Tips para prevenir ataques DDOS

Distribuido de denegación de servicio (DDoS) están siempre en los principales titulares en todo el mundo, ya que están plagando sitios web en los bancos, y prácticamente de casi todas las organizaciones que tienen una destacada presencia en línea. La causa principal detrás de la proliferación de los ataques DDoS es que hay un costo muy bajo que el atacante tiene que incurrir para poner ataque de este tipo en movimiento.Afortunadamente, hoy en día diversos métodos de prevención se han desarrollado para hacer frente a este tipo de ataques. Antes de ahondar aún más en la comprensión de las formas de prevenir el ataque DDoS, vamos a entender primero qué es exactamente un ataque DDoS es!

La comprensión de ataque DDoS

Un DDoS (distribuido de denegación de servicio) ataque es un intento hecho por los atacantes para hacer recursos de las computadoras "inaccesible a su usuario previsto.Con el fin de llevar a cabo un ataque DDOS los atacantes nunca utiliza su propio sistema;sino que crean una red de ordenadores zombi a menudo llamadas como una "botnet" - que es un hervidero de computadoras, para incapacitar a un sitio web o un servidor web.

Vamos a entender la idea básica! Ahora, el atacante notifica a todos los ordenadores presentes en la red de bots para mantenerse en contacto con un sitio en particular o en un servidor web, una y otra vez. Esto aumenta el tráfico en la red que hace que en el retraso de la velocidad de un sitio para los usuarios previstos. Lamentablemente, a veces el tráfico puede ser muy alto que puede llegar incluso al cierre de un sitio completo.

3 consejos básicos para prevenir un ataque DDoS

Hay varias maneras de prevenir el ataque DDOS; Sin embargo, aquí en este puesto de invitado voy a estar cubriendo tres consejos básicos que le ayudarán a proteger su sitio web desde el ataque DDoS.

1.  Compre más ancho de banda.

Uno de los métodos más fáciles es asegurarse de que tiene suficiente ancho de banda en su web. Usted será capaz de hacer frente a un montón de ataques DDoS a baja escala simplemente mediante la compra de más ancho de banda con el fin de atender las solicitudes. ¿Cómo ayuda? Bueno, distribuidos de denegación de servicio es una nada más que un juego de capacidad. Supongamos que usted tiene 10.000 sistemas informáticos cada distribución de 1 Mbps dirigidas a su manera. Esto significa que usted está recibiendo 10 GB de datos que está golpeando a su servidor web cada segundo.Ahora, eso hace que una gran cantidad de tráfico!

Así que para evitar este tipo de problema, es necesario aplicar la misma norma destinada para la redundancia normal. Según esta técnica, si usted desea tener más servidores web sólo multiplica alrededor de diversos centros de datos y el uso siguiente marca de equilibrio de carga. Mediante la difusión de su tráfico a varios servidores ayudará a equilibrar la carga y lo más probable es crear un gran espacio adecuado para manejar el aumento incesante en el tráfico.

Sin embargo, hay un problema con este método que está comprando más ancho de banda puede ser un asunto costoso. Y como usted sabrá que los ataques DDoS actuales son cada vez más grande, y puede ser mucho más grande exceder su límite de presupuesto.

2.  Optar por DDoS Mitigation Services.

Una gran cantidad de redes o servicios de Internet los proveedores de render capacidades de mitigación de DDoS. Busque un proveedor de servicios de internet que tenga la mayor protección DDoS y la red de mitigación, las herramientas automatizadas, y un grupo de técnicos anti-DDoS talentosos con los medios para tomar medidas en tiempo real de acuerdo con las distintas características de ataque DDoS. Una alternativa viable es utilizar un dispositivo de prevención de ataques DDoS, que está destinado específicamente para descubrir y prevenir los ataques distribuidos de denegación de servicio.

3.  Restringido Conectividad.

En caso de tener sistemas informáticos que están conectados a la web directamente, una mejor idea es instalar correctamente / configurar los routers y cortafuegos para limitar la conectividad. Para un ejemplo, mientras recibe algunos datos de una máquina cliente sólo se puede permitir que el tráfico pase por la máquina sólo en unos pocos puertos elegidos (como HTTP, POP, SMTP, etc.) a través del firewall.

Los sitios web son en gran parte siendo atacados por hackers cada segundo. Ataque de denegación de servicio es increíblemente enorme y cada vez está creando un montón de problemas para las organizaciones empresariales que tienen una fuerte proximidad en línea. En este puesto de invitado que no sólo va a entender lo que es un ataque DDoS significa en realidad, pero también se llega a saber acerca de algunos tipo de métodos para prevenir los ataques DDoS. Ya mencionados son tres consejos que voy a recomendar que usted funcione a través de al menos entender por dónde empezar la construcción de una red de banda elástica con posibilidades de sobrevivir a un ataque DDoS.

Herramienta de Windows USB Sniffer - SnoopyPro

SnoopyPro es un peso ligero, autónomo (no necesita instalación) herramienta sniffer USB, se registrará todo el intercambio de datos entre dispositivos USB y su controlador en un entorno Windows. Definitivamente funciona en Windows XP, inseguro acerca de las versiones más recientes.
Saludos a mi gran amigo el SGuisao - #Ratm.

SnoopyPro le permite interceptar, mostrar, registrar y analizar el protocolo USB y todos los datos transferidos entre cualquier dispositivo USB conectado a su PC y aplicaciones. Se puede utilizar con éxito en el desarrollo de aplicaciones, controlador de dispositivo USB o el desarrollo de hardware y ofrece la plataforma poderosa para la codificación eficaz, las pruebas y optimización.

Monitor USB es bastante caro pero cuesta $ 65USD, tal vez es hora de que alguien escriba una herramienta de monitoreo actualizado USB de código abierto olfateando /.

Puede descargar USBSnoop aquí:

SnoopyPro-0.22.zip

Análisis forense en sistemas Mac OS X. Tools!

Existen tres herramientas gratuitas ideales para análisis forense de sistemas Mac OS X que son: Disk Arbritrator, OS X Auditor y Mac memoryze.


Disk Arbitrator es una utilidad diseñada para ayudar a realizar los procedimientos forenses correctos durante la exploración de un dispositivo de disco.  Cuando está activada, bloquea el montado de sistemas de archivos para evitar el montado como lectura y escritura y la violación de la integridad de las pruebas. Es importante señalar que no es un bloqueador de software de escritura, no cambia el estado de los dispositivos conectados, ni afecta a los dispositivos recién conectados.

Más información y descarga de Disk Arbitrator:
https://github.com/aburgh/Disk-Arbitrator

OS X Auditor es una herramienta de análisis forense para Mac OS X. Esta herramienta analiza el sistema o una copia del mismo, buscando las siguientes partes:

Las extensiones del kernel.
Los agentes del sistema y demonios.
Agentes de terceros y demonios.
Elementos de inicio del sistema.
Agentes de los usuarios.
Archivos descargados de los usuarios.
Las aplicaciones instaladas.

Extrae las siguientes invidencias forenses relativas a los usuarios de la maquina:

Los archivos en cuarentena.
El historial de Safari: descargas, sitios mas visitados, ultima sesión y bases de datos HTML5.
El localstore de los usuarios de Firefox: cookies, descargas, historial de formularios, permisos, lugares y inicios de sesión.
El historial de  Chrome: cookies, datos de inicio de sesión, los mejores sitios, datos de la web, bases de datos y el almacenamiento local de HTML5.
Las cuentas sociales y correo electrónico.
Los puntos de acceso WiFi del sistema, auditando donde ha sido conectada tratando de geolocalizarlos.
También busca palabras clave sospechosas en los propios “.plist”.

Se puede verificar la reputación de cada archivo en busca de malware, utilizando los servicios: Team Cymru's MHR, VirusTotal, Malware.lu y su propia base de datos local. Puede agregar en una zipball todos los registros de los siguientes directorios: “/var/log (-> /private/var/log)”,  “/Library/logs” y “nombreusuario~/Library/logs”.

Finalmente, los resultados pueden ser presentados como: un archivo de registro sencillo txt, un archivo de registro HTML o enviado a un servidor Syslog.

Más información y descarga de OS X Auditor:
https://github.com/jipegit/OSXAuditor

Memoryze para Mac es un software forense que ayuda al estudio de evidencias en memoria RAM de sistemas Mac OS X. Memoryze puede adquirir y analizar imágenes de la memoria. El análisis se puede realizar en imágenes de la memoria fuera de línea o en sistemas vivos.

Más información y descarga de Memoryze:
http://www.mandiant.com/resources/download/mac-memoryze

OAT - Oracle herramientas de auditoría para la seguridad de base de datos

Oracle herramientas de auditoría es un conjunto de herramientas que se podrían utilizar para auditar la seguridad dentro de los servidores de bases de datos Oracle.
OAT utiliza Crear biblioteca para poder acceder a la función WinExec en el kernel32.dll en Windows o la llamada al sistema en libc de Un * x. Tener acceso a esta función hace posible la ejecución de cualquier cosa en el servidor con el mismo contexto de seguridad como el usuario que ha iniciado el servicio de Oracle. Así que, básicamente, todas las cuentas con contraseñas por defecto, o fácil de adivinar la contraseña, que tiene este privilegio pueden hacer esto.

OAT tiene un servidor TFTP incorporado para realizar transferencias de archivos fácil. Las herramientas son Java basa y se pusieron a prueba en Windows y Linux. Deben de esperar también funcionar en cualquier otra plataforma Java.
No escribimos sobre muchas herramientas de Oracle, ya que tienden a ser un 'Enterprise' poco pero lo hicimos ODAT tapa y forma antes de que OAPScan:
- ODAT (Oracle Database Tool Town) - Prueba de Oracle Database Security
- OAPScan - Escáner de Oracle Application Server

Contiene

• OraclePWGuess - Un ataque de diccionario herramienta que se puede utilizar con los diccionarios suministrados por el usuario o con el apoyo incorporado para encontrar cuentas predeterminadas.
• OracleQuery - Una herramienta de consulta SQL basada en línea de comandos minimalista.
• OracleSamDump - Se conecta al servidor de Oracle y ejecuta TFTP get, a buscar el binario pwdump2. El servidor es entonces pwdump2: ed y el resultado se devuelve a la carpeta SAM del servidor TFTP.
• OracleSysExec - Se puede ejecutar en modo interactivo, permitiendo al usuario especificar comandos para ser ejecutados por el servidor o en modo automático. En modo automático, netcat se TFTPD al servidor y se une una concha a la 31337 puerto tcp.
• OracleTNSCtrl - se utiliza para consultar el oyente TNS para diversa información, como la utilidad lsnrctl Oracle. Es algo se limita sin embargo. Utilice el comando help para ver comandos implementados curently.

Requerimientos

- Java Runtime Environment
- Controlador JDBC de Oracle (classes111.zip o classes12.zip)
Puede descargar OAT aquí:
Versión 1.3.1 fuente oat-source-1.3.1.zip
Versión 1.3.1 binario oat-binary-1.3.1.zip

Top 30 de Nmap ejemplos de comandos para SYS / Red Admins

# 1: Escanear un único host o una dirección IP (IPv4)

  # # # Escanear una única dirección IP # # #
 nmap 192.168 0,1 0,1

 # # Escanear un nombre de host # # #
 nmap server1.cyberciti.biz

 # # Escanear un nombre de host con más info # # #
 nmap-v server1.cyberciti.biz

Salidas de muestra:

Fig.01: salida de nmap

# 2: Escanear varias direcciones IP o subred (IPv4)

  nmap 192.168.1.1 192.168.1.2 192.168.1.3
 # # Trabaja con la misma subred 192.168.1.0/24 es decir,
 nmap 192.168.1.1,2,3

Puede escanear un rango de direcciones IP también:

  nmap 192.168.1.1-20

Puede escanear un rango de direcciones IP utilizando un comodín:

  nmap 192.168.1. *

Por último, permite escanear una subred completa:

  192.168.1.0/24 nmap

# 3: Lea la lista de hosts / redes desde un archivo (IPv4)

La IL-opción le permite leer la lista de sistemas de destino mediante un archivo de texto. Esto es útil para analizar un gran número de hosts / redes. Cree un archivo de texto como sigue:
cat > /tmp/test.txt
Salidas de muestra:

  server1.cyberciti.biz
 192.168.1.0/24
 192.168.1.1/24
 10.1.2.3
 localhost

La sintaxis es la siguiente:

  nmap-iL / tmp / prueba.txt

# 4: Exclusión de hosts / redes (IPv4)

Al escanear un gran número de hosts / redes se pueden excluir los hosts de una exploración:

  nmap 192.168.1.0/24 - exclude 192.168.1.5
 nmap 192.168.1.0/24 - exclude 192.168.1.5,192.168.1.254

O Excluir lista desde un archivo llamado / tmp / exclude.txt

  nmap-iL / tmp / scanlist.txt - excludefile / tmp / exclude.txt

# 5: Encienda el script de sistema operativo y versión de escaneo de detección (IPv4)

  nmap-A 192.168.1.254
 nmap-v-A 192.168.1.1
 nmap-A-iL / tmp / scanlist.txt

# 6: Para saber si un host / red están protegidos por un firewall

  nmap-sA 192.168.1.254
 nmap-sA server1.cyberciti.biz

# 7: Escanear un host si está protegido por el firewall

  nmap-PN 192.168.1.1
 nmap-PN server1.cyberciti.biz

# 8: Escanear un host de IPv6 / dirección

La opción -6 habilitar el análisis de IPv6. La sintaxis es la siguiente:

  nmap -6 IPv6-Address-aquí
 nmap -6 server1.cyberciti.biz
 nmap -6 2607: f0d0: 1002:51 :: 4
 nmap-v A -6 2607: f0d0: 1002:51 :: 4

# 9: Escanear una red y averiguar qué servidores y dispositivos están en marcha

Esto se conoce como anfitrión descubrimiento o exploración de ping:

  nmap-sP 192.168.1.0/24

Salidas de muestra:

  Host 192.168.1.1 es hacia arriba (0.00035s latencia).
 Dirección MAC: BC: AE: C5: C3: 16:93 (Desconocido)
 Host 192.168.1.2 es hacia arriba (0. 0038s latencia ).
 Dirección MAC: 74:44:01:40:57: FB (Desconocido)
 Host 192.168.1.5 está arriba.
 Host nas03 (192.168.1.12) es más (0.0091s latencia).
 Dirección MAC: 00:11:32:11:15: FC (Synology Incorporated)
 Nmap hecho: 256 direcciones IP de hosts (4 más) escaneada en 2,80 segundos

# 10: ¿Cómo puedo realizar un análisis rápido?

  nmap-F 192.168.1.1

# 11: Muestra la razón, un puerto está en un estado particular

  nmap - razón 192.168.1.1
 nmap - server1.cyberciti.biz razón

Mostrar únicamente los puertos abiertos (o posiblemente abierto): # 12

  nmap - open 192.168.1.1
 nmap - abierto server1.cyberciti.biz

# 13: Muestra todos los paquetes enviados y recibidos

  nmap - packet-trace 192.168.1.1
 nmap - packet-trace server1.cyberciti.biz

14 #: show interfaces de host y rutas

Esto es útil para la depuración ( comando ip o comando route o comando netstat como salida usando nmap)

  nmap - iflist

Salidas de muestra:

  Starting Nmap 5.00 (http://nmap.org) en 2012 -11 -27 02: 01 EST
 INTERFACES ************************ ************************
 DEV (SHORT) IP / máscara de tipo UP MAC
 lo (lo) 127,0 0,0 0,1 / 8 hasta loopback
 eth0 (eth0) 192.168 0,1 0,5 / 24 ethernet hasta B8: AC: 6F: 65: 31: E5
 vmnet1 (vmnet1) 192.168 0.121 0,1 / 24 ethernet hasta 00: 50: 56: C0: 00: 01
 vmnet8 (vmnet8) 192.168 0.179 0,1 / 24 Ethernet hasta 00: 50: 56: C0: 00: 08
 ppp0 (ppp0) 10,1 0,19 0,69 / 32 hasta point2point

 ************************** RUTAS *********************** ***
 DST / MASK DEV PASARELA
 10,0 .31 .178 / 32 ppp0
 209,133 .67 .35 / 32 eth0 192.168 0,1 0,2
 192.168 0,1 0,0 / 0 eth0
 192.168 0.121 0,0 / 0 vmnet1
 192.168 0.179 0,0 / 0 vmnet8
 169.254 0,0 0,0 / 0 eth0
 10,0 0,0 0,0 / 0 ppp0
 0,0 0,0 0,0 / 0 eth0 192.168 0,1 0,2

# 15: ¿Cómo puedo escanear puertos específicos?

  mapa-p [puerto] hostName
 # # Escanear el puerto 80
 nmap-p 80 192.168 0,1 0,1

 # # Escanear el puerto TCP 80
 nmap-p T: 80 192.168 0,1 0,1

 # # Scan UDP puerto 53
 nmap-p U: 53 192.168 0,1 0,1

 # # Escanear dos puertos # #
 nmap-p 80, 443 192.168 0,1 0,1

 # # Escanea rangos de puertos # #
 nmap-p 80 -200 192.168 0,1 0,1

 # # Combinar todas las opciones # #
 nmap-p U: 53, 111, 137, T: 21 -25, 80, 139, 8080 192.168 0,1 0,1
 nmap-p U: 53, 111, 137, T: 21 -25, 80, 139, 8080 server1.cyberciti.biz
 nmap-v-sU-sT-p U: 53, 111, 137, T: 21 -25, 80, 139, 8080 192.168 0,1 0.254

 # # Analizar todos los puertos con comodín * # #
 nmap-p "*" 192.168 0,1 0,1

 # # Escanear puertos principales, es decir $ escanear puertos numéricos más comunes # #
 nmap - TOP-puertos 5 192.168 0,1 0,1
 nmap - top-ports 10 192.168 0,1 0,1

Salidas de muestra:

  Starting Nmap 5.00 (http://nmap.org) en 2012 -11 -27 01: 23 EST
 Puertos de interés sobre 192.168 0,1 0,1:
 PORT STATE SERVICE
 21 / tcp cerrado ftp
 22 / tcp abierto ssh
 23 / tcp telnet cerrado
 25 / tcp smtp cerrada
 80 / tcp abiertos http
 110 / tcp cerrado pop3
 139 / tcp cerrado netbios-ssn
 443 / tcp cerrado https
 445 / tcp cerrado microsoft-ds
 3389 / tcp cerrado ms plazo-serv
 Dirección MAC: BC: AE: C5: C3: 16: 93 (Desconocido)

 Nmap hecho: 1 dirección IP (1 huésped up) escaneada en 0,51 segundos

# 16: La forma más rápida para escanear todos los dispositivos / equipos para puertos abiertos a la vez

  nmap-T5 192.168.1.0/24

# 17: ¿Cómo puedo detectar el sistema operativo remoto?

Puede identificar algunas aplicaciones y el sistema operativo host remoto utilizando la opción-O :

 nmap-O 192.168 0,1 0,1
 nmap-O - osscan-Supongo 192.168 0,1 0,1
 nmap-v-O - osscan-Supongo 192.168 0,1 0,1

Salidas de muestra:

 Starting Nmap 5.00 (http://nmap.org) en 11/27/2012 01:29 IST
 NSE: Cargado 0 secuencias de comandos para la exploración.
 Inicio de ARP Ping Scan a las 01:29
 Escaneo 192.168.1.1 [1 puerto]
 Completado ARP Ping Scan a las 01:29, 0.01s transcurrido (1 hosts totales)
 Iniciar paralelo resolución DNS de un host.  a las 01:29
 Completado resolución DNS en paralelo de un host.  a las 01:29, 0.22s transcurrido
 Iniciar SYN Scan sigilo a las 01:29
 Escaneo de puertos 192.168.1.1 [1000]
 Descubierto 80/tcp puerto abierto en 192.168.1.1
 Descubierto 22/tcp puerto abierto en 192.168.1.1
 Completado SYN Scan sigilo a las 01:29, 0.16s transcurrido (1000 puertos en total)
 Inicio de detección de sistema operativo (prueba n º 1) en contra de 192.168.1.1
 Intentando de nuevo OS detección (prueba # 2) contra 192.168.1.1
 Intentando de nuevo OS detección (prueba n º 3) en contra de 192.168.1.1
 Intentando de nuevo OS detección (prueba n º 4) contra 192.168.1.1
 Intentando de nuevo OS detección (prueba n º 5) contra 192.168.1.1
 Host 192.168.1.1 es hacia arriba (0.00049s latencia).
 Puertos de interés sobre 192.168.1.1:
 No se muestra: 998 puertos cerrados
 PORT STATE SERVICE
 Ssh 22/tcp abierto
 80/tcp abierto http
 Dirección MAC: BC: AE: C5: C3: 16:93 (Desconocido)
 Tipo de dispositivo: WAP | Aplicaciones generales | Router | Imprimir | router de banda ancha
 Funcionamiento (sólo una suposición): Linksys Linux 2.4.X (95%), Linux 2.4.X | 2.6.X (94%), Mikrotik RouterOS 3.x (92%), Lexmark Embedded (90%), Enterasys embedded (89 %), D-Link Linux 2.4.X (89%), Linux 2.4.X Netgear (89%) 
  Agresivo conjeturas SO: OpenWrt White Russian 0,9 (Linux 4.2.30) (95%), OpenWrt 0,9 a 7,09 (Linux 2.4.30 a 2.4.34) (94%), OpenWrt Kamikaze 7,09 (Linux 6.2.22) (94% ), Linux 2.4.21-2.4.31 (probablemente incrustado) (92%), Linux 2.6.15-2.6.23 (embedded) (92%), Linux 2.6.15-2.6.24 (92%), Mikrotik RouterOS 3.0beta5 (92%), Mikrotik RouterOS 3.17 (92%), Linux 2.6.24 (91%), Linux 2.6.22 (90%) 
  No hay coincidencias exactas para el host del sistema operativo (si usted sabe qué sistema operativo se está ejecutando en ella, ver http://nmap.org/submit/).
 TCP / IP de huella digital:
 OS: SCAN (V = 5,00 D = 11% / 27% = 22% OT CT = 1% CU = 30609% PV = Y% DS = 1% G = Y% m% = BCAEC5 TM = 50B3CA
 OS:% P = 4B x86_64-unknown-linux-gnu) SEC (SP = C8% GCD = 1% ISR = CB% TI = Z% CI = Z% II = I% TS = 7
 OS   OPS (O1 = M2300ST11NW2% O2 = O3 M2300ST11NW2% = M2300NNT11NW2% O4 O5 = M2300ST11NW2%
 OS: = M2300ST11NW2% O6 = M2300ST11) WIN (W1 = 45E8% W2 = 45E8% W3 = 45E8% W4 W5 = 45E8% = 45E8% W
 OS: 6 = 45E8) REC (R = Y% DF = Y% T = 40% W = 4600% O = CC = M2300NNSNW2% N% = Q) T1 (R = Y% DF = Y% T = 40% S
 OS: =% S A = S + F% = EN% RD = 0% Q =) T2 (R = N) T3 (R = N) T4 (R = Y% DF = Y% T = 40% W = 0% S = A% A% = Z F = R% S% = R
 OS: D = 0% Q =) T5 (R = Y% DF = Y% T = 40% W = 0% S = Z% A = S + F% = AR% O =% RD = 0% Q =) T6 (R = Y% DF = Y% T = 40% W =
 OS: 0% S = A% A% = Z = F R% S% = RD = 0% = Q) T7 (R = N) U1 (R = Y% DF = N% T = 40% IPL = 164% UN = 0% =% RIPL G RID
 OS: = G = G RIPCK%%% RUCK = G = G RUD) IE (R = Y% DFI = N% T = CD = 40% S)
 Uptime conjetura: 12,990 días (desde mié 14 de noviembre 01:44:40 2012)
 Distancia de red: 1 salto
 Predicción de Secuencia TCP: Dificultad = 200 (Buena suerte!)
 IP ID Generación de secuencia: Todo ceros
 Leer archivos de datos de: / usr / share / nmap
 OS detección realizada.  Por favor reporte cualquier resultado incorrecto en http://nmap.org/submit/.
 Nmap hecho: 1 dirección IP (1 huésped up) escaneada en 12,38 segundos
            Paquetes enviados: Raw 1126 (53.832KB) | Rcvd: 1066 (46.100KB)

Véase también: Toma de huellas dactilares de un servidor web y un servidor DNS herramientas de línea de comandos para más información.

# 18: ¿Cómo puedo detectar servicios remotos (servidor / daemon) números de versión?

  nmap-sV 192.168.1.1

Salidas de muestra:

  Starting Nmap 5.00 (http://nmap.org) en 11/27/2012 01:34 IST
 Puertos de interés sobre 192.168.1.1:
 No se muestra: 998 puertos cerrados
 ESTADO DEL PUERTO DE SERVICIO VERSION
 22/tcp abierto ssh sshd Dropbear 0,52 (protocolo 2.0)
 80/tcp abierto http?
 Un servicio reconocido a pesar de los datos que regresan.

# 19: Escanear un host que utiliza TCP ACK (PA) y TCP Syn (PS) de ping

Si el firewall está bloqueando estándar pings ICMP, pruebe los métodos siguientes descubrimiento de acogida:

  nmap-PS 192.168.1.1
 nmap-PS 80,21,443 192.168.1.1
 nmap-PA 192.168.1.1
 nmap-PA 80,21,200-512 192.168.1.1

# 20: Escanear un host con mesa de ping IP

  nmap-PO 192.168.1.1

# 21: Escanear un host que utiliza UDP mesa de ping

Este análisis no pasa por firewalls y filtros de pantalla que sólo TCP:

  nmap-PU 192.168.1.1
 nmap-PU 2000.2001 192.168.1.1

# 22: Descubre los más utilizados los puertos TCP que utilizan TCP SYN Scan

 # # # Sigiloso escanear # # #
 nmap-sS 192.168 0,1 0,1

 # # # Conocé las más comunes que utilizan los puertos TCP TCP connect scan (aviso: no hay exploración sigilo)
 # # # OS Fingerprinting # # #
 nmap-sT 192.168 0,1 0,1

 # # # Conocé las más comunes que utilizan los puertos TCP scan TCP ACK
 nmap-sA 192.168 0,1 0,1

 # # # Conocé las más comunes que utilizan los puertos TCP TCP Window scan
 nmap-sW 192.168 0,1 0,1

 # # # Conocé las más comunes que utilizan los puertos TCP TCP Maimon scan
 nmap-sM 192.168 0,1 0,1

# 23: Escanear un host para servicios UDP (UDP scan)

Mayoría de los servicios populares de Internet se extienden sobre el protocolo TCP. DNS, SNMP y DHCP son tres de los servicios UDP más comunes. Utilice la sintaxis siguiente para averiguar los servicios UDP:

  nmap-sU nas03
 nmap-sU 192.168.1.1

Salidas de muestra:

 Starting Nmap 5.00 (http://nmap.org) en 2012 -11 -27 00: 52 EST
 Estadísticas: 0: 05: 29 transcurrido; 0 anfitriones completado (1 arriba), 1 experimentando UDP Scan
 UDP Scan Tiempo: Acerca de 32,49% hecho, ETC: 01:09 (0:11:26 restante)
 Puertos de interés sobre nas03 (192,168 .1 .12):
 No se muestra: 995 puertos cerrados
 PORT STATE SERVICE
 111 / udp abierto | filtrado rpcbind
 123 / udp abierto | filtrado ntp
 161 / udp abierto | filtrado snmp
 2049 / udp abierto | filtrado nfs
 5353 / udp abierto | filtrado zeroconf
 Dirección MAC: 00: 11: 32: 11: 15: FC (Synology Incorporated)

 Nmap hecho: 1 dirección IP (1 huésped up) escaneada en 1099,55 segundos

# 24: Analizar en busca de protocolo IP

Este tipo de análisis permite determinar qué protocolos IP (TCP, ICMP, IGMP, etc) son compatibles con los equipos de destino:

  nmap-sO 192.168.1.1

# 25: Digitalizar un firewall para la debilidad en la seguridad

Los siguientes tipos de exploración explotar una escapatoria sutil en el TCP y bueno para probar la seguridad de los ataques más comunes:

 # # TCP Null Scan para engañar a un servidor de seguridad para generar una respuesta # #
 # # No establece ningún bit (encabezado TCP bandera es 0) # #
 nmap-sN 192.168 0,1 0.254

 # # TCP Fin scan para comprobar firewall # #
 # # Establece sólo el bit FIN TCP # #
 nmap-sF 192.168 0,1 0.254

 # # TCP Xmas escaneado para comprobar firewall # #
 # # Establece el FIN, PSH, URG y banderas, encendiendo el paquete como un árbol de Navidad # #
 nmap-sX 192.168 0,1 0.254

Vea cómo bloquear Navidad packkets, syn inundaciones y otros ataques conman con iptables.

# 26: Digitalizar un servidor de seguridad de los fragmentos de paquetes

La opción-f hace que la exploración solicitada (incluyendo las exploraciones ping) a utilizar pequeños paquetes IP fragmentados. La idea es dividir la cabecera TCP a través de
varios paquetes para que sea más difícil para los filtros de paquetes, sistemas de detección de intrusos y otras molestias para detectar lo que está haciendo.

 nmap-f 192.168.1.1
 nmap-f fw2.nixcraft.net.in
 nmap-f 15 fw2.nixcraft.net.in
 # # Establece el tamaño de su propia compensación con la opción - mtu # #
 nmap - mtu 32 192.168.1.1

# 27: Capa de un análisis con señuelos

La opción-D que aparecen al host remoto que el host (s) se especifica como señuelos a escanear la red de destino también . Así, sus IDS puede informar escaneos de puertos 5-10 de direcciones IP únicas, pero no sabrán qué IP se escanearlos y que eran señuelos inocentes:

  nmap-n-Ddecoy-IP1, IP2-señuelo, su-propio-ip, señuelo-IP3, IP4-señuelo a distancia-host-ip
 nmap-n-D192.168.1.5, 10.5.1.2,172.1.2.4,3.4.2.1 192.168.1.5

# 28: Digitalizar un firewall para la falsificación de direcciones MAC

 # # # Spoof su dirección MAC # #
 nmap - spoof-mac MAC-ADDRESS-HERE 192.168 0,1 0,1

 # # # Añadir otra opción # # #
 nmap-v-sT-PN - spoof-mac MAC-ADDRESS-HERE 192.168 0,1 0,1

 # # # Usar una dirección MAC aleatoria # # #
 # # # El número 0, significa nmap elige una dirección MAC completamente al azar # # #
 nmap-v-sT-PN - spoof-mac 0 192.168 0,1 0,1

# 29: ¿Cómo puedo guardar la salida en un archivo de texto?

La sintaxis es la siguiente:

  nmap 192.168.1.1> output.txt
 nmap-oN / ruta / al / archivo 192.168.1.1
 nmap-oN output.txt 192.168.1.1

# 30: No es un ventilador de herramientas de línea de comandos?

Trate Zenmap el asignador de red oficial de interfaz:

Zenmap es el oficial de Nmap Security Scanner GUI. Se trata de una plataforma multi-(Linux, Windows, Mac OS X, BSD, etc) la aplicación gratuita y de código abierto que tiene como objetivo hacer Nmap fácil de usar para principiantes al tiempo que proporciona funciones avanzadas para usuarios experimentados de Nmap. Exploraciones de uso más frecuente se pueden guardar como perfiles para que sean fáciles de ejecutar repetidamente. Un creador de comando permite la creación interactiva de línea de comandos de Nmap. Los resultados del análisis se pueden guardar y ver más tarde. Resultados de análisis guardados se pueden comparar entre sí para ver qué se diferencian. Los resultados de los análisis recientes se guardan en una base de datos.

Puede instalar Zenmap usando el siguiente comando apt-get :
$ sudo apt-get install zenmap
Salidas de muestra:

  Password [sudo] para vivek:
 Leyendo lista de paquetes ...  Hecho
 Edificio árbol de dependencias
 Leyendo la información de estado ...  Hecho
 Los siguientes paquetes NUEVOS serán instalados:
   Zenmap
 0 actualizados, 1 se instalarán, 0 para eliminar y 11 no actualizados.
 Necesidad de obtener 616 kB de archivos.
 Después de esta operación, 1.827 kB de espacio de disco adicional se utilizará.
 Obtener: 1 chorrito http://debian.osuosl.org/debian/ / main Zenmap amd64 5.00-3 [616 kB]
 Recuperados de 616 kB en 3s (199 kB / s)
 Seleccionando previamente no seleccionado Zenmap paquete.
 (Leyendo la base de datos ... 281105 ficheros y directorios instalados actualmente.)
 Desembalaje Zenmap (de ... / zenmap_5.00 3_amd64.deb-) ...
 Procesamiento de disparadores para desktop-file-utils ...
 Procesamiento de disparadores para gnome-menus ...
 Procesamiento de disparadores para man-db ...
 Configuración de Zenmap (5.00-3) ...
 Procesamiento de disparadores para python-central ...

Escriba el siguiente comando para iniciar Zenmap:
$ sudo zenmap
Salidas de muestra

Fig.02: Zenmap en acción

Evil Foca... La Foca Maldita jaja

Evil Foca (Alpha Version) es una herramienta para pentester y auditores de seguridad que tiene como fin poner a prueba la seguridad en redes de datos IPv4 / IPv6.

La herramienta es capaz de realizar distintos ataques como:

    MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK Injection.
    MITM sobre redes IPv6 con Neighbor Advertisement Spoofing, Ataque SLAAC, fake DHCPv6.
    DoS (Denegación de Servicio) sobre redes IPv4 con ARP Spoofing.
    DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.
    DNS Hijacking.

Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas. 

Evil Foca está dividida en 4 paneles, a la izquierda el panel encargado de mostrar los equipos encontrados en la red, donde se podrá agregarlos a mano, y filtrar los resultados obtenidos.

El segundo panel, dispuesto en el centro con todos los posibles ataques a realizar con la herramienta, y a su derecha una breve descripción de cada uno de ellos.

Colocado bajo el panel anterior, se muestran los ataques que se están realizando, su configuración y su estado, permitiendo activarlo o desactivarlo.

Por último, el panel inferior donde se imprime un log de los eventos de la Evil Foca. 

Fuente y Descarga

Smooth-Sec - IDS / IPS (sistema de detección / prevención de intrusiones) en una caja

No hemos escrito acerca de Smooth-Sec por un tiempo desde que nos enteramos de que en v1 marzo de 2011.

Para aquellos que no están familiarizados, Smooth-Sec es un completamente listos IDS e IPS (Intrusion Detection System y Prevención) de distribución de Linux basada en Debian 7 (sibilancias), para 32 y 64 bits de arquitectura. La distribución incluye la última versión de Snorby, Snort, Suricata, pulledpork y Pocilga. Un proceso de instalación fácil le permite desplegar una completa IDS / IPS del sistema en cuestión de minutos, incluso para los principiantes de seguridad con experiencia en Linux mínimo.

Debian 7 Wheezy base
32 y 64 bits iso disponible. Snorby V 2.6.2
Snort V 2.9.4.6
Suricata V 1.4.3
Pocilga V 0.1.0
Pulledpork V 0.6.1
Puede descargar Smooth Sec aquí -

32-Bit - smoothsec-3.0-i386.iso
64-Bit - smoothsec-3.0-amd64.iso

O leer más aquí.