) sin parchar.
Teardrop es un ataque de tipo Denial Of Service cuyo resultado es la famosa
pantalla azul de la muerte la cual muestra el mensaje de error: STOP
0x0000000A. Aunque los sistemas parchados pueden tolerar este ataque,
puede consumir tiempo de procesador, memoria y ancho de banda.
La diferencia entre Teardrop y Teardrop2 es que en este ltimo, los 20 ltimos
bytes son utilizados para padding de datos y adems, hace spoofing de la
longitud de datos UDP.
B. Ping of death
El ping de la muerte anula un sistema envindole un paquete ICMP tipo PING
que es mayor a 65535 bytes. Tericamente, el tamao mximo de un paquete
es 65535 bytes y por lo tanto, es imposible enviar un paquete mayor a ste.
Un atacante crea un paquete mayor a 65535 bytes y lo enva fragmentado
hacia el host vctima. Los paquetes son fragmentados en el host origen y es
reensamblado al llegar al host vctima. Este proceso causa un buffer overflow
en la vctima anulndola por completo, ya que el sistema no est preparado
para manejar un paquete de este tamao.
CIBERTEC
C. ICMP
ICMP es un protocolo estndar descrito en los RFC 792 y 950. Es utilizado
cuando un ruteador o host destino, debe informar al host o ruteador fuente,
acerca de errores en el procesamiento de los paquetes. Tiene como
propsito, proveer retroalimentacin acerca de problemas en el ambiente de
comunicacin.
CIBERTEC
3.
ICMP Internet Control Messages Protocol
ICMP es un protocolo estndar descrito en los RFC 792 y 950. Es utilizado cuando un
ruteador o host destino, debe informar al host o ruteador fuente, acerca de errores en
el procesamiento de los paquetes. Tiene como propsito, proveer retroalimentacin
acerca de problemas en el ambiente de comunicacin.
No existen mecanismos que permitan indicar que los paquetes han sido entregados.
Algunos paquetes pueden no ser entregados. Adems, los protocolos de alto nivel que
utilizan IP deben implementar sus propios procedimientos de confiabilidad si desean
una comunicacin confiable.
ICMP es aparentemente un protocolo simple; sin embargo, puede ser utilizado con
propsitos destructivos.
3.1. Teora de ICMP

El Protocolo de Mensajes de Control de Internet - ICMP (Internet Control
Message Protocol) es un protocolo que para su funcionamiento se apoya sobre
el protocolo IP dentro de la arquitectura TCP/IP. Su misin es informar del
estado y situaciones de error en el funcionamiento de la capa de red, sobre
todo, de aspectos como el encaminamiento, congestin, fragmentacin, etc.
CIBERTEC
10
Los mensajes ICMP son transmitidos en el interior de datagramas IP, como se

muestra en la siguiente figura.
El mensaje ICMP consta de una cabecera, donde aparecen los campos tipo,
cdigo, SVT e informacin variable, y un cuerpo de datos.
A continuacin, se listan algunos tipos de mensajes ICMP comunes.
Tipo 0: Echo Reply
Respuesta de eco
Respuesta al mensaje Echo Request.

El destino no se puede alcanzar, debido a
Tipo 3: Destination
que no se sabe cmo llegar a su direccin
Unreachable
IP, debido a que no se tiene un servidor en
Destino Inaccesible
el puerto solicitado o porque no se pudo

fragmentar un paquete.
Tipo 4: Source Quench
Enviado
por
un
router
cuando
debe
Cadencia de envo
descartar paquetes de entrada porque su
demasiado elevada
cola de salida se ha llenado.
Tipo 5: Redirect
Redireccionar
Tipo 8: Echo Request
Peticin de Eco
Enviado por un router a otro equipo para

indicarle una mejor puerta de enlace para
llegar al destino deseado.
Solicitud de eco, habitualmente generada
por el comando ping.
Tipo 9: Router
Enviado por un router para dar a conocer
Advertisement
un nuevo equipo a la red. Se enva a una
Aviso de Router
direccin de multicast.
Tipo 10: Router Solicitation

Solicitud de router
Enviado por un equipo o router, para pedir

que otros routers enven mensajes Router
Advertisement.
Tipo 11: Time Exceded
Enviado por un router cuando debe eliminar
Tiempo Sobrepasado
un paquete IP porque ha agotado su
CIBERTEC
11
contador de saltos, o enviado por el destino

cuando no recibe a tiempo todos los
fragmentos de un paquete.
Tipo 12: Parameter Problem
Problema de Parmetros
Tipo 13: Timestamp Request
Peticin de marca de tiempo
Tipo 14: Timestamp Reply
Respuesta de marca de
tiempo
Se usa como respuesta para errores que

no tienen un mensaje ICMP especfico.
Solicita un paquete Timestamp Reply.
Contiene una marca de tiempo del equipo

que lo enva, que permite calcular retardos.
Tipo 17: Address Mask

Request
El router que recibe este mensaje debe
Peticin de Mscara de
responder con un Address Mask Reply.
Direccin
Tipo 18. Address Mask
Es una respuesta a la peticin de tipo 17,
Reply
con la que un router informa sobre la
Respuesta de Mscara de
mscara correspondiente, a la red por la
Direccin
que recibi la peticin.

Este mensaje lo debe enviar cada router
que encamina o recibe un determinado
Tipo 30. Traceroute Reply

Respuesta de Camino
paquete
IP
que
contiene
la
opcin
Traceroute, aadida a su cabecera.

El mensaje contiene informacin sobre
MTU,
velocidad,
saltos
sobre
la
red
conectada al router.
CIBERTEC
12
Tabla 1 : Tipos de Paquetes ICMP
Con la nueva versin del protocolo IP (IPv6), se definen nuevos mensajes

ICMP que no existen en la versin IPv4.
El campo tipo se complementa con la informacin suministrada por el campo
cdigo. En funcin del valor que tomen ambos, el receptor del mensaje puede
obtener informacin muy concreta acerca de cul es el estado de
funcionamiento de la red.
Asimismo, el campo SVT se denomina secuencia de verificacin de trama y
consiste en una suma de control de todo el paquete ICMP.
Los siguientes 32 bits despus del campo SVT, informacin variable, tienen un
propsito que vara y se especifican de forma diferente para cada tipo de
mensaje ICMP considerado. Este campo resulta muy til para aplicar
traduccin de direcciones (NAT) a los mensajes de ICMP.
3.2. Uso Convencional de ICMP

ICMP es utilizado para manejar control de errores y mensajes de control de
intercambio. Puede ser utilizado para determinar si una estacin en Internet est
activa. Para ello, se enva un mensaje ICMP echo-request (PING) a la mquina
destino. Si la mquina recibe el paquete, retornar un paquete ICMP echo-reply
(Reply).
Los siguientes RFCs definen otras funcionalidades de ICMP:
RFC 896 Source Quench
RFC 950 Address Mask Extensions.
RFC 1191 Path MTU Discovery.
CIBERTEC
RFC 1256 Router Discovery.
RFC 1349 Type of Service in the Internet Protocol Suite.
13
3.2.1. Generacin de un mensaje ICMP
a) Un host fuente enva un mensaje Telnet a un host localizado en un segmento

de una intranet.
b) El router destino, al no poder entregar el paquete al host, genera un mensaje
ICMP del tipo destino inalcanzable, dirigido al host origen.
3.2.2. Mensaje ICMP de Plazo excedido
CIBERTEC
14
3.2.3. Mensaje ICMP de Destino Inalcanzable
3.2.4. Mensaje ICMP de Redireccin
a) El host enva un datagrama IP a R1, debido a que R1 es el router por defecto.

b) R1 recibe el datagrama y decide que R2 es el router adecuado. Cuando lo
enva a R2 se da cuenta que est utilizando la misma red fsica, por donde ha
llegado el datagrama.
c) R1 enva un ICMP redirect al host, indicando que los siguientes datagramas
con el mismo destino se deben enviar a R2.
CIBERTEC
15
3.3. Uso no Convencional de ICMP

ICMP es considerado una herramienta indispensable en cada red TCP/IP
implementada. El formato del paquete es estndar y es reconocido por cada
dispositivo IP existente en Internet, y por su utilidad en la administracin,
evaluacin y monitoreo de una red.
Hackers y otros expertos en redes, descubrieron que este protocolo poda ser
utilizado con fines hostiles, como:
3.3.1. Reconocimiento
Es el primer estado en el proceso de obtencin de informacin acerca
de estaciones activas y cualquier otra informacin que pueda ser
obtenida para planificar un ataque.
De la tabla 1 se tiene los tipos de mensajes ICMP existentes.
Manipulando estos mensajes, el atacante puede obtener informacin
referente a:
Deteccin de estaciones.
Identificacin de la topologa de red.
Deteccin de listas de control de acceso (ACL).
Deteccin de filtros de paquetes.
Identificacin de sistemas operativos.
a. Deteccin de Estaciones
Mediante comando ICMP echo-request se pueden identificar
estaciones que son alcanzables desde Internet. Mediante Traceroute
se puede mapear una red mediante la identificacin del trayecto de un
paquete desde el host emisor hasta el host destino.
b. Deteccin de Listas de Control de Acceso (ACL)
Los mensajes de error ICMP pueden ayudar a determinar el tipo de
ACL que el dispositivo de filtrado est utilizando y permitir escoger las
tcticas de ataque.
El concepto es manipular la longitud total del campo Header IP y crear
un paquete modificado con este campo de longitud mayor de lo que
realmente es. Cuando estos paquetes alcanzan el host, tratar de
grabar los datos en el rea que no existe. El host de esta manera,
emitir un paquete de tipo ICMP Parameter Problem, de regreso a la
direccin IP origen del trfico.
Para identificar a un dispositivo de filtrado de trfico, se evala a toda
la red destino con todas las posibles combinaciones de protocolos y
servicios existentes, lo cual permitir determinar qu listas de control
de acceso existen.
El paquete modificado puede ser ICMP, TCP o UDP.
CIBERTEC
16
c. Protocol/Port Scan
Los mensajes de error ICMP (Protocol /Port Unreachable) son
mecanismos comunes para determinar qu tipo de puertos/protocolos
estn ejecutndose en el host.
NMAP utiliza este mecanismo mediante el envo de paquetes IP
toscos, sin cabecera de protocolo (payload), a cada protocolo
especfico en la mquina destino. Si es recibido un mensaje ICMP
Protocol Unreachable, entonces el protocolo no es utilizado.
d. Identificacin de Sistema Operativo
Para poder identificar el sistema operativo, se sigue el principio: cul
sistema operativo responde a que tipo de mensaje ICMP?
Esto es posible debido a las diferentes implementaciones de sistemas
operativos. Algunos no cumplen estrictamente al RFC, mientras que
para otros, el RFC puede ser opcional.
La identificacin del S.O. puede ser efectuada utilizando:
Mensaje ICMP Query.

Mensaje ICMP Error.
Adems, los tipos de ICMP se utilizan de la siguiente manera:
El par de mensajes ICMP Echo Request/Reply fue desarrollado

para determinar si un host est presente o no. La respuesta
negativa podra indicar que no lo est o que el trfico ICMP Echo
est filtrado.
El par de mensajes ICMP Information Request/Reply fue

desarrollado para soportar sistemas auto-configurados, tales como
estaciones sin disco en el momento de inicio para permitir
descubrir las direcciones de red.
El par de mensajes Timestamp

preguntarle a otro por el tiempo
cantidad de latencia que
experimentando. La mayora
implementan.
El par de mensajes ICMP Address Mask Request/Reply fue

desarrollado para sistemas sin disco para obtener su mscara de
subred, en uso en la red local al momento de inicio. Es utilizado
adems, cuando un host quiere conocer la mscara de la direccin
de una interface. El RFC 1122 establece que esto es opcional.
Los mensajes de error tambin proporcionan informacin. Por

ejemplo, recibir un paquete Protocol Unreachable revela que el
host est activo y que el protocolo requerido no es soportado.
Request/Reply permite a un host

actual. Esto le permite calcular la
una red en particular est
de los sistemas operativos lo
CIBERTEC
17
Basado en la naturaleza de las diferentes implementaciones de

S.O. se puede obtener informacin valiosa, manipulando los
mensajes ICMP y observando la respuesta del host destino. Las
tcnicas estn listadas a continuacin.
Respuesta a ICMP Query Messages Types en el host

destino.
Respuesta a ICMP Query Messages Types a direcciones

broadcast.
Valor IP TTL en los mensajes ICMP (Request y Reply).
Respuesta a ICMP Query Messages Types con campo

Code distinto de 0.
Respuesta en los mensajes ICMP Query con bits de

precedencia de valor distinto de 0.
Respuesta en los mensajes ICMP Query con valor ToS

distinto de 0.
Respuesta en los mensajes ICMP Query con valor ToS

no utilizado igual a 1.
Respuesta en los mensajes ICMP Query con valor de la

bandera de bit reservado igual a 1.
Respuesta en los mensajes ICMP Query con el campo

Dont Fragment puesto.
Mensajes de error ICMP de integridad con mensajes de

error ICMP Port Unreachable.
Las siguientes figuras representan cmo se puede identificar a los sistemas

operativos.
CIBERTEC
18
HPUX, Solaris y Linux
Figura 1. Mtodo de reconocimiento de S.Os. HPUX,

Solares y Linux utilizando ICMP.
Familia Windows (95/98/Me/NT/2000)
Figura 2. Mtodo de reconocimiento de S.Os. Windows 95/98/Me/NT y

2000 utilizando ICMP.
CIBERTEC
19
3.3.2. Denial Of Service

El uso de ICMP como medio para iniciar ataques de negacin de
servicio se hizo muy conocido con el ataque del Ping de la Muerte. Se
mencionan los ataques ms conocidos de negacin de servicio.
a. Smurf DoS
Este ataque toma ventaja de la capacidad que tiene ICMP de enviar
mensajes a direcciones broadcast, lo cual es utilizado para iniciar
ataques de inundacin.
Intervienen 3 partes: la estacin atacante, la vctima y redes cmplices.
La estacin atacante genera un paquete ICMP echo-request con origen
falso de la estacin vctima y con destino a un rango de direcciones IP,
con direccin de broadcast (ping 12.255.255.255). Estas estaciones
reciben el mensaje ping con direccin falsa (vctima) y responden a la
vctima. Como el nmero de estaciones que responden es elevado
(como mximo 16646,144 estaciones), el enlace de la vctima se satura.
b. Tribe Flood Network
TFN est compuesto de un cliente y demonios (daemons) de
programas, que implementan una herramienta de ataque tipo
Distributed DoS y as, generar ataques: ICMP flood, SYN flood y de
tipo Smurf.
La comunicacin del cliente con los demonios se realiza por medio de
paquetes ICMP echo-reply. Cada comando es enviado a los demonios
en la forma de un nmero binario de 16 bits en el campo ID, en un
paquete ICMP echo-reply con el nmero de secuencia como constante
(0x0000), el que podra verse como la respuesta al paquete inicial
enviado por el comando ping. Esto previene al kernel en el demonio de
replicar con un paquete ICMP echo-reply. El demonio responde
entonces a los clientes, utilizando un paquete ICMP echo-reply. El
contenido vara en el TFN, tanto si es utilizado para enviar argumentos
de comandos y rplicas.
CIBERTEC
20
Figura 3. Representacin esquemtica de un ataque

de negacin de servicio.
c. WinFreeze
Es un tipo de ataque contra Windows. Un cdigo pequeo puede causar
que una caja Windows 9x/NT se congele completamente. El programa
inicia una tormenta de mensajes ICMP/Redirect-host que aparenten
venir de un ruteador. La mquina Windows recibir mensajes de tipo
redirect-host provocando que cambie su tabla de rutas, lo que provoca
que trabaje lentamente hasta que se ejecute un reinicio.
3.3.3. Covert Channel

ICMP puede tambin ser utilizado como un covert channel (canal oculto
de transmisin de datos), a travs de la red por la cual pasa.
LOKI es una herramienta de ataque que explota esta caracterstica. La
forma de trabajo es sencilla: cierta informacin arbitraria es enviada por
medio de tunneling en la parte de datos de los paquetes ICMP echorequest y echo-reply.
LOKI explota el covert channel que existe dentro del trfico ICMP echo.
Estos paquetes tienen la opcin de incluir datos en el paquete. Esta
seccin de datos es utilizada cuando es especificada la opcin record
route, o el caso ms comn para almacenar informacin de registro de
tiempo (timing) para determinar el tiempo de ida y vuelta. Aunque la
parte de datos es informacin de timing, no hay chequeo del contenido.
La mayora de los dispositivos de red no filtra el contenido del trfico
ICMP echo. El paquete troyano es enmascarado como trfico ICMP
echo comn.
Si un host es comprometido y se instala un servidor Loki, ste puede
responder al trfico enviado por el cliente Loki. Considerando que los
programas utilizan paquetes ICMP echo-request y echo-reply, es difcil
poder detectar esta actividad.
CIBERTEC
4.
21
Teora de Estmulo y Respuesta
La necesidad de conocer muy bien el proceso de estmulo y respuesta es el

afinamiento de los sistemas de deteccin de intrusos, ya que buena parte de las firmas
definidas son genricas y ello origina que se registren muchas falsas alarmas.
A continuacin, se detallan diferentes tcnicas de anlisis de puertos utilizando
paquetes TCP/IP. Para escoger la tcnica adecuada a utilizar en un determinado
entorno a analizar, se deber tener en cuenta la topologa de la red, la presencia de
cortafuegos y de sistemas de deteccin de intrusos, as como, las caractersticas de
registro de actividad en los ordenadores destino.
TCP CONNECT() SCAN.

Es la forma ms bsica de anlisis de puertos. Se intenta establecer una
conexin normal al puerto mediante la llamada connect() del sistema.
CIBERTEC
22
Ventajas:
- No se necesita privilegios especiales para realizar el anlisis.
- Se consigue una gran velocidad al analizar puertos en paralelo.
Desventajas:
- Muy fcil de filtrar y detectar, ya que en los registros del sistema para cada puerto
analizado, aparece que se ha intentado establecer una conexin y a continuacin, se
ha cerrado la conexin sin enviar la informacin.
TCP SYN SCAN.

No establece una conexin TCP completa, sino que cuando recibe la respuesta
SYN|ACK indicando que el puerto est a la escucha, inmediatamente enva un
paquete RST para romper la conexin. Existe otra variante que no enva el
paquete RST y, por lo tanto, deja el proceso de establecimiento de la conexin
a medias.
Ventajas:
- Los IDS ms modestos (basados en conexin) no registran este intento de conexin
- Se consigue una gran velocidad al analizar puertos en paralelo.
Desventajas:
- Hacen falta privilegios de administrador para construir el paquete SYN inicial.
TCP SYN|ACK SCAN.

Salta el primer paso en el establecimiento de conexin TCP, enviando
directamente un paquete SYN|ACK al ordenador destino. Si el puerto est
abierto no se recibe respuesta, pero si est cerrado se recibe RST. En este
caso, se puede determinar qu puertos estn cerrados y, por exclusin, cules
estn abiertos (mapeo inverso). En las tcnicas de mapeo inverso, se pueden
producir lentos falsos positivos debido a paquetes destruidos, ya sea por la
accin de cortafuegos, filtros de paquetes o lmites de tiempo.
CIBERTEC
23
Ventajas:
- Los paquetes SYN|ACK son capaces de pasar a travs de algunos cortafuegos que
slo filtran paquetes SYN a puertos restringidos.
- Los IDS ms modestos no registran este intento de conexin.
Desventajas:
- Se pueden producir falsos positivos lentos.
- La familia de sistemas BSD (BSD, OpenBSD, NetBSD y FreeBSD) ignoran los
paquetes SYN|ACK, sea cual sea el estado del puerto.
TCP ACK SCAN.

Consiste en enviar un paquete ACK al ordenador destino, que siempre
responder con un paquete RST. No obstante, si el puerto est abierto, el valor
del campo TTL ser menor o igual a 64, o el valor del campo win ser diferente
de 0.
Ventajas:
- Evita IDS.
- Es difcil de registrar.
- Los paquetes ACK se pueden utilizar para mapear el conjunto de reglas de algunos
cortafuegos que no devuelven respuesta para los puertos filtrados.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que
debe ser de tipo BSD.
TCP FIN SCAN.

Ante un paquete FIN, los puertos cerrados deberan replicar con el debido RST
y los puertos abiertos deberan ignoran el paquete FIN (mapeo inverso).
CIBERTEC
24
Ventajas:
- Los paquetes FIN son capaces de pasar a travs de cortafuegos que filtran paquetes SYN
a puertos restringidos.
Desventajas:
- Algunos sistemas (por ej. Microsoft) responden paquetes RST, sea cual sea el estado del
puerto.
TCP NULL SCAN.

Consiste en enviar un paquete con todas las seales de cdigo (URG, ACK,
PSH, RST, SYN y FIN) de la cabecera TCP desactivada. Si el puerto est
abierto, no se recibe respuesta (mapeo inverso), pero si est cerrado, se recibe
RST|ACK.
Ventajas:
- Los paquetes NULL son capaces de evitar algunos sistemas de deteccin de intrusos.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser
una variante de Unix.
- Es fcil de detectar y registrar.
TCP XMAS SCAN.

Consiste en enviar un paquete con todas las seales de cdigo (URG, ACK,
PSH, RST, SYN y FIN) de la cabecera TCP activadas. Si el puerto est abierto,
no se recibe respuesta (mapeo inverso), pero si est cerrado se recibe
RST|ACK.
Ventajas:
- Los paquetes XMAS son capaces de evitar algunos sistemas de deteccin de intrusos.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser
una variante de Unix.
- Es fcil de detectar y registrar.
CIBERTEC
25
UDP ICMP PORT UNREACHABLE SCAN.

Utiliza el protocolo UDP en lugar de TCP. En dicho protocolo los puertos
abiertos no envan paquetes ACK en respuesta a las pruebas y los puertos
cerrados no estn obligados a enviar un paquete RST.
En ocasiones, muchos sistemas responden con un error ICMP de puerto
inalcanzable en sus puertos cerrados. En este caso, se puede determinar qu
puertos estn cerrados y, por exclusin, cules estn abiertos.
Ventajas:
- Permite saber qu puertos UDP estn abiertos.
- Evita IDS que slo registran trfico TCP.
Desventajas:
- Hacen falta privilegios de administrador.
- Es lento.
- Es fcilmente detectable.
- No se garantiza la llegada de los paquetes UDP ni de los errores ICMP, as que en el
anlisis, se pueden encontrar falsos positivos debido a paquetes que no llegaron.
4.1. Comportamiento Normal

El comportamiento esperado de un protocolo se define en los Request For
Comments (RFCs).
Los protocolos ms importantes son los que se mencionan a continuacin.
RFC 793. Este RFC describe el Transmisin Control Protocol (TCP).

RFC 768. Este RFC describe el User Datagram Protocol (UDP).
RFC 791. Este RFC describe el Internet Protocol (IP).
RFC 792. Este RFC describe el Internet Control Message Protocol (ICMP).
4.1.1. TCP Estmulo y Respuesta

Se analiza los procesos de intentos de conexin en diferentes
condiciones al servicio Telnet. El objetivo es reflejar el comportamiento
del protocolo. Sin embargo, tiene las siguientes condiciones.
Servidor destino tiene el servicio solicitado habilitado
El host tel_client.com intenta conectarse al servicio Telnet (TCP:23)
en myhost.com.
CIBERTEC
26
19:53:12.448176 IP tel_client.com.2548 > myhost.com.23: S

1352841283:1352841283(0) win 16384 <mss 1460,nop,nop,sackOK>
(DF)
19:53:12.449572 IP myhost.com.23 > tel_client.com.2548: S
3752820523:3752820523(0) ack 1352841284 win 64240 <mss
1380,nop,nop,sackOK> (DF)
19:53:12.449636 IP tel_client.com.2548 > myhost.com.23: . ack 1 win
16560 (DF)
En la captura de trfico mostrada se observa primero, el paquete de
solicitud de inicio de sesin Telnet de tel_client.com a myhost.com.
En el segundo paquete, se muestra la respuesta positiva por parte de
myhost.com. Finalmente, en el tercer paquete, tel_client.com informa
a myhost.com de que est listo para iniciar la transmisin de
paquetes. El proceso de handshaking se ha producido.
Servidor destino no tiene habilitado el servicio solicitado
En este escenario myhost.com no tiene habilitado el servicio Telnet y
por lo tanto no escucha en el puerto respectivo.
Cuando se trata de establecer una sesin Telnet, se obtiene la
siguiente respuesta.
tel_client.com.38060 > myhost.com.telnet: S 3774957990:3774957990
win 8760 <mss 1460> (DF)
myhost.com.telnet > tel_client.com.38060: R 0:0 ack 3774957991 win
0
El servidor responde con un RESET/ACK al intento de conexin
terminando sta de manera abrupta.
Servidor destino no existe
Uno de las situaciones que tambin se dan, en especial en Internet, es
la no existencia de servidores por diversas razones.
En la siguiente captura se refleja el comportamiento de trfico en esta
situacin.
tel_client.com.38060
>
myhost.com.telnet:
3774957990:3774957990(0) win 8760 <mss 1460> (DF)
router.com > tel_client.com: icmp: host myhost.com unreachable

Como se observa, el nombre del servidor myhost.com s existe, pero la
direccin IP no est activa. La respuesta proviene del ruteador,
router.com quien le informa a tel_client.com de una condicin de
error utilizando el protocolo ICMP.
CIBERTEC
27
Puerto/servicio destino bloqueado

La siguiente condicin se refiere al hecho de la existencia de un
mecanismo de bloqueo que no permite que se establezcan sesiones
Telnet desde el exterior con myhost.com. En este caso, el
router.com tambin juega un papel activo. Cuando tel_client.com
intenta iniciar una sesin Telnet, sta es rechazada por el mecanismo
de filtrado y router.com, que le informa a tel_client, mediante un
mensaje de unreachable admin. prohibited filter, que el acceso est
bloqueado.
Esta respuesta puede ser utilizada como una manera de efectuar un
reconocimiento de la red objetivo. En un ruteador Cisco esto se puede
evitar colocando la siguiente instruccin.
no ip unreachables
Esto previene al ruteador Cisco a no proveer mucha informacin al
origen del intento de conexin.
El trfico es el que se muestra a continuacin.
>
myhost.com.telnet:
3774957990:3774957990(0) win 8760 <mss 1460> (DF)
router.com > tel_client.com: icmp: myhost.com unreachable - admin

prohibited filter
Puerto/servicio destino bloqueado y el ruteador no responde
En esta situacin, el servidor tiene el servicio bloqueado y adems, el
ruteador ha sido configurado para no responder ante un intento de
conexin. El trfico observado indica que slo hay flujo en una sola
direccin: desde tel_client.com hacia myhost.com.
El trfico se muestra a continuacin.
17:14:18.726864
3774957990:37
>
myhost.com.telnet:
17:14:21.781140 tel_client.com.38060 > myhost.com.telnet:

3774957990:3774957990(0) win 8760 <mss 1460> (DF)
17:14:27.776662 tel_client.com.38060
74957990(0) win 8760 <mss 1460> (DF)
myhost.com.telnet:

3774957990:3774957990(0) win 8760 <mss 1460> (DF)

3774957990:3774957990(0) win 8760 <mss 1460> (DF)
>
CIBERTEC
28
4.1.2. UDP Estmulo y Respuesta

UDP no es un protocolo orientado a conexin, pero tiene sus parmetros
de comunicacin.
A continuacin se analizarn los siguientes.
Servidor destino tiene el servicio solicitado habilitado
Se ver el caso de la resolucin de nombres que trabajan bajo el
protocolo Domain Name System (DNS). La estacin nslookup.com
trata de conectarse a myhost.com para resolver un nombre.
En este caso, se deber resolver el nombre windowsupdate.com.
14:56:43.197592 nslookup.com.1026
windowsupdate.com.
>
myhost.com.53:2+
A?
14:56:43.364051 myhost.com.53 > nslookup.com.1026: 2*- 0/1/0

Servidor destino no tiene habilitado el servicio solicitado
UDP no es un protocolo orientado a conexin, por lo tanto, si una
estacin trata de conectarse a un servidor, a travs de un servicio que
ste no tiene habilitado, el servidor lo notificar por medio del
protocolo ICMP, mediante el mensaje de port unreachable.
El trfico capturado muestra la siguiente situacin.
nslookup.com.45070 > myhost.com.domain: 51007+ (31) (DF)
myhost.com > nslookup.com: icmp:myhost.com udp port domain
unreachable
Estas respuestas tambin pueden ser utilizadas por los hackers para
efectuar pruebas de reconocimiento en la red objetivo y por lo tanto, es
recomendable filtrar en la red.
4.2. Estmulo y Respuesta Anormal

El stack de protocolos TCP/IP si bien define parmetros de conducta de los
protocolos descritas en los RFCs, las investigaciones posteriores demostraron
que las implementaciones de protocolos en determinados sistemas operativos
tenan ciertas respuestas a estmulos que pueden ser utilizados de forma hostil
contra los servidores instalados en la red.
Entre ellos, se describen las siguientes respuestas.
CIBERTEC
29
Estmulos de evasin, ausencia de respuesta

Una de las tcnicas descubiertas por los hackers para el proceso de
reconocimiento fue el envo de trfico TCP con el flag FIN habilitado.
Esta es una forma de detectar si un puerto est habilitado o no. Segn
el RFC 793 el puerto escuchante no debera responder, sin embargo,
un puerto deshabilitado responder con un paquete RESET/ACK.
A continuacin se analiza un caso.
stealthy.com.50141 > victim.org.5: F 0:0(0) win 4096 (DF)
stealthy.com.50141 > victim.org.51: F 0:0(0) win 4096(DF)
Este escaneo es considerado de tipo oculto porque los IDS no lo
consideraba dentro de sus firmas de deteccin.
Estmulos malignos, respuesta fatal
Los ataques de negacin de servicio intentan consumir los recursos de
un servidor para evitar que funcione correctamente. Dentro de estas
variedades, Jolt2 es un ataque que consume todos los recursos de
memoria para que no pueda funcionar.
El trfico de ataque se muestra a continuacin.
10:48:56.848099 verbo.com > win98.com: (frag 1109:9@65520)
Jolt2 enva una corriente de trfico sin fin de paquetes ICMP EchoRequest hacia un objetivo Windows. Estos paquetes son fragmentos
con el mismo identificador de fragmento, pero con desplazamientos de
fragmento no cero duplicados.
Considerando que todos los fragmentos no portan datos con
excepcin del primero y sin cabeceras de protocolos, el host receptor
slo sabe que el protocolo encapsulado es ICMP. Existen problemas
para hosts Windows 98/NT/2000 donde no pueden recibir el
fragmento de desplazamiento inicial.
El host objetivo consume sus recursos reensamblando paquetes,
consumiendo los recursos de memoria y provocando el DoS.
CIBERTEC
30
Ningn estmulo, todas las respuestas

Esta es una estrategia que se utiliza con IP Spoofing. En el trfico
registrado se observa muchos hosts pertenecientes a la red 1.2, los
cuales envan trfico que provoca estas respuestas. De otro lado,
ningn trfico saliente es encontrado desde estos hosts.
El trfico se muestra seguidamente.
router.com > 1.2.10.72: icmp: time exceeded in-transit
La explicacin a este trfico es que un host false el origen y el trfico
fue enviado a una red externa utilizndola como direccin fuente. El
indicador de esto es que slo se detecta una parte del trfico. Este tipo
de trfico indica que alguien inici una actividad hostil contra la red
externa.
El razonamiento para concluir que esto tampoco es trfico de
reconocimiento por parte de los hosts de la red 1.2, es que es un
mensaje de error ICMP; el RFC 112 indica que un mensaje de error
ICMP no puede provocar otro mensaje de error ICMP. Considerando
que no existe algn protocolo que pueda responder a esta actividad, la
teora de spoofing es la ms lgica.
Estmulo no convencional, respuesta de identificacin de
sistemas operativos
Los sistemas operativos tienen distintas respuestas cuando reciben
determinado tipo de trfico. Esta particularidad es utilizada para
identificar el sistema operativo que tiene el host para poder dirigir ms
inteligentemente, sus ataques. Esto es posible ya que el stack TCP/IP
es implementado de manera diferente en cada sistema. Para ello, se
trata de obtener respuestas a estmulos, principalmente en el campo
flags del protocolo TCP.
La forma en que esto se puede realizar se hace la siguiente manera.
CIBERTEC
31
Un paquete con el flag FIN no solicitado hacia un puerto abierto.

De acuerdo al RFC 793 no debera haber respuesta estos paquetes,
pero algunos hosts responden con un RESET.
Valores falsos de flag TCP reservados.
Este es otro mtodo de identificar sistemas operativos. TCP tiene 6
flags y hay adems, 2 bits extra reservados.
Para identificar estos bytes, a travs de windump, se debe ejecutar
con la opcin x. en el siguiente trfico capturado.
Se observa cmo se descubre el sistema operativo.
scanner.com.44388 > target.com.domain: S 403915838:403915838
win 4096 <wscale 10,nop,mss 265,timestamp 1061109567 0,eol> (DF)
[4500 003c 7542 4000 3b06 15bd 0102 0304
0102 0305] ad64 0035 1813 443e 0000 0000
a042 1000 fa4c 0000 0303 0a01 0204 0109
080a 3f3f 3f3f 0000 0000 0000
Los primeros 20 bytes son de la cabecera IP, los siguientes bytes
corresponden a la cabecera TCP y los datos; el 13 byte, que sigue a la
cabecera IP es el byte de flag. En este caso el valor es 42
hexadecimal. Los bits de mayor orden tienen un valor mayor que 3, lo
que significa que un bit reservado ha sido habilitado. Al enviar el
escner este paquete, pretende obtener una respuesta por parte de la
estacin para determinar cul es el sistema operativo.
En el siguiente paquete se observa la respuesta del objetivo
target.com a scanner.com.
target.com.domain
>
scanner.com.44388:
S
4154976859:4154976859(0)
ack
403915839
win
8855
<nop,nop,timestamp 16912287 1061109567,nop,wscale 0,mss 265>
(DF)
[4500 003c e04e 4000 ff06 e6af 83da d684
83da d683] 0035 ad64 f7a7 ea5b 1813 443f
a012 2297 fd3f 0000 0101 080a 0102 0f9f
3f3f 3f3f 0103 0300 0204 0109
Target.com responde a este paquete con los flags SYN/ACK, lo que
indica que no ha reaccionado al flag anormal (flag=12). Esto es, la
respuesta del sistema operativo ha descartado el bit de flag reservado
errneo. Otro sistema operativo lo podra haber preservado en la
respuesta.
Combinaciones anmalas de Flags TCP.
El RFC 793 describe y determina el comportamiento y la secuencia
normal de los estados de los flags TCP. La mayora de sistemas
operativos siguen las reglas completamente, pero a pesar de ello,
CIBERTEC
32
existen excepciones las cuales son utilizadas como debilidades para

efectuar el reconocimiento.
En el siguiente trfico se observa un escaneo a la estacin win98
envindole un paquete con los flags SYN, FIN y PUSH, de manera
simultnea.
20:33:16.409759
verbo.47322
>
win98.netbios-ssn:
SFP
861966446:861966446(0) win 3072 urg 0 <wscale 10,nop,mss
265,timestamp 1061109567[|tcp]>
20:33:16.410387
win98.netbios-ssn
>
verbo.47322:
49904150:49904150 ack 861966447 win 8215 <mss 1460> (DF)
Este trfico aparenta ser completamente anmalo, ya que los 3 flags

no deberan estar habilitados en un paquete convencional porque con
el bit SYN se establece una sesin; con el bit FIN se termina y con el
bit PUSH, se envan datos despus que una sesin es abierta o antes
de que se cierre. Lo natural para el host receptor ser ignorar el
paquete o responder con un RESET; sin embargo, el sistema
operativo Windows 98 interpreta esto como un inicio de sesin y
responde con un SYN/ACK. Esta nica reaccin permite identificar
rpidamente al host como una estacin con S.O. Windows 98.
Ningn flag TCP.
El envo de paquetes TCP sin ningn flag habilitado es otra tcnica
utilizada para determinar la identidad del sistema operativo objetivo.
Este tipo de conexin se conoce como sesin nula (Null Session).
El trfico detectado es el siguiente.
scanner.com.44389 > target.com.domain: . win 4096 <wscale
10,nop,mss 265, timestamp 1061109567 0,eol> (DF)
[4500 003c 7543 4000 3b06 15bc 0102 0304
0102 0305] ad65 0035 1813 443e 0000 0000
a000 1000 fa8d 0000 0303 0a01 0204 0109
080a 3f3f 3f3f 0000 0000 0000
Como se muestra en el byte resaltado, el valor de los flags es cero. La
mayora de los sistemas operativos no responden a una sesin nula y
descartan el paquete, en cambio otros responden con un paquete
RESET.
CIBERTEC
5.
33
Uso de NMAP para escaneo de redes
Nmap (mapeador de redes) es una herramienta de cdigo abierto para exploracin

de red y auditora de seguridad. Se dise para analizar rpidamente grandes redes,
aunque funciona muy bien contra equipos individuales. Utiliza paquetes IP "crudos"
(raw, N. del T.) en formas originales para determinar qu equipos se encuentran
disponibles en una red, qu servicios ofrecen, qu sistemas operativos ejecutan, qu
tipo de filtros de paquetes o cortafuegos se estn utilizando, as como docenas de
otras caractersticas.
La salida de Nmap es un listado de objetivos analizados, con informacin adicional
para cada uno dependiente de las opciones utilizadas. La informacin primordial es la
tabla de puertos interesantes, dicha tabla lista el nmero de puerto y protocolo, el
nombre ms comn del servicio y su estado.
El estado puede ser open (abierto), filtered (filtrado), closed (cerrado) o unfiltered (no
filtrado).
- Abierto significa que la aplicacin en la mquina destino se encuentra esperando
conexiones o paquetes en ese puerto.
- Filtrado indica que un cortafuego, filtro u otro obstculo en la red est bloqueando
el acceso a ese puerto, por lo que Nmap no puede saber si se encuentra abierto o
cerrado.
- Cerrado no tiene ninguna aplicacin escuchando en los mismos, aunque podra
abrirse en cualquier momento.
- No filtrados, aquellos que responden a los sondeos de Nmap, pero para los que
Nmap no puede determinar si se encuentran abiertos o cerrados.
CIBERTEC
34
Nmap informa de las combinaciones de estado open|filtered y closed|filtered cuando

no puede determinar en cul de los dos estados est un puerto. La tabla de puertos
tambin puede incluir detalles de la versin de la aplicacin cuando se ha solicitado
deteccin de versiones. Nmap ofrece informacin de los protocolos IP soportados, en
vez de puertos abiertos, cuando se solicita un anlisis de protocolo IP con la opcin (sO).
Ejemplo tpico de anlisis con Nmap.

# nmap -A -T4 scanme.nmap.org saladejuegos
Starting nmap ( http://www.insecure.org/nmap/ )
Interesting ports on scanme.nmap.org (205.217.153.62):
(The 1663 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)
53/tcp open domain
70/tcp closed gopher
80/tcp open http Apache httpd 2.0.52 ((Fedora))
113/tcp closed auth
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11
Uptime 33.908 days (since Thu Jul 21 03:38:03 2005)
Interesting ports on saladejuegos.nmap.org (192.168.0.40):
(The 1659 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
VERSION
135/tcp open msrpc
Microsoft Windows RPC
139/tcp open netbios-ssn
389/tcp open ldap?
445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
1002/tcp open windows-icfw?
1025/tcp open msrpc
Microsoft Windows RPC
1720/tcp open H.323/Q.931 CompTek AquaGateKeeper
5800/tcp open vnc-http
RealVNC 4.0 (Resolution 400x250; VNC TCP port:
5900)
5900/tcp open vnc
VNC (protocol 3.8)
MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Pro RC1+ through final release
Service Info: OSs: Windows, Windows XP
Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds
Uso: nmap [Tipo(s) de Anlisis] [Opciones] {especificacin de objetivos}
CIBERTEC
35
ESPECIFICACIN DE OBJETIVO
Se pueden indicar nombres de sistema, direcciones IP, redes, etc.
Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <archivo_entrada>:
Lee una lista de sistemas/redes del archivo.
-iR <nmero de sistemas>:
Selecciona objetivos al azar.
-exclude <sist1[,sist2][,sist3],.
..>:
-excludefile <fichero_exclusi
n>:
Excluye los sistemas indicados en el fichero.
DESCUBRIMIENTO DE HOSTS
-sL:
-sP: Sondeo Ping
-P0:
PS/PA/PU [listadepuertos]
:
Excluye ciertos sistemas o redes.
Sondeo de lista.
Simplemente lista los objetivos a analizar.
Slo determina si el objetivo est vivo.
Asume que todos los objetivos estn vivos.
Anlisis TCP SYN, ACK o UDP de los puertos indic
ados.
-PE/PP/PM:
Solicita un anlisis ICMP del tipo echo, marca de fe

cha y mscara de red.
-n/-R:
No hace resolucin DNS / Siempre resolver [por o

misin: a veces]
--dnsservers <serv1[,serv2],...>
:
Especifica servidores DNS especficos.
--system-dns:
Utiliza la resolucin del sistema operativo.
TCNICAS DE ANLISIS
-sS/sT/sA/sW/sM:
Anlisis TCP SYN/Connect()/ACK/Window/Mai

mon
-sN/sF/sX:
Anlisis TCP Null, FIN, y Xmas.
--scanflags <indicador>:
Personaliza los indicadores TCP a utilizar.
sI <sistema zombi[:puerto_s
onda]>:
Anlisis pasivo (Idle, N. del T.)
-sO:
Anlisis de protocolo IP.
-b <servidor ftp rebote>:
Anlisis por rebote FTP.
CIBERTEC
36
ESPECIFICACIN DE PUERTOS Y ORDEN DE ANLISIS

p <rango de puertos>:
Slo sondea los puertos indicados.
-F:
Rpido Analiza slo los puertos listados en el archivo nmapservices
-r:
Analiza los puertos secuencialmente, no al azar..
DETECCIN DE SERVICIO/VERSIN
-sV:
Sondea puertos abiertos, para obtener informacin de servic

io/versin.
--versionintensity <nivel>:
Fija de 0 (ligero) a 9 (probar todas las sondas)
--version-light:
Limita a las sondas ms probables (intensidad 2)
--version-all:
Utiliza todas las sondas (intensidad 9)
--version-trace:
Presenta actividad detallada del anlisis (para depurar)
DETECCIN DE SISTEMA OPERATIVO

-O:
Activa la deteccin de sistema operativo (SO).
--osscan-limit:
Limita la deteccin de SO a objetivos prometedores.
--osscan-guess:
Adivina el SO de la forma ms agresiva.
TEMPORIZADO Y RENDIMIENTO
-T[0-5]:
--min-hostgroup/maxhostgroup <tamao>:
--min-parallelism/maxparallelism <msegs>:
--min-rtt-timeout/maxrtt-timeout/initial-rtttimeout <msegs>:
Selecciona plantilla de temporizado.

(Los nmeros altos son ms rpidos)
Paralelizacin los sondeos.
Paralelizacin de sondeos.
Indica el tiempo de ida y vuelta de la sonda.
--maxretries <reintentos>:
Limita el nmero mximo de retransmisiones de las s

ondas de anlisis de puertos.
--hosttimeout <msegs>:
Abandona un objetivo pasado este tiempo.
--scan-delay/--maxscan-delay <msegs>:
Ajusta el retraso entre sondas.
CIBERTEC
37
EVASIN Y FALSIFICACIN PARA CORTAFUEGOS/IDS

-f; --mtu <valor>:
D <seuelo1,seuelo2[,
ME],...>:
N. del T.:
Fragmenta paquetes (opc. con el MTU indicado)
-S <Direccin_IP>:
Falsifica la direccin IP origen.
-e <interfaz>:
Utiliza la interfaz indicada.
-g/--sourceport <numpuerto>:
Utiliza el nmero de puerto dado.
--data-length <num>:
Agrega datos al azar a los paquetes enviados.
--ttl <val>:
Fija el valor del campo time-to-live (TTL) de IP.
--spoofmac <direccin mac/pref

ijo/nombre de fabricante
>:
Falsifica la direccin MAC.
--badsum:
Enva paquetes con una suma de comprobacin TC

P/UDP falsa
Disimula el anlisis con seuelos.

ME es YO mismo.
SALIDA
-oN/-oX/-oS/oG <file>:
Guarda el sondeo en formato normal, XML, s|<rIpt kIddi3 (

n3n3b4n4n4) y Grepeable (para usar con grep(1), N. del T
.), respectivamente, al archivo indicado.
oA <nombre_base>
:
Guarda en los tres formatos principales al mismo tiempo.
-v:
Aumenta el nivel de mensajes detallados (vv para aumentar el efecto)
-d [nivel]:
Fija o incrementa el nivel de depuracin (Tiene sentido ha

sta 9)
--packet-trace:
Muestra todos los paquetes enviados y recibidos.
--iflist:
Muestra interfaces y rutas (para depurar)
--append-output:
Agrega, en vez de sobreescribir, a los archivos indicados c

on -o.
-resume <archivo>:
-stylesheet <ruta/U
RL>:
Retoma un anlisis abortado/detenido.

Convierte la salida XML a HTML segn la hoja de estilo
XSL indicada
--webxml:
Referencia a la hoja de estilo de Insecure.Org para tener u

n XML ms portable.
--no_stylesheet:
No asocia la salida XML con ninguna hoja de estilos XSL.
CIBERTEC
38
MISCELNEO:
-6:
Habilita anlisis IPv6
-A:
Habilita la deteccin de SO y de versin
-datadir <nombreD
ir>:
--send-eth/--sendip:
Indica la ubicacin de los archivos de datos Nmap pers

onalizados.
Enva paquetes utilizando tramas Ethernet o paquetes I
P "crudos"
--privileged:
Asume que el usuario tiene todos los privilegios.
-V:
Muestra el nmero de versin.
-h:
Muestra esta pgina resumen de la ayuda.

Ejemplos:
nmap -v -A scanme.nmap.org
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
- Especificacin de objetivos
Todo lo que se escriba en la lnea de parmetros de Nmap que no sea una
opcin, se considera una especificacin de sistema objetivo. El caso ms
sencillo es la indicacin de slo una IP, o nombre de sistema, para que sea
analizado.
Puede darse la situacin en que se desee analizar una red completa de
equipos adyacentes. Nmap soporta el direccionamiento estilo CIDR para estos
casos. Adems, se puede aadir /numBits a una direccin IP o nombre de
sistema para que Nmap sondee toda IP cuyos primeros numBits sean los
mismos que los de la direccin IP o nombre de sistema indicado.
En el caso del sistema scanme.nmap.org que posee una direccin IP
205.217.153.62, la especificacin scanme.nmap.org/16 analizara las 65.536
direcciones IP entre 205.217.0.0 y 205.217.255.255. La mscara ms pequea
permitida es /1, que analizara media Internet, la ms grande, /32, analizara
nicamente la IP o nombre de sistema indicados porque todos los bits estaran
fijos.
La notacin CDIR es breve pero no siempre es suficientemente flexible. En
lugar de especificar una direccin IP normal, se podr especificar una lista
separada por comas de nmeros o rangos para cada octeto.
Los rangos no tienen por qu estar limitados a los ltimos octetos. Por ejemplo,
si especifica 0-255.0-255.13.37 se realizar un sondeo en todo Internet de las
direcciones IP que terminan en 13.37. Este tipo de muestreo amplio puede ser
til para encuestas en Internet y con fines de investigacin.
CIBERTEC
39
Con Nmap se podr especificar mltiples sistemas en la lnea de rdenes y no

tienen por qu ser del mismo tipo. Por ejemplo, la orden nmap
scanme.nmap.org 192.168.0.0/16 10.0.0,1,3-7.0-255 hace lo que uno
esperara.
Aunque habitualmente se especifican los objetivos en la lnea de rdenes se
podrn utilizar las siguientes opciones para controlar la seleccin de objetivos.
-iL <archivo_entrada> (Entrada de una lista)
Toma la especificacin de objetivos del archivo archivo_entrada. Por ejemplo,
si el servidor DHCP puede exportar un listado de las 10.000 direcciones
entregadas IP que querra analizar. O tal vez quiera analizar todas las
direcciones IP excepto esas mismas direcciones, para as localizar sistemas
que estn utilizando direcciones IP estticas sin autorizacin. Para sondear un
nmero elevado de objetivos slo tiene que generar la lista en un archivo, y
entregrselo a Nmap con la opcin -iL. Cada elemento debe estar separado
por uno o ms espacios, tabuladores, o por lneas.
- Descubriendo sistemas
Analizar cada puerto de cada una de las direcciones IP es lento e innecesario.
Por supuesto, lo que hace a un sistema interesante depende ampliamente del
propsito del anlisis. Asimismo, Nmap ofrece una gran variedad de opciones
para personalizar las tcnicas utilizadas. Al descubrimiento de sistemas (Host
Discovery) se le suele llamar sondeo ping.
Los usuarios pueden evitar el paso de ping utilizando un sondeo de lista (-sL) o
deshabilitando el ping (-P0), o enviando combinaciones arbitrarias de sondas
TCP SYN/ACK, UDP e ICMP a mltiples puertos de la red remota. El propsito
de estas sondas es solicitar respuestas que demuestren que una direccin IP
se encuentra activa. En varias redes solo un pequeo porcentaje de
direcciones IP se encuentran activos en cierto momento, esto es
particularmente comn en las redes basadas en direccionamiento privado
RFC1918, como la 10.0.0.0/8, puesto que dicha red tiene ms de 16 millones
de direcciones IP.
Si no se proveen opciones de descubrimiento de sistemas, Nmap enva un
paquete TCP ACK al puerto 80 y un ICMP Echo Request a cada mquina
objetivo. Una excepcin a este comportamiento es cuando se utiliza un anlisis
ARP, para los objetivos que se encuentren en la red Ethernet local. Para
usuarios de shell UNIX que no posean privilegios, un paquete SYN es enviado
en vez del ACK, utilizando la llamada al sistema connect(). Estos valores por
omisin son el equivalente a las opciones -PA -PE.
Las opciones -P* pueden combinarse; aumentar sus probabilidades de penetrar
cortafuegos estrictos enviando muchos tipos de sondas utilizando diferentes
puertos o banderas TCP y cdigos ICMP. Cabe resaltar que el ARP discovery
(-PR) se realiza por omisin contra objetivos de la red Ethernet local, incluso si
se especifica otra de las opciones -P*.
CIBERTEC
40
Las siguientes opciones controlan el descubrimiento de sistemas.

* sL (Sondeo de lista)
El sondeo de lista es un tipo de descubrimiento de sistemas que tan solo lista
cada equipo de la/s red/es especificada/s, sin enviar paquetes de ningn tipo a
los objetivos. Por omisin, Nmap va a realizar una resolucin inversa DNS en
los equipos, para obtener sus nombres. Adicionalmente, al final, Nmap reporta
el nmero total de direcciones IP. El sondeo de lista es una buena forma de
asegurarse de tener las direcciones IP correctas.
Si se desea deshabilitar el anlisis ping, an realizando dicha funcionalidad de
mayor nivel, se deber comprobar la documentacin de la opcin -P0.
* sP (Sondeo ping)
Esta opcin le indica a Nmap que realice descubrimiento de sistemas mediante
un sondeo ping y que luego, emita un listado de los equipos que respondieron
al mismo.
Permite un reconocimiento liviano de la red objetivo. De la misma forma, puede
ser fcilmente utilizada para contabilizar las mquinas disponibles en una red o
monitorizar servidores. A esto se lo suele llamar barrido ping, y es ms fiable
que hacer ping a la direccin de broadcast.
La opcin -sP enva una solicitud de eco ICMP y un paquete TCP al puerto 80
por omisin. Cuando un usuario sin privilegios ejecuta Nmap se enva un
paquete SYN (utilizando la llamada connect()) al puerto 80 del objetivo.
Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet
local se utilizan solicitudes ARP (-PR), a no ser que se especifique la opcin -send-ip.
Adems, -sP puede combinarse con cualquiera de las opciones de sondas de
descubrimiento (excepto -P0) para disponer de mayor flexibilidad. Si se utilizan
cualquiera de las opciones de sondas de descubrimiento y nmero de puerto,
se ignoran las sondas por omisin (ACK y solicitud de eco ICMP).
- Tcnicas de sondeo de puertos
Los usuarios sin experiencia y los "script kiddies" intentan resolver cada
problema con el sondeo SYN por omisin. Dado que Nmap es libre, la nica
barrera que existe para ser un experto en el sondeo de puertos es el
conocimiento.
En los entornos Windows es recomendable utilizar una cuenta de
administrador, aunque Nmap algunas veces funciona para usuarios no
privilegiados en aquellas plataformas donde ya se haya instalado WinPcap.
Aunque Nmap intenta generar resultados precisos, hay que tener en cuenta
que stos se basan en los paquetes que devuelve el sistema objetivo. Estos
sistemas pueden no ser fiables y enviar respuestas cuyo objetivo sea confundir
a Nmap. Son especialmente susceptibles a este problema los sondeos FIN,
Null y Xmas.
CIBERTEC
41
Para que sea fcil de recordar, las opciones de los sondeos de puertos son del
estilo -sC, donde C es una letra caracterstica del nombre del sondeo. La nica
excepcin a esta regla es la opcin obsoleta de sondeo FTP rebotado (-b).
Nmap hace un sondeo SYN por omisin, aunque lo cambia a un sondeo
Connect(), si el usuario no tiene los suficientes privilegios para enviar paquetes
en crudo o si se especificaron objetivos IPv6.
De los sondeos que se listan en esta seccin los usuarios sin privilegios slo
pueden ejecutar los sondeos Connect() o de rebote FTP.
* sS (sondeo TCP SYN)
Puede realizarse rpidamente, sondeando miles de puertos por segundo en
una red rpida en la que no existan cortafuegos. El sondeo SYN es
relativamente sigiloso y poco molesto, ya que no llega a completar las
conexiones TCP. Tambin funciona contra cualquier pila TCP, en lugar de
depender de la idiosincrasia especfica de una plataforma concreta, al contrario
de lo que pasa con los sondeos de Nmap Fin/Null/Xmas, Maimon o pasivo.
A esta tcnica se la conoce como sondeo medio abierto, porque no se llega a
abrir una conexin TCP completa. Se enva un paquete SYN, como si se fuera
a abrir una conexin real y despus se espera una respuesta. Si se recibe un
paquete SYN/ACK esto indica que el puerto est en escucha (abierto),
mientras que si se recibe un RST (reset) indica que no hay nada escuchando
en el puerto. Si no se recibe ninguna respuesta despus de realizar algunas
retransmisiones, entonces el puerto se marca como filtrado.
* sT (sondeo TCP connect())
Es el sondeo TCP por omisin cuando no se puede utilizar el sondeo SYN.
Nmap le pide al sistema operativo subyacente que establezcan una conexin
con el sistema objetivo en el puerto indicado, utilizando la llamada del sistema
connect(). sta es la misma llamada del sistema de alto nivel que la mayora
de las aplicaciones de red, como los navegadores web o los clientes P2P,
utilizan para establecer una conexin. Esta llamada es parte del interfaz de
programacin conocido como la API de conectores de Berkeley.
Nmap tiene menos control sobre la llamada de alto nivel Connect() que cuando
utiliza paquetes en crudo. La llamada al sistema, completa las conexiones para
abrir los puertos objetivo, en lugar de realizar el reseteo de la conexin medio
abierta como hace el sondeo SYN. Esto significa que se tarda ms tiempo y
son necesarios ms paquetes para obtener la informacin, pero tambin
significa que los sistemas objetivos van a registrar probablemente la conexin.
Un IDS decente detectar cualquiera de los dos, pero la mayora de los
equipos no tienen este tipo de sistemas de alarma. Un administrador que vea
muchos intentos de conexin en sus registros que provengan de un nico
sistema debera saber que ha sido sondeado con este mtodo.
*sO (sondeo de protocolo IP)
El sondeo de protocolo IP permite determinar qu protocolos (TCP, ICMP,
IGMP, etc.) soportan los sistemas objetivos.
El sondeo de protocolos, demuestra el poder del software de fuentes abiertas
(opensource, N. del T.). Utiliza mecanismos parecidos al sondeo UDP. Enva
cabeceras de paquetes IP iterando por el campo de 8 bits que indica el
protocolo IP, en lugar de iterar por el campo de nmero de puerto de un
CIBERTEC
42
paquete UDP. Las cabeceras generalmente estn vacas y no contienen datos.

Las tres excepciones son TCP, UDP e ICMP.
- Especificacin de puertos y orden de sondeo
Nmap ofrece distintas opciones para especificar los puertos que se van a
sondear y si el orden de los sondeos es aleatorio o secuencial. Nmap, por
omisin, sondea todos los puertos hasta el 1024 adems de algunos puertos
con nmeros altos listados en el fichero nmap-services, para los protocolos
que se sondeen.
* p <rango de puertos> (Slo sondea unos puertos especficos)
Esta opcin especifica los puertos que se desean sondear y toma precedencia
sobre los valores por omisin. Puede especificar tanto nmeros de puerto de
forma individual, como rangos de puertos separados por un guin, adems de
omitir el valor inicial y/o el valor final del rango. De esta forma, se podr
especificar -p- para sondear todos los puertos desde el 1 al 65535. Se permite
sondear el puerto cero siempre que se especifique explcitamente.
Asimismo, se podr especificar un protocolo especfico cuando se sondeen
puertos TCP y UDP, si precede el nmero de puerto con T: o U:
Para sondear UDP y TCP se deber especificar la opcin -sU y al menos un
tipo de sondeo TCP (como -sS, -sF o -sT). Si no se da un calificador de
protocolo se aadirn los nmeros de puerto a las listas de todos los
protocolos.
*F (Sondeo rpido (puertos limitados))
Indica que solo se quieren sondear los puertos listados en el fichero nmapservices que se incluye con nmap. La diferencia de velocidad con el sondeo
TCP por omisin, no es muy alta, dado que esta lista contiene muchos puertos
TCP.
*r (No aleatorizar los puertos)
Nmap ordena de forma aleatoria los puertos a sondear por omisin. Esta
aleatorizacin, generalmente, es deseable, pero si se desea, se podr
especificar la opcin -r para analizar de forma secuencial los puertos.
- Deteccin de sistema operativo
Nmap enva una serie de paquetes TCP y UDP al sistema remoto, y analiza
todos los bits de las respuestas. Adems, compara los resultados de una
docena de pruebas como el anlisis de ISN de TCP, el soporte de opciones
TCP y su orden, as como, el anlisis de IPID y las comprobaciones de tamao
inicial de ventana, con su base de datos nmap-os-fingerprints. Esta base de
datos consta de ms de 1500 huellas de sistema operativo y cuando existe una
coincidencia se presentan los detalles del sistema operativo. Cada huella
contiene una descripcin en texto libre del sistema operativo, una clasificacin
que indica el nombre del proveedor, el sistema operativo subyacente, la versin
del SO y el tipo de dispositivo.
Nmap indicar una URL a donde se podrn enviar las huellas si se conoce el
sistema operativo que utiliza el equipo, si no se puede adivinar el sistema
operativo de ste y si las condiciones son ptimas.
CIBERTEC
43
La deteccin de sistema operativo activa una serie de pruebas que hacen uso
de la informacin que sta recoge.
La deteccin de sistema operativo se activa y controla con las siguientes
opciones.
* O (Activa la deteccin de sistema operativo)
Activa la deteccin de sistema operativo. Tambin se puede utilizar la opcin A para activar la deteccin de sistema operativo y de versiones.
*osscan-limit (Limitar la deteccin de sistema operativo a los objetivos
prometedores)
La deteccin de sistema operativo funcionar mejor si se dispone de un puerto
TCP abierto y otro cerrado. Esta opcin puede ahorrar mucho tiempo, sobre
todo si se est realizando sondeos -P0 sobre muchos sistemas. Slo es de
aplicacin cuando se ha solicitado la deteccin de sistema operativo con la
opcin -O o -A.
*osscan-guess; --fuzzy (Aproximar los resultados de la deteccin de
sistema operativo)
Cuando Nmap no puede detectar un sistema operativo que encaje
perfectamente, a veces ofrece posibilidades que se aproximan lo suficiente.
- Control de tiempo y rendimiento
Un sondeo por omisin (nmap nombre_de_sistema) de cualquier sistema en
una red local, tarda un quinto de segundo. Adems, ciertas opciones de sondeo
como el sondeo UDP y la deteccin de versiones, pueden incrementar los
tiempos de sondeos de forma sustancial.
Los usuarios con experiencia pueden definir las rdenes a Nmap para obtener
slo la informacin que necesitan mientras que, al mismo tiempo, cumplen las
limitaciones de tiempo que tengan. Algunas tcnicas que pueden ayudar a
mejorar los tiempos de sondeo son el limitar el nmero de pruebas que no sean
crticas y actualizar a la ltima versin de Nmap. La optimizacin de los
parmetros de control de tiempo puede introducir tambin diferencias
significativas.
Las opciones aplicables se detallan a continuacin.
*scan-delay <tiempo>; --max-scan-delay <tiempo> (Ajusta la demora entre
sondas)
Esta opcin hace que Nmap espere el tiempo indicado entre cada sonda
enviada a un sistema determinado. Esto es muy til cuando se quiere limitar la
tasa de trfico. Los sistemas Solaris respondern a paquetes de sondeos UDP
con slo un mensaje ICMP por segundo.
El sondeo se ralentiza de forma drstica cuando Nmap incrementa el valor del
tiempo de espera, para poder tratar las limitaciones de tasa. Se podr utilizar la
opcin --max_scan-delay para indicar el tiempo mximo de espera. Si
especifica un valor muy pequeo se tendrn retransmisiones intiles de
paquetes.
CIBERTEC
44
Tambin se puede usar --scan-delay para evitar sistemas de deteccin y

prevencin de intrusos (IDS/IPS) basados en umbrales.
*T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> (Fija una plantilla
de tiempos)
Nmap ofrece un acercamiento ms sencillo, basado en seis plantillas de
tiempos. Puede especificar cualquiera de stas con la opcin -T seguido de un
nmero o su nombre. Los nombres de las plantillas son: paranoico (0), sigiloso
(1), amable (2), normal (3), agresivo (4) y loco (5) (respectivamente "paranoid",
"sneaky", "polite", "normal", "aggressive" e "insane", N. de. T.).
Las primeras dos se utilizan para evadir IDS.
El modo amable reduce el sondeo para que ste utilice menos ancho de banda
y menos recursos de los sistemas analizados.
El modo normal es el valor por omisin, as que la opcin -T3 no hace nada
realmente. El modo agresivo hace que los sondeos sean ms rpidos al asumir
que est en una red razonablemente ms rpida y fiable.
En modo loco asume que est en una red extraordinariamente rpida o que
est dispuesto a sacrificar fiabilidad por velocidad.
Estas plantillas permiten que el usuario especifique cuan agresivo quiere ser, al
mismo tiempo que deja que sea Nmap el que escoja los valores exactos de
tiempos. Las plantillas hacen tambin algunos ajustes menores de velocidad
para los cuales no existe an una opcin de control de grano fino. Por ejemplo,
-T4 prohbe que la expiracin en sondeos dinmicos exceda los 10ms para
puertos TCP y -T5 limita ese valor a 5 milisegundos. Las plantillas pueden
utilizarse combinadas con controles de grano fino, siempre que se especifique
primero la plantilla. Si no lo hace as los valores especificados por la plantilla
modificarn los valores que defina como opcin. Le recomiendo utilizar -T4
cuando sondee redes razonablemente modernas y fiables. Mantenga esa
opcin al principio de la lnea de rdenes an cuando especifique otras
opciones de control de grano fino para poder beneficiarse de las
optimizaciones menores que activa.
Mientras que puede ser til evitar alarmas de IDS con -T0 y -T1, ste tardar
mucho ms tiempo para sondear miles de sistemas o puertos. Para este tipo
de sondeos puede que prefiera fijar los valores exactos de tiempos que
necesita antes que utilizar los valores predefinidos para -T0 y -T1.
Los efectos principales del uso de T0 es la serializacin de los sondeos de
forma que slo se sondea un puerto cada vez, y se espera cinco minutos antes
de enviar cada sonda. Las opciones T1 y T2 son similares pero slo esperan
15 y 0.4 segundos entre sondas, respectivamente. El comportamiento por
omisin de Nmap es T3, que incluye sondeos en paralelo.
CIBERTEC

01 Aspectos Básicos de Redes

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

01 Aspectos Básicos de Redes

Enviado por

Direitos autorais:

Formatos disponíveis

Aspectos Bsicos de Redes

Aspectos Bsicos de Redes

Al finalizar el captulo, el alumno podr:

Identificar los campos ms importantes de los protocolos: ICMP, IP, TCP y

Internet Control Message Protocol (ICMP).

Teora de estmulo y respuesta.

Uso de NMAP para escaneo de redes

Aspectos Bsicos de Redes

La suite TCP/IP es el stack de protocolos utilizado para comunicaciones en Internet y

Aspectos Bsicos de Redes

Provee fragmentacin y reensamblaje de paquetes para soportar enlaces de

En esta capa se segmentan los datos que provienen de la capa de aplicacin.

Servicios no orientados a conexin: transmite datos sin necesidad de

Aspectos Bsicos de Redes

La fragmentacin permite el paso de paquetes de gran tamao (hasta 1420 bytes), a

2.1. Fragmentacin Normal de Paquetes

Ethernet: 1518 bytes (tpicamente 1500 bytes).

Aspectos Bsicos de Redes

En la fragmentacin normal de paquetes se tiene una serie de consideraciones,

Aspectos Bsicos de Redes

Proceso de fragmentacin de un paquete de 4028 bytes

Aspectos Bsicos de Redes

El segundo fragmento contendr la Cabecera IP + la informacin restante para llegar

2.2. Fragmentacin anormal de Paquetes

Aspectos Bsicos de Redes

Aspectos Bsicos de Redes

ICMP Internet Control Messages Protocol

3.1. Teora de ICMP

Aspectos Bsicos de Redes

Los mensajes ICMP son transmitidos en el interior de datagramas IP, como se

Respuesta al mensaje Echo Request.

que no se sabe cmo llegar a su direccin

IP, debido a que no se tiene un servidor en

el puerto solicitado o porque no se pudo

Tipo 4: Source Quench

descartar paquetes de entrada porque su

cola de salida se ha llenado.

Enviado por un router a otro equipo para

Enviado por un router para dar a conocer

un nuevo equipo a la red. Se enva a una

Tipo 10: Router Solicitation

Enviado por un equipo o router, para pedir

Tipo 11: Time Exceded

Enviado por un router cuando debe eliminar

un paquete IP porque ha agotado su

Aspectos Bsicos de Redes

contador de saltos, o enviado por el destino

Se usa como respuesta para errores que

Contiene una marca de tiempo del equipo

Tipo 17: Address Mask

El router que recibe este mensaje debe

responder con un Address Mask Reply.

Es una respuesta a la peticin de tipo 17,

con la que un router informa sobre la

mscara correspondiente, a la red por la

que recibi la peticin.

Tipo 30. Traceroute Reply

Traceroute, aadida a su cabecera.

Aspectos Bsicos de Redes

Tabla 1 : Tipos de Paquetes ICMP

Con la nueva versin del protocolo IP (IPv6), se definen nuevos mensajes

3.2. Uso Convencional de ICMP

RFC 896 Source Quench

RFC 950 Address Mask Extensions.