La detección de escaneos NMAP en nuestra red es una práctica fundamental para mantener la seguridad de nuestros sistemas. NMAP es una herramienta de escaneo de redes utilizada para identificar sistemas y servicios disponibles en una red. Aunque tiene usos legítimos como la administración de redes, también puede ser utilizado por actores malintencionados para identificar vulnerabilidades y explotarlos.

Existen varias metodologías y herramientas que puedes utilizar para detectar el escaneo NMAP. Algunas de estas incluyen la inspección de tráfico de redes, monitorización de logs y el uso de soluciones de detección de intrusos.

Para la inspección del tráfico, puedes utilizar herramientas de captura de paquetes como Wireshark o Tcpdump. Estas herramientas capturan y analizan el tráfico de red en tiempo real y pueden identificar patrones de tráfico asociados con escaneos NMAP. Los paquetes de red asociados a NMAP suelen tener ciertas características específicas, como, por ejemplo, una cantidad inusual de paquetes SYN o paquetes con banderas TCP raras (fuente: “Detecting Nmap Scans with Wireshark”, Hack The Box).

En cuanto a monitorización de logs, las conexiones de red y los intentos de conexión se registran en los logs del sistema o del servidor. Al revisar estos logs, puedes buscar patrones o comportamientos sospechosos, como una gran cantidad de solicitudes de conexión desde una misma IP, lo cual puede sugerir un escaneo NMAP (fuente: “Detecting Network Scans with Log Data”, LogRhythm).

Además, las soluciones de detección de intrusos, como Snort o Suricata, son herramientas muy útiles para detectar escaneos NMAP. Estos sistemas están diseñados para identificar patrones de tráfico que corresponden a intentos de intrusión y pueden alertar de un posible escaneo NMAP (fuente: “Intruder Detection”, CERN).

Un ejemplo concreto podría ser un escaneo SYN de NMAP. Este tipo de escaneo es particularmente difícil de detectar ya que nunca completa la conexión TCP, por lo que puede no quedar registrado en los logs. Sin embargo, herramientas de análisis de tráfico como Wireshark pueden detectarlo al observar una cantidad inusual de paquetes SYN en el tráfico de la red (fuente: “The Art of Port Scanning”, NMAP.org).

Finalmente, es importante tener en cuenta que ninguna de estas técnicas garantiza una detección completa de todos los escaneos NMAP. La mejor estrategia es a menudo una combinación de múltiples técnicas y tener una buena comprensión de lo que es “normal” en tu tráfico de red.

Referencias:
- “Detecting Nmap Scans with Wireshark”, Hack The Box: https://www.hackthebox.eu/.
- “Detecting Network Scans with Log Data”, LogRhythm: https://logrhythm.com/blog/.
- “Intruder Detection”, CERN: https://home.cern/cern-people/updates/2016/04/intruder-detection-new-online-security-course-available.
- “The Art of Port Scanning”, NMAP.org: https://nmap.org/book/man-port-scanning-techniques.html.

DinoGeek ofrece artículos sencillos sobre tecnologías complejas

¿Desea ser citado en este artículo? Es muy sencillo, contáctenos en dino@eiki.fr.

CSS | NodeJS | DNS | DMARC | MAPI | NNTP | htaccess | PHP | HTTPS | Drupal | WEB3 | LLM | Wordpress | TLD | Nombre de dominio | IMAP | TCP | NFT | MariaDB | FTP | Zigbee | NMAP | SNMP | SEO | E-Mail | LXC | HTTP | MangoDB | SFTP | RAG | SSH | HTML | ChatGPT API | OSPF | JavaScript | Docker | OpenVZ | ChatGPT | VPS | ZIMBRA | SPF | UDP | Joomla | IPV6 | BGP | Django | Reactjs | DKIM | VMWare | RSYNC | Python | TFTP | Webdav | FAAS | Apache | IPV4 | LDAP | POP3 | SMTP