Escaneando el cyberespacio.

Me encuentro a las 3:25 a.m. viendo unos videos de la CCC conference.

Y me dieron ganas de escribir este articulo informal de como poder escanear muchos hosts de una manera rapida y sencilla.

Algo que me gusta tener en cuenta para poder ver todo en un modelo cientifico es escribir y tener en cuenta mis recursos y mi poder de computo.

Es decir un verdadero hacker no tiene siempre un modelo definido a seguir y sus tecnicas se adaptan a los recursos con los que se cuente en un momento determinado. Algunas veces podemos estar en una red publica como los famosos prodigymovil , algunas otras veces podemos estar en alguna red abierta de alguna institucion educativa o algunas otras podemos simplemente escanear con iwlist y ver las redes con mas potencia para despues usar una suite de pentesting para redes inalambricas y crackear la WEP capturando suficientes IVS , los cuales casi nunca exceden a 50,000 y en la mayoria de los casos como la gente de Mexico no tiene un cultura en seguridad informatica bastara con unos 20,000 IVS aprox para romper la clave default de cualquier 2Wire.

Pero bueno esto no es el unico escenario ya que muchas veces el hacker cuenta con recursos y servidores online listos para atacar, los criminales que hacen spam por ejemplo muchas veces usan maquinas zombies agrupadas en botnets para realizar sus escaneos.

Pero para fines realmente eficientes y evitar toda clase de falsos positivos lo unico que queremos es tener un enlace estable que no tenga mucha perdida de packetes y una latencia razonable, de cualquier otro modo si hacemos nuestro escaneo de nmap desde un enlace DSL de 512 kbps obviamente sera muy lento. Es recomendable hacerlo desde conexiones que tengan unos 4 mbps de download y 1 mbps de upload como minimo.

Hay que tener en cuenta que escanear el cyberespacio como lo dice el post se tiene que tener en cuenta que es un proceso muy complejo, muchos de ustedes instalaran el .exe para windows daran miles de next next next y se sentiran realizados cuando salen los resultados. Pero cuando se hace un escaneo REAL y sobre todo EFICIENTE se tiene que ver esto como un proceso integral compuesto de ciertas variables.

Por ejemplo al usar la db_nmap de la suite de la sudo ./msfconsole esto sera un proceso en ruby en el cual lanzara muchos procesos y pues utilizara el procesador de nuestra computadora , nuestra memoria , nuestra conexion de internet , etc.

Por eso cuando se corren escaneos como el siguiente:
sudo nmap -vvv -d -sS -F 189.156-158.185-192.23,50,100,5,1,254,55,111,222
Tenemos que saber que ya no se trata de una tarea que tomara solo un par de minutos.

Cuando son demasiados los hosts que tenemos que escanear y son maquinas remotas tenemos que tener en cuenta muchas muchas cosas. Y los tiempos de respuesta, los ttl , las respuestas de los DNS, la velocidad de los dispositivos que estemos escaneando y posiblemente tendremos que tener en cuenta tambien que muchos de estos estaran utilizando firewalls, IDS, IPS de marcas como fortinet, websense, blah blah blah! Espero se entienda lo que trato de proyectar en mi post y alguien encuentre algo de provecho en la informacion.

Yo puedo comentar que mis escaneos ahora tienen un 5% de errores es decir muchos falsos negativos desde el punto de vista del atacante. Que es cuanto me detecta un puerto abierto que no esta abierto cuando hago el manual testing mediante nc , telnet, entrando a la interface web si este es un puerto 8080 8000 443 80 e intentando el username default , muchas veces cuando esto no es posible se utiliza thc hydra siendo este el *nix cracker mas eficiente que conozco que soporta multiples protocolos.

Bueno ya me canse de tanto teclear disfruten el post y espero sus comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: