Analizando hosts y topologia de una red con NMAP

Grafo generado por NMAP del escaneo sobre una red LAN.

Grafo generado con nmap con información obtenida durante escaneo de una red LAN.

Si bien no busco hacer ningún análisis exhaustivo de NMAP ni sobre metodologías de analisis de redes, pentesting, etc, si quiero dejar un yeite bastante útil a la hora de comenzar a estudiar una red cualquiera sea el motivo.

NMAP permite, entre otras tantas cosas, definir una mascara de red para la ip objetivo que se desea escanear ampliando el rango de análisis. Por ejemplo:

# nmap 192.168.10.0/24

........
56738/tcp unknown unknown
57294/tcp unknown unknown
57797/tcp unknown unknown
58080/tcp unknown unknown
60020/tcp unknown unknown
60443/tcp unknown unknown
61532/tcp unknown unknown
61900/tcp unknown unknown
62078/tcp unknown iphone-sync
63331/tcp unknown unknown
64623/tcp unknown unknown
64680/tcp unknown unknown
65000/tcp unknown unknown
65129/tcp unknown unknown
65389/tcp unknown unknown

Nmap scan report for balyn04.ba.local (192.168.10.131)
Host is up (0.041s latency).
All 1000 scanned ports on balyn04.ba.local (192.168.10.131) are closed
MAC Address: 40:6A:AB:B5:82:4D (Unknown)

Nmap scan report for balyn09.ba.local (192.168.10.135)
Host is up (0.014s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
515/tcp open printer
631/tcp open ipp
9100/tcp open jetdirect
MAC Address: 9C:93:4E:13:F8:E7 (Unknown)

Nmap done: 256 IP addresses <strong>(31 hosts up)</strong> scanned in 61.91 seconds

Si bien obtenemos mucha información por cada host, esto podría ocasionar mucho ruido en la red y obtendríamos mucha mas información que la deseada por cada host activo.

Podemos ajustar un poco el escaneo con los parametros -sP. El comportamiento de nmap con esos parámetros es el siguiente:

#nmap –sP 172.26.1.1
tcpdump Output:
09:26:49.324016 192.168.5.20 > 172.26.1.1: ICMP: echo request
09:26:49.324083 192.168.5.20.40435 > 172.26.1.1.http: . ack 1942297083 win 3072

# nmap 192.168.10.0/24 -sP

C:\Users\jgonzalez>nmap 192.168.10.0/24 -sP

Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-04 11:45 Hora estßndar de Arge
ntina
Nmap scan report for 192.168.10.2
Host is up (0.022s latency).
MAC Address: A4:BA:DB:A0:C7:F7 (Dell)
Nmap scan report for batmg01.ba.local (192.168.10.10)
....
....
Host is up (0.0010s latency).
MAC Address: 3C:D9:2B:00:65:B6 (Unknown)
Nmap scan report for godel.ba.local (192.168.10.129)
Host is up.
Nmap scan report for balyn04.ba.local (192.168.10.131)
Host is up (0.086s latency).
MAC Address: 40:6A:AB:B5:82:4D (Unknown)
Nmap scan report for balyn09.ba.local (192.168.10.135)
Host is up (0.0050s latency).
MAC Address: 9C:93:4E:13:F8:E7 (Unknown)
Nmap done: 256 IP addresses (31 hosts up) scanned in 22.00 seconds

C:\Users\jgonzalez>

Basicamente se envian paquetes echo del protocolo ICMP y se queda a la espera de un reply para cada dispositivo dentro de la red:

icmp

Entre otras cosas útiles, la GUI de NMAP ( Zenmap ) nos da la posibilidad de obtener un grafo de la topologia que elegimos visualizar. Hago esta aclaracion ya que dependiendo de los filtros que utilicemos a la hora de escanear la red, tendremos una vision completa, o parcial de la misma. Por ejemplo:

nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127

Con este comando solo obtendríamos información los primeros 128 hosts de la red /24 que estamos escaneando.

Este tipo de análisis,  si bien genera mucho menos trafico que uno estándar,  no se acerca a un escaneo pasivo. En estos procedimientos el análisis sigue ocurriendo en la capa de red, es decir, sigue habiendo paquetes IP a través de la red permitiendo que cualquier IDS/FIREWALL con un poco de inteligencia pueda detectarlo y hacer invisibles a los hosts o tomar cualquier otra medida preventiva. El análisis pasivo sucede en la capa 2 del modelo OSI, haciendo uso del ARP flooding que se supone un comportamiento esperado del protoclo. Esto es debido a que Ethernet es un estándar de máximo esfuerzo que funciona con CSMA/CD ( Carrier Sense Multiple Access with Collision Detect ) y ARP provee al estándar del mecanismo de máximo esfuerzo en la entrega a través de los broadcast que permiten localizar dentro de un dominio de colisión ( área de alcance del ARP flooding ) al host con el que se desea comunicar el dispositivo de origen.

arp

 

Este tipo de escaneo se puede realizar con herramientas como arping o con los parámetros -PR de nmap.

Dejo para descargar un documento con varios casos interesantes hecho por los desarrolladores de nmap: discoveryNMAP

:wq!