Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Escribiendo firmas para el sistema de detección de versiones de Nmap

546 views

Published on

En esta presentación aprendemos como funciona el sistema de detección de versiones de Nmap y como podemos escribir nuestras propias firmas para reconocer nuevos servicios en nuestra red.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Escribiendo firmas para el sistema de detección de versiones de Nmap

  1. 1. Detección de versiones con Nmap Escribiendo firmas de detección de versiones
  2. 2. Motor de detección de versiones El sistema de detección de versiones es de las funciones más útiles en Nmap. Nos ayuda a identificar: ● Protocolos y aplicaciones ● Versiones ● Funcionalidad y módulos A veces los servicios no son reconocidos correctamente: ● Firma incorrecta/desactualizada ● No existe firma aún
  3. 3. Campos de firmas de servicios Probe ports sslportse match softmatch totalwaitms fallback rarity tcpwrapped
  4. 4. Probe Syntax: Probe <protocol> <probename> <probestring>
  5. 5. Otras directivas ● ports ● sslports ● rarity ● totalwaitms ● fallback
  6. 6. match Syntax: match <service> <pattern> [<versioninfo>]
  7. 7. versioninfo ● p/vendorproductname/ ● v/version/ ● i/info/ ● h/hostname/ ● o/operatingsystem/ ● d/devicetype/ ● cpe:/cpename/[a]
  8. 8. softmatch Syntax: softmatch <service> <pattern>
  9. 9. Una firma de servicio Probe TCP Help q|HELPrn| rarity 3 ports 1,7,21,25,79,113,119,515,587 sslports 465 totalwaitms 7500
  10. 10. Otra firma de servicio # This is the NULL probe that just compares any banners given to us ##############################NEXT PROBE############################## Probe TCP NULL q|| # Wait for at least 5 seconds for data. Otherwise an Nmap default is used. totalwaitms 5000 # Windows 2003 match ftp m/^220[ -]Microsoft FTP Servicern/ p/Microsoft ftpd/ match ftp m/^220 ProFTPD (dS+) Server/ p/ProFTPD/ v/$1/ softmatch ftp m/^220 [-.w ]+ftp.*rn$/i match ident m|^flock() on closed filehandle .*midentd| p/midentd/ i/broken/ match imap m|^* OK Welcome to Binc IMAP v(d[-.w]+)| p/Binc IMAPd/ v$1/ softmatch imap m/^* OK [-.w ]+imap[-.w ]+rn$/i match lucent-fwadm m|^0001;2$| p/Lucent Secure Management Server/ match meetingmaker m/^xc1,$/ p/Meeting Maker calendaring/ match napster m|^1$| p/Lopster Napster P2P client/
  11. 11. ¿Qué aprendimos? ● El sistema de detección de versiones nos sirve para identificar aplicaciones, protocolos, versiones e incluso funcionalidad. ● El sistema está basado en firmas que son almacenadas en el archivo nmap-service-probes. ● Podemos extender este sistema y crear nuestras propias firmas.

×