© (SIRT -«v mana rer NMAP 6: Listado de comandos Unién Europea ESPECIFICACION DE OBJETIVOS! ‘Opeién | Nombre: Funcionamiento ‘Observaciones iL [Objetivos _ | Se pasan Tos objetivos en un fichero, cada uno fenfichero_| en una linea! “IR | Odjetivos | Elge los objetivos de forma sleatoria alestorios liste Thdica equipos @ exclu del endl, lexclusibn Fichero | Se pasan en un fichero los equipos & exchur del ‘exclusion | analss! DESCUBRIMIENTO DE EQUIPOS. ‘Opcién —|_Nombre: Funcionamiento ‘Observaciones “pn |o ping | No realiza ninguna técnica de descubrimiento, | Considera a todos los objetves Pasa cirectamente al andisis de puerto, como aptos para un andilss de puertes “st List Sean | Solo Tista equipo. Hace resolucion inversa ONS. No envia ningun paquete a los objetivos. =sn| Ping Sweep | implica un -PE + -PA 60 + -PS 443, “ST usuario sin privilegios Si misma subred, también -PR connect() 2 80 y 443. No hace andiisis de puertos posterior. Hace resolucién inversa DNS. “PR [Ping ARP | Séio pare objetivos de nuestra red local (active | Host Up: Se recibe un ARP Reply. por defecto) ‘ost Down: Expira el timeout. Envia un ARP Request; “PS Ping TCP Envie un SYN, por defecto al puerto 60. ‘ost Up: Se recibe un SYNJACK © svn ‘Acepta lsta de puertos RST. Se ejecuta este si usuario sin prvilegios. ‘ost Down: Expira el timeout. =PA | Ping TCP | Envia un ACK vacio, por defecto al puerto 80. | Host Up: Se recipe un RST. ACK Acepta lista de puertos, Host Down: Expira el timesut. “raspasa cortafuegos sin estado. =PU [Ping UDP /Envia un UDP vacio al puerto 31338. ost Up: Se recibe un ICHP port ‘Acepta lista de puerto unreachable. ‘Traspasa cortafuegos que séloFitran TCP, Host Down! Otros ICMPs, expira el timeout, “PY Ping SCTP | Envla un paquete SCTP INIT al puerta 60 ‘ost Up: Se recibe ABORT © Acepta lista de puertos. INIT-ACK, Solo usuarios privilegiados. Host Down: Expira el timeout. =PE | Ping {CHP Envia un ICMP Echo Request. ‘Host Up: Se recibe ICMP Echo eho Poco fiable. Fitrado en la mayoria de Reply. cortafuegos, ‘ost Down: Expira el timeout. “PP [Ping ICMP |Envia un ICMP Timestamp Request. ‘ost Up: Se recibe ICMP Timestamp | Muchos cortafuegos no fitran este ICMP. Timestamp Reply. ost Down: Expira el timeout. |IP Protocol | Envla sondas IP con protocolo I, 24 ‘ost Up: Respuesta o ICMP Prat Ping Acepta lista de protocols. Unreachable Host Down: Expira el timeout. Modificadores =n DNS ‘No realza nunce resolucién inversa de DNS, | Mas sigloso y més rapido. Rk Realza la resolucion inversa de ONS incuso @ los objetivos que aparecen como Down, cdne-servers specifica la ista de servidores DNS a ubllzar ‘ para hacer ia resolucion “aystem-dns Usiiza el sistema de resolucign ONS del sistema operativa —Aracetoute | Rute Descubre ia ruta seguida por Tos paquetes hasta el equipo objetive * Los objetivos, ya sean nombres de maquina, direcciones TP, o cualquier otro formato aceptado por Nmap, deben aparecer cada uno en una linea distinta, CSIRT-cv - http:, /www.csirtcv.gva.esie © CSIRT-CV NMAP istado de comandos ‘ANALISIS DE PUERTOS ‘Opcisn | Nombre Funcionamiento ‘Observaciones Sst [Connect Envi un SYW, luego un RST pare corar Closed: Reabe RST. canexion, ‘Open: Recibe SYN/ACK Puede wttzarse sin priviegios de roct Ftered: ICMP unreachable 0 Se utlzan llamadas del SO. expire timeout. Nenos efciente que SYM Steatth 3s sw ervia un SY Closed: Recibe RST. Steatty | Es la técnica usada por defect ‘Open: Reeve SYN/ACK Répida, fable yrelatvemente sgiosa Ftered: ICMP unreachable 0 ‘También denominada hal-open scan txpira el timeout “aU UPD Sean [Envi UDP vacte Ciosed: Recibe ICHP port Nas lento que un anaisis TCP. Lnrescnabie Se puede realizar en paralelo a otras téencas. | Ffered: Recibe otros ICMP Para cferenciar entre Open Fitered se puede | unreachable. sar el detector de versiones (-3V) ‘Open: Ha habido une respuesta. Open|Fitered Expire tmeott. “aI [Tale Sean | Compieja. Use IPoigen de un equipo ‘Teenie muy aianzada y sgiosa. - Segin ios cambios en el IPLD del zombie, se | paquete directo a objetivo, deduce el estado de fs puertas del objetivo. “aA | TEPACK | Envi. ACK vacio. ‘nitered: Recibe RST Sélo determine s los puetos estén 0 no Filtered: ICMP error; expire el Flredos. fmeout “aN TOP NULL —[Envia TCP con todos ts Paps 0. ‘Closed: Recibe RST Fiterea: Recbe 1 Unreacnabe. “aF [TEP FIN Envi TOP con el fag FIN T ee er “ax Rag Sean Envi TOP con Tos Maga FIN, PSH URG aT Mr Envie ACK con el fag FIT Haimon Wer Envla ACK vad, ‘Open: Race RST con Window Window | Muy parecido a ACK Steath 26 postive Diferencia entre puertos open y closed Closed: Recibe RST con Window No siempre es Fable. size-cera Fitered: ICMP error; expe e timeout. ~scanflags (TCP Evia TCP con as Tags que se indiqen: ‘lage posibies: URG, ACK, PSH, ‘flags> | Personal. | Por defect trata estado de puertos como lo | RST, SYN, y FIN. Sin espacios. hace “#5, prose puede especificr otra scan =30]1P Proteeat [Evia paquets IP con le cabecera vaca ‘Open: Recibe cualquier respuesta (xcepta para TCP, UDP e ICHP) Rerando sobre | (no eer) fl campo IP Proto), Closed: Recive ICMP protocol Determina los prtocolos de transporte lnreachabie soportados por el objetivo. Filtered: Recbe otros ICMP Linrescnabie Open[Fitered: expire el eimeout. “aY | SCIP INIT | Envia paquetes SCIP INIT (neo conexGnj. Open: Reeibe SCTP INIT-ACK Eauivalente 9 TcP SYW Closed: Recbe SCIP ABORT. Fiterea: Recbe ICMP Linreachableo expire timeout ScTP | Evia paquetes SCTP Coatie Echo (3* fase | Closea: Recibe SCTP ABORT Cookie | conextn) ‘peniritered:expira timeout Eena | Uti si hay cortafuegos sin estado, Phtered: Recioe EMP Anreachabie b | FIP Bounce | Usa Ta Tunconalidad Pron-F1P para recorer | Expota las conaxiones PrOW= Puertos del objetivo, FIP, poco extenaidos tis respuestas FTP inican estado cel puerto, | Se use pre traspasar Parémeto: Username'pwaGserverpore cortfueges. ESPECIFICACION DE PUERTOS Opelsn Funeionarsiento Observaciones TF | Lime eT an@Ts a fos 100 puertos mde comunes (ver [Por defecto, se Usa los 1000 PUeTIOS archive nmap-services). mas comunes CSIRT-cv - http://www.csirtcv.gva.es 2RT-CV NMAP istado de comandos GG Tos puertos se analizan en orden secuencial reciente, | Por efecto, [a sta de puertos se recorte sleatoriamente =perango> | Especifica el rango de puertos @ analzar Ef -p U'53,.11,1:21-25,80,139,5°9 =p- escanea todos los puertos Sin espacio. Ur ingica sélo UDP; T: s6lo TCP; S: s6lo SCTP. —Fop-ports | Analiza los puertos més comunes, segin ‘ | clasfcacién de Nmap. “-port-ratio | Analiza los puertos cuye ratio de uso Sea superior @ cratio> | DETECCION DE VERSIONES: Opeién. Funcionamiento Observaciones “sv | Interroga el conjunto de puertos abiertos detectados | También Usedo para dstingulr entre para tratar de descubrir servicios y versiones en puertos | puertos marcados como open|fitered. abiertos “allports | Incluye todos fos puertos en le fase de deteccién de versiones. Por defecto se excluyen algunos. ~-version= | Intensidad con que se realizan pruebas para comprobar Intensity | servicos y versiones disponibles, ‘ | Valores 6¢ 0 (igera) a 9 (tadas pruebas disponibles) S-version= Alias de -version-intensity 2 light ‘lias de —verson-intensity 9 Muestra traza ce activicad del analiss de versiones y | Ut servicios para tareas de depuracion, DETECCION DE SISTEMA OPERATIVO. ‘pein Funcionamiento ‘Observaciones: “0 Envia paguetes TCP y UDP al objetivo. Muy efectivo si al menos existe un ‘analiza las respuestas para conocer qué tipo de puerto abierto y otro cerrado Implementacion de a pla TCP/IP tiene el objetivo, Limita la deteccién del SO a objetivos prometedores, Realiza un proceso mas agresive para la deteccion del| Alias! ~fuzay SO, Fija maximo de intentos para detectar e! SO. or defecto, 5 intents: EVASION DE CORTAFUEGOS/IDS Y SPOOF ‘Opeién | _Nombre Funcionamiento ‘Observacion “f Fragmentar [Divide los paquetes en fragmentos de 8 bytes | Usado para diicir las cabeceras aquetes | después de la cabecera IP. ‘TCP y complicar su andiss, Cada f extra aumenta en 8 bytes més el tamafio 4e los fragmentos. miter specifica el tamaro deseado, En miltiplos de 8 bytes. ‘Tamafo del | Ariade datos aleatori a los paquetes enviados. paquete | Por defecto, las sondas se envian vacias Usado debide a que un paquete no vacio es menas saspechoso. ‘Objetivos — | Divide la iste de objetivos en grupos de hasta aleatorios | 16384 equipos y los analiza en orden aleatori Evita flujo de paquetes hacia IP consecutivas (suele ser sospechoso) > ‘Sefusios | Permite especticar un conjunt de IP véidas | Usado para enmascararla propia [,} analisis a modo de sefiuelos. ‘raza del origen, Las respuestas de los objetivos llegarén también | Los sefiuelos deben estar actives. a los sefuelos. =Seip> |Falsear | Envia paquetes IP con la dreccign ovigen Usado para hacer creer al direccion/ | especiicada ‘objetivo que hay otra persona =spoof-mac |puerto | Envla tramas Ethernet con la drecsn origen | escanedndolo, ‘ |origen | especificada ‘igunos ISP firan las IP erigen Sino se especifca completa, el resto se falseacas. completa de forma aleatoria No se reciben respuestas “a Envia paquetes usando el puerto especiicado, | Usado porque muchos cuando sea posible. cortafuegos aceptan conexiones ~-sourceport fentrantes a puertostipicos como pee. 1CP20 6 UPS CSIRT-cv - http://www.csirtcv.gva.es 3Gs RT-CV NMAP istado de comandos ve [Defnr [Define a intrfaz dere, en cate de ern Ingerfaz__| milpes, parle que Nmap lonzaré- andi —ip-options | Opciones | Permtetijar planes del protocla IP. ds nfo y eemplos en: opts IP Routers bloquean muchas de ela. rtp feetits org/nmap- Uti para definir 0 reconocer rutas. dew/2006/93/52 =i evalor> [TT Fija el empo de vida de las sondas envieges “badsum | Cneckzums [Use checksum Inveldos pare TCP, UDP y ScTP, | Usado porque muchos tncorrectos Comaksegos/i05 na procesan teste campo y los objetivoss ~adler32 | SCIP |Usilza método de caeuo de resumen Adler32, —| Ut pare tener respuestas oe Checksum | en gar dl actual CRC-22C, para paquetes | implementaiones ScTP sere antiguas. ‘TEMPORIZACION Y RENDIMIENTO? ‘Opeién [Nombre Funcionamiento ‘Observaciones w-min- | Objetvos | Exablece ios mites min y mximo de hhostgroup [en paraelo | objetvos que se pueden analzar de forma ‘cnum> concurrete, “ue “-min- [Pruebas en Establace is ites minima y mdse Ge UU en redes 0 aquipasTentos parallel | paraiso |proeoas ue puecen estar levencose acabo de. | Valor emasiado ato puece forme concurrente sfectar preesin. Por defecto valor dindmic basado en el paralieliom Fendimiento dele rea. Sininret= | Tempe de | Noaiicaw tempo de espera de respuestaza | Ui n rea ropa 0 alanco Timeout [respuesta | sondes enviedos. muchos puertos estan cerredos sctime> |deias | Sivence el tempo de espera, map considera max-ret- |sondas | que no hay respuesta y sigue conf siguiente timeout onda ‘stime> For defecto valor dinémico basado en tempo de initia fondes anteriores. ‘meout ‘ctime> ~max-retries [Revansmis | Eepectica el almero de retransmisines pare [Por defeco 10 Teintentos ‘cnum>~ |iones "| cada sonda, en caso de no reer respuesta “host: | Tempo de espectes el tempo maximo que ccupa Nmap en| UE para andlis grandes en timeout | andisis de |e! andlsis de un equipo competo. Sivence este |reces poco fialeso lens, @ ‘ctime> [equipo |tempo, nose muestra nada sobre el mismo en” | costa de perder algunos el anal Final resultados, “ean-delay | Tiempo Define e tiempo ical y maximo Gue espera | Unt sta red iit tase oe ‘etime>.” jane. | nmap entre cada prueba transferencia ode expuests. -maxcacan- |sondes | Nmap tata de ajustr ese tempo de forma | Pe}. equipos que solo ervian 1 ingmica respuesta ICMP por segundo, Tasa de | Controls a aaa de envio de sondee erviode | Ampto slob del andi, no por ebsevo, fondes Taefeat-rst- [Limite de | Muchos equipos imitan, ademe del nimero de | Puede recuer predon Fatelimit. |respuestas |ICHP, el nimero.de RST Que envian ner or defecto Nmap se ajista al limite Este pardmetro nace que fimap no fenga en Cuenta este lite ansack= | Water S/S | Fuerza eso de un moter de conta de entrada | Valores POSTE epOTY See engine |nsock | slide T | Pantilos [Define una pantie gendrca de Wernpon, que | Vlora (de + @ lento) {detempo | configura viros de es parsmetos visto Paranoid, sneaky, polte, normal, fanteriormente ‘29gressive, insane. ‘lias: 0a 5 (p.e). -T4), Por defecto: Normal (3) 2 Los tiempos se miden por defecto en segundos. Se pueden utilizar otras unidades de medida afiadiendo los sufijos ‘ms’ (milisegundos), 's' (segundos), 'm' (minutos), 0h (horas). Por ejemplo 30m, 500ms o 2h. CSIRT-cv - http:, /www.csirtcv.gva.esie © CSIRT-CV NMAP 6: Listado de comandos SCRIPTING Opeién Funcionamiento Observaciones Tneluye en el ands actual el conjunto por defecto de | Equvalente 9 Serbs (algunos pueden ser intrusives). serps default