Ten en cuenta que en las ciencias un error casi siempere suele tener más de una resoluciones, pero aquí compartiremos lo más óptimo y mejor.
Solución:
Esta es la forma más sencilla de realizar descubrimiento de host con nmap.
nmap -sP 192.168.2.1/24
¿Por qué no funciona todo el tiempo?
Cuando este comando se ejecuta, nmap intenta hacer ping al rango de direcciones IP dado para verificar si los hosts están activos. Si el ping falla, intenta enviar paquetes de sincronización al puerto 80 (escaneo SYN). Esto no es cien por ciento confiable porque los firewalls modernos basados en host bloquean el ping y el puerto 80. El firewall de Windows bloquea el ping de forma predeterminada. Los hosts que tiene en la red están bloqueando el ping y el puerto 80 no acepta conexiones. Por lo tanto, nmap asume que el host no está activo.
Entonces, ¿hay alguna solución a este problema?
Si. Una de las opciones que tiene es usar el indicador -P0 que omite el proceso de descubrimiento de host e intenta realizar un escaneo de puertos en todas las direcciones IP (en este caso, se escanearán incluso las direcciones IP vacantes). Obviamente, esto tomará una gran cantidad de tiempo para completar el escaneo, incluso si se encuentra en una red pequeña (20-50 hosts). pero te dará los resultados.
La mejor opción sería especificar puertos personalizados para escanear. Nmap le permite sondear puertos específicos con paquetes SYN / UDP. Por lo general, se recomienda sondear los puertos de uso común, por ejemplo, TCP-22 (ssh) o TCP-3389 (escritorio remoto de Windows) o UDP-161 (SNMP).
sudo nmap -sP -PS22,3389 192.168.2.1/24 #custom TCP SYN scan
sudo nmap -sP -PU161 192.168.2.1/24 #custom UDP scan
NB, incluso después de especificar puertos personalizados para escanear, es posible que no obtenga un host activo. Mucho depende de cómo esté configurado el host y qué servicios esté utilizando. Así que solo tienes que seguir probando con diferentes combinaciones. Recuerda, no realices escaneos en una red sin la debida autorización.
actualizar: Al escanear una red, nunca puede estar seguro de que un comando en particular le dará todos los resultados deseados. El enfoque debe ser comenzar con un barrido de ping básico y, si no funciona, intente adivinar las aplicaciones que pueden estar ejecutándose en los hosts y pruebe los puertos correspondientes. La idea de utilizar Wireshark también es interesante. Puede intentar enviar paquetes ACK.
nmap -sP -PA21,22,25,3389 192.168.2.1/24 #21 is used by ftp
actualización dos: Los indicadores -sP y -P0 ahora se conocen como -sn y -Pn respectivamente. Sin embargo, los indicadores más antiguos todavía funcionan en las versiones más nuevas.
La forma más fácil de verificar esto es verificar las tablas ARP después de hacer el barrido de ping usando nmap:
arp -a -n
Esto enumera todos los hosts que respondieron a una consulta ARP, incluso los que filtran ICMP.
Wireshark también es genial.
Es posible que desee consultar Wireshark. Registra todo el tráfico en la red local. Le dirá qué nodos están transmitiendo. También puede ver lo que se está transmitiendo. Está disponible en el Centro de software de Ubuntu.
Además, aquí hay un enlace sobre la instalación de Wireshark en Ubuntu a través de la línea de comandos.
Con respecto al tráfico que se muestra en sus tablas de enrutamiento DHCP, recuerde que muchas máquinas virtuales aparecerán como máquinas separadas en la lista. Todo lo que esté conectado a su red generalmente dentro del tiempo de arrendamiento predeterminado de 24 horas (para la mayoría de los enrutadores WiFi) seguirá apareciendo en la lista. Es posible que desee verificar la duración de las concesiones en el enrutador. Podría indicarle si alguien está en su red durante la noche. En algunos dispositivos que tienen dos NIC o una NIC y una tarjeta inalámbrica, aparecerán dos veces si ambas interfaces están habilitadas.
Otras cosas que mucha gente se olvida de estar en la red:
- Switches gestionados
- Algunas impresoras
- Tarjetas de administración remota del servidor
- Celulares
- Tivo y otros DVR
- Televisores Apple
- Algunas Televisiones
- reproductores de DVD
- Receptores A / V de red
- Playstations, XBox, etc.
- Dispositivos de juego portátiles
- Ipads y otras tabletas
- Ipods y reproductores de música
- PDAs
- Teléfonos IP como Magic Jack Plus
Hace unos 6 años en la oficina estaba trabajando en nuestra pequeña conexión de 3mb se redujo a 128k debido a todo el exceso de tráfico. Los propietarios querían saber si era posible ver qué estaba pasando. El viejo tipo de TI a tiempo parcial se encogió de hombros porque no todo el tráfico pasaba por su servidor Windows 2000. Comprobó las tablas de enrutamiento y los registros de tráfico en el servidor y no vio nada. No estaban usando un enrutador lo suficientemente extraño, por lo que cualquier cosa en la red podría obtener una dirección del módem. Las tablas de enrutamiento que miró en el servidor eran solo para static mapeos que existían un par de años antes. Noté que no estaban en la misma subred. Luego les mostré que DHCP no estaba activado en el servidor.
Encontré todo el tráfico entrando después de horas en un barrido nocturno con Wireshark. Uno de mis compañeros de trabajo, sin saberlo, alojaba un sitio de sexo japonés en su máquina. Los atacantes habían rooteado su máquina después de que instaló una puerta trasera que venía junto con una versión descifrada de un software de edición de video de alta gama. También descubrimos que estaban corriendo Tor
, demonoid
, y bitTorrent
en varias máquinas en diferentes departamentos en diferentes momentos. Wireshark encontró todo. Al día siguiente, Internet estaba a toda velocidad … también instalamos un enrutador.
Si no está preparado para Wireshark, es posible que también desee probar tcpdump
.
Valoraciones y comentarios
Al final de la web puedes encontrar las interpretaciones de otros usuarios, tú igualmente puedes mostrar el tuyo si dominas el tema.