Este documento resume varias herramientas de red comunes. Nmap es un escáner de red que permite verificar puertos abiertos y sistemas operativos. Iptables es el cortafuegos de Linux que permite filtrar y traducir paquetes. DIG es una herramienta para consultar el DNS. TCPDUMP captura paquetes de red.

1. Herramientas de Redes
Ramiro Estigarribia Canese

2. Nmap
Nmap es un programa de código abierto
que permite realizar verificaciones múltiples en las redes.
Por ejemplo, se puede averiguar que puertos están activos
en una computadora, y también los bloqueados por un
firewall.
Fué escrito por Gordon Lyon (más conocido por su alias
Fyodor Vaskovich).
Se usa para evaluar la seguridad de sistemas, así como
para descubrir servicios o servidores en una red.

3. Nmap
Ha sido la herramienta utilizada
por Hollywood para mostrar en escenas de hacking, o
expertos en seguridad informática.
Lista de películas: http://nmap.org/movies/

4. PC local.
nmap localhost

5. nmap -sV -O (Dirección IP)
Obtiene información acerca de los puertos y
detección del sistema operativo.
Ejemplo:
nmap -sV -O www.ande.gov.py
PORT STATE SERVICE VERSION
25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.2.14 (Ubuntu)
443/tcp open ssl/http Apache httpd 2.2.15 (CentOS)
5060/tcp filtered sip
No OS matches for host

7. nmap 190.128.222.* -p 80
Obtener una lista de servicios con un puerto.
nmap 190.128.222.* -p 80
Nmap scan report for pool-1-222-128-190.telecel.com.py (190.128.222.1)
Host is up (0.020s latency).
PORT STATE SERVICE
80/tcp open http
Nmap scan report for pool-5-222-128-190.telecel.com.py (190.128.222.2)
Host is up (0.024s latency).
PORT STATE SERVICE
80/tcp closed http
Nmap scan report for pool-5-222-128-190.telecel.com.py (190.128.222.3)
Host is up (0.026s latency).
PORT STATE SERVICE
80/tcp filtered http

8. nmap -sP 192.168.0.*
Buscar las IP activas, se puede hacer de 3 formas:
● nmap -sP 192.168.0.*
● nmap -sP 192.168.0.0/24
● nmap -sP 192.168.1.100-120
Nmap scan report for 192.168.1.100
Host is up (0.0056s latency).
Nmap scan report for 192.168.1.103
Host is up (0.032s latency).
Nmap scan report for 192.168.1.110
Host is up (0.00029s latency).
Nmap done: 256 IP addresses (3 hosts up) scanned in 3.69 seconds

9. Iptables
Es el cortafuegos o firewall del kernel
de Linux.
Permite no solamente filtrar paquetes, sino también
realizar traducción de direcciones de red (NAT) y
mantener registros de log, en caso de encontrar
anomalías.
Iptables permite al administrador del sistema definir
reglas acerca de qué hacer con los paquetes de red.

10. Iptables
Las reglas se agrupan en cadenas: cada cadena es
una lista ordenada de reglas.
Las cadenas se agrupan en tablas: cada tabla está
asociada con un tipo diferente de procesamiento de
paquetes.
Cada regla especifica qué paquetes la cumplen
(match) y un objetivo que indica qué hacer con el
paquete si éste cumple la regla

11. Iptables
Cadenas básicas:
INPUT: Entrada.
OUTPUT: Salida.
FORWARD: Reenvío.
POSTROUTING: Tomar decisiones para la red local.
Acciones a realizar:
ACCEPT: Aceptar una conexión.
DROP: Descartar una conexión, sin avisar.
REJECT: Descartar una conexión avisando.
Borrar todas las reglas en Iptables:
iptables --flush

12. Iptables
Formas de insertar y eliminar las reglas:
Iptables -I: Agrega una regla, en la primera posición.
Iptables -A: Agrega una regla, en la última posición.
Iptables -D: Elimina una regla.
Iptables -P: Sirve para definir las políticas por defecto.
Ejemplos:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -D INPUT -p tcp --dport 80 -j DROP
Si quiero bloquear la entrada de 1 IP atacante:
iptables -i INPUT -s 192.168.1.1 -j DROP

13. Compartir internet para la red 192.168.1.0/24:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 200.108.136.35 -j ACCEPT
iptables -A INPUT -p tcp -j DROP
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j
MASQUERADE
Iptables Ejemplos

14. Compartir internet, solo en los puertos: 80, 53 y 443:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -p tcp -
dport 80 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -p tcp -
dport 443 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -p udp
-dport 53 -j MASQUERADE
Iptables Ejemplos

15. Iptables Ejemplos
Bloquear todo, y redireccionar el puerto 3389:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j
DNAT --to-destination 192.168.3.9:3389

16. Iptables Ejemplos
Ejemplo:
nmap -sV -O www.ande.gov.py
PORT STATE SERVICE VERSION
25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.2.14 (Ubuntu)
443/tcp open ssl/http Apache httpd 2.2.15 (CentOS)
5060/tcp filtered sip
Probablemente el Firewall de la Ande sea así:
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 5060 -j REJECT

17. Iptables Ejemplos
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-
destination 192.168.1.1
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-
destination 192.168.1.2
Más del Firewall de la ANDE:
80/tcp open http
Apache httpd 2.2.14 (Ubuntu)
443/tcp open ssl/http
Apache httpd 2.2.15 (CentOS)

18. DIG
Es una herramienta de administración de red para
consultar el Sistema de nombres de dominio (DNS).
Es útil para detectar problemas de red, principalmente
entre servidores correo y sitios web.
Ejemplo: Identificar el servidor de www.copaco.com.py
dig www.copaco.com.py
;; ANSWER SECTION:
www.copaco.com.py. 84279 IN A 201.217.1.239
84279 : Es un número para verificar si se hizo algún
cambio.

19. DIG Ejemplos
Identificar el servidor DNS:
dig ns presidencia.gov.py
;; ANSWER SECTION:
presidencia.gov.py. 68904 IN NSns2.senatics.gov.py.
presidencia.gov.py. 68904 IN NSns1.senatics.gov.py.
En este caso, corresponde al DNS de SENATICS
Identificar el servidor de Correo:
dig mx ande.gov.py
;; ANSWER SECTION:
ande.gov.py. 388552 IN MX 10 mail.ande.gov.py.
mail.ande.gov.py. 454130 IN A 200.85.34.26

20. DIG Ejemplos
Identificar si el IP tiene servidor de Correo:
dig x 190.128.222.59
;; ANSWER SECTION:
26.34.85.200.in-addr.arpa. 86304 IN PTR mail.ande.
gov.py.
A esto también se le llama: DNS reverso.

21. Identificar si el Dominio tiene configuración SPF:
dig txt afd.gov.py
;; ANSWER SECTION:
afd.gov.py. 3600 IN TXT "v=spf3 ip4:
200.108.136.48/29 mx:mail.afd.gov.py -all"
DIG Ejemplos

22. DIG Ejemplos
Identificar si el Dominio tienen Servidor FTP:
dig ftp.rieder.net.py
;; ANSWER SECTION:
ftp.rieder.net.py. 3600 IN CNAME www.rieder.net.py.
www.rieder.net.py. 3600 IN A 200.108.130.7

23. DIG Ejemplos
Identificar el servidor de Copaco, utilizando el DNS de
Google:
dig www.copaco.com.py @8.8.8.8
;; ANSWER SECTION:
www.copaco.com.py. 19510 IN A 201.217.1.239

24. TCPDUMP
Es un herramienta cuya utilidad principal es analizar el
tráfico que circula por la red.
Permite al usuario capturar y mostrar a tiempo real los
paquetes transmitidos y recibidos en la red a la cual el
ordenador está conectado.
La tarjeta de red se pone en modo promiscuo y va a
capturar todo lo que pasa.

25. TCPDUMP
Ejemplos:
Capturar tráfico cuya dirección IP de origen es
190.128.131.250 (Diario Ultima Hora):
tcpdump src host 190.128.131.250
23:49 IP www.ultimahora.com.http > 10.3.2.42.51476: Flags [.], ack 1,
win 471, length 1380
Capturar tráfico cuya dirección origen o destino sea
190.128.131.250:
tcpdump host 190.128.131.250
23:49 IP www.ultimahora.com.http > 10.3.2.42.51476: Flags [.], ack 1,
win 471, length 1380
23:49 IP 10.3.2.42.51476 > www.ultimahora.com.http: Flags [.], ack
218040, win 16560, length 0

26. Capturar tráfico cuya dirección IP es
190.128.131.250, sin resolver DNS: (mas rápido)
tcpdump host 190.128.131.250 -n
23:49 IP 190.128.131.250.80 > 10.3.2.42.51476: Flags [.], ack 1, win
471, length 1380
Capturar tráfico cuya dirección IP es
200.85.32.59, y el puerto es 25 (correo de tigo)
tcpdump host 200.85.32.59 and port 25 -n
23:49 IP 200.85.32.59.25 > 200.108.130.5.51476: Flags [.], ack 1, win
471, length 1380
TCPDUMP
Ejemplos:

27. TCPFLOW
Tcpflow es un analizador de tráfico bastante
potente y sencillo de usar.
La gran diferencia con tcpdump, es que en lugar
de mostrar las conexiones, este muestra los datos
transmitidos, con lo que permite la interpretación
de los mismos.

28. TCPFLOW
Ejemplos.
Mostrar en pantalla todos los datos transferidos
por el puerto 80 (navegación).
tcpflow -c port 80
192.168.1.1: GET /__utm.gif?utmwv=5.4.5
&utms=1&utmn=1203542486&utmhn=www.abc.
com.py&utmcs=UTF-
8&utmsr=1024x600&utmvp=1009x514&utmsc=24-
bit&utmul=en-us&utmje=1&utmfl=11.2%
20r202&utmdt=Noticias%20de%20Paraguay

29. TCPFLOW
Ejemplos.
Mostrar en pantalla todos los datos transferidos
por el puerto 80, para el ip 192.168.1.110 .
tcpflow -c port 80 and host 192.168.1.110
192.168.001.110: GET /__utm.gif?utmwv=5.4.5
&utms=1&utmn=1203542486&utmhn=www.abc.
com.py&utmcs=UTF-
8&utmsr=1024x600&utmvp=1009x514&utmsc=24-
bit&utmul=en-us&utmje=1&utmfl=11.2%
20r202&utmdt=Noticias%20de%20Paraguay

30. TCPFLOW
Ejemplos.
Mostrar en pantalla todos los datos transferidos
por el puerto 25 (navegación).
tcpflow -c port 25
font-family: 'Helvetica Neue', Helvetica, Arial, sans-
serif; font-size: 20px;
line-height: 18px;"><a href="javascript:void(0)"
style="text-decoration: none;color: white;cursor:
default">lilopez@fleni.org.ar</a> quiere
seguirte</td>

31. TELNET
(Telecommunication Network)
Es una aplicación que opera en un entorno de
cliente/servidor, lo que implica que el equipo remoto se
configura como servidor, por lo que espera que el otro
equipo le solicite un servicio.
Permite para manejar al equipo remoto, mediante la red.
Para que la conexión funcione, la máquina a la que se
acceda debe tener un programa activo y permitiendo
conexiones entrantes.

32. TELNET
Ejemplos.
Conectarse a un equipo en internet:
telnet eisner.decus.org

33. TELNET
Ejemplos.
Conectarse a un sitio web:
telnet www.copaco.com.py 80
get index.php

34. TELNET
Ejemplos.
Una manera de enviar correos, sin utilizar Outlook, es
conectarse a un servidor, con un TELNET al puerto 25:
telnet mx1.hotmail.com 25
220 SNT0-MC2-F11.Snt0.hotmail.com helo hotmail
mail from:prueba@hotmail.com
250 prueba@hotmail.com....Sender OK
rcpt to:ramiroec@hotmail.com
data
354 Start mail input; end with <CRLF>.<CRLF>
prueba de correo
<Snt0.hotmail.com> Queued mail for delivery

35. Traceroute
Traceroute es una herramienta de diagnóstico para
mostrar el camino de los paquetes en una red IP y su
retardo en tránsito.
Analiza la conexión entre la máquina donde se ejecuta
y el host destino especificado por el usuario.
Para definir la traza entre ambos extremos, se
determina la dirección de cada salto de red existente
en la trayectoria, con el objetivo de establecer la
calidad del enlace.

36. Traceroute a Google
8.8.8.8

37. MTR
Combina las funcionalidades de traceroute y ping en una
única utilidad de diagnóstico.
Prueba cada uno de los saltos que hay desde que un
paquete se envía hasta que llegar a su destino, realizando
pings en cada uno de ellos y sacando por pantalla
estadísticas de respuesta en porcentajes de cada uno de
estos saltos cada x segundos.
Es de extrema utilidad para detectar fallos de conectividad
entre redes.
Mientras esta en ejecución presionando la tecla n,
transforma los nombres DNS en IPs.

38. Fing: Escáner de red
para Android
Nos permite escanear una red Wifi y buscar todos los
equipos que estén conectados a la misma.
Por otro lado también nos permite hacer varias cosas
interesantes, como por ejemplo escanear los puertos
del equipo (nmap),, hacer un ping, trazar la ruta desde
nuestro smartphone hasta otro lugar (traceroute).

39. Fing: Escáner de red
para Android

40. Preguntas
1. ¿Qué es NMAP? ¿Para qué sirve?
2. Escriba el comando de NMAP para escanear los puertos de:
www.unibe.edu.py.
3. ¿Qué es Iptables? ¿Para qué sirve?
4. ¿Qué es DIG? ¿Para qué sirve?
5. Escriba el comando para identificar el servidor de: www.
copaco.com.py.
6. ¿Qué es TCPDUMP? ¿Para qué sirve?
7. Escriba el comando tcpdump para capturar el trafico de:
10.10.1.1
8. ¿Qué es TCPFLOW? ¿En qué se diferencia con TCPDUMP?
9. ¿Qué es TELNET? ¿Para qué sirve?