LabEx
Iniciar SesiónÚnete Gratis

Suplantar Direcciones MAC en Nmap

NmapNmapBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este laboratorio, exploraremos cómo falsificar direcciones MAC utilizando Nmap. Falsificar una dirección MAC te permite disfrazar tu identidad de red durante un escaneo, lo que puede ser útil para evitar la detección o probar la seguridad de la red.

El laboratorio aborda la especificación de una dirección MAC personalizada utilizando la opción --spoof-mac, la aleatorización de la dirección MAC con --spoof-mac 0, la adición de detalle con la bandera -v, la guardado de la salida del escaneo falsificado en un archivo y la comparación de los resultados con un escaneo normal en la terminal Xfce.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/output_formats("Output Formats") nmap/NmapGroup -.-> nmap/save_output("Save Output to File") nmap/NmapGroup -.-> nmap/port_scanning("Port Scanning Methods") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/verbosity("Verbosity Levels") nmap/NmapGroup -.-> nmap/syn_scan("SYN Scan") nmap/NmapGroup -.-> nmap/firewall_evasion("Firewall Evasion Techniques") nmap/NmapGroup -.-> nmap/stealth_scanning("Stealth and Covert Scanning") subgraph Lab Skills nmap/output_formats -.-> lab-547116{{"Suplantar Direcciones MAC en Nmap"}} nmap/save_output -.-> lab-547116{{"Suplantar Direcciones MAC en Nmap"}} nmap/port_scanning -.-> lab-547116{{"Suplantar Direcciones MAC en Nmap"}} nmap/target_specification -.-> lab-547116{{"Suplantar Direcciones MAC en Nmap"}} nmap/verbosity -.-> lab-547116{{"Suplantar Direcciones MAC en Nmap"}} nmap/syn_scan -.-> lab-547116{{"Suplantar Direcciones MAC en Nmap"}} nmap/firewall_evasion -.-> lab-547116{{"Suplantar Direcciones MAC en Nmap"}} nmap/stealth_scanning -.-> lab-547116{{"Suplantar Direcciones MAC en Nmap"}} end

Falsificar la MAC con nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1

En este paso, exploraremos cómo falsificar una dirección MAC utilizando Nmap. Falsificar una dirección MAC te permite disfrazar tu identidad de red durante un escaneo. Esto puede ser útil por varios motivos, como evitar la detección o probar la seguridad de la red.

Antes de comenzar, repasemos brevemente qué es una dirección MAC. Una dirección MAC (Media Access Control) es un identificador único asignado a un controlador de interfaz de red (NIC) para utilizarse como dirección de red en las comunicaciones dentro de un segmento de red. Es como una dirección física para tu tarjeta de red.

Ahora, usemos Nmap para falsificar nuestra dirección MAC. Usaremos la opción --spoof-mac seguida de la dirección MAC deseada y la dirección IP del objetivo.

Abre tu terminal Xfce.

Ejecuta el siguiente comando:

sudo nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1

Este comando le dice a Nmap que use la dirección MAC 00:11:22:33:44:55 durante el escaneo de la dirección IP objetivo 192.168.1.1. Probablemente verás una salida similar a un escaneo normal de Nmap, pero la dirección MAC de origen utilizada para el escaneo será la falsificada.

La salida mostrará los resultados del escaneo, incluyendo los puertos abiertos y otra información sobre el objetivo.

Salida de ejemplo (la salida específica variará según el objetivo):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
80/tcp  open  http

Nmap done: 1 IP address (1 host up) scanned in 0.10s

En este ejemplo, Nmap escanearon 192.168.1.1 utilizando la dirección MAC falsificada 00:11:22:33:44:55.

Aleatorizar la MAC con nmap --spoof-mac 0 127.0.0.1

En el paso anterior, aprendimos cómo falsificar una dirección MAC con un valor específico. En este paso, exploraremos cómo aleatorizar la dirección MAC utilizando Nmap. Esto es útil cuando quieres evitar ser rastreado al utilizar una dirección MAC predecible.

Nmap te permite aleatorizar la dirección MAC utilizando 0 como argumento para la opción --spoof-mac. Esto le dice a Nmap que genere una dirección MAC completamente aleatoria para cada escaneo.

Abre tu terminal Xfce.

Ejecuta el siguiente comando:

sudo nmap --spoof-mac 0 127.0.0.1

Este comando le dice a Nmap que use una dirección MAC aleatoria durante el escaneo de la dirección IP objetivo 127.0.0.1 (localhost).

La salida mostrará los resultados del escaneo, incluyendo los puertos abiertos y otra información sobre el objetivo. Debido a que estamos escanneando localhost, los resultados deberían ser relativamente rápidos.

Salida de ejemplo (la salida específica variará según el objetivo y la configuración del sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

En este ejemplo, Nmap escanearon 127.0.0.1 utilizando una dirección MAC aleatorizada. Cada vez que ejecutes este comando, Nmap generará una dirección MAC diferente.

Añadir detalle con nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1

En este paso, combinaremos la falsificación de la dirección MAC con un mayor detalle en Nmap. El detalle proporciona información más detallada sobre el proceso de escaneo, lo que puede ser útil para la depuración o la comprensión del comportamiento de Nmap.

La opción -v en Nmap aumenta el nivel de detalle. Usar -v una vez proporciona más información que el predeterminado, y usarlo múltiples veces (por ejemplo, -vv o -vvv) aumenta aún más el detalle.

Abre tu terminal Xfce.

Ejecuta el siguiente comando:

sudo nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1

Este comando le dice a Nmap que realice un escaneo de 192.168.1.1, falsifique la dirección MAC a 00:11:22:33:44:55 y proporcione una salida detallada.

La salida será más detallada que en los pasos anteriores, mostrando las diferentes etapas del escaneo, las sondas que se envían y las respuestas recibidas.

Salida de ejemplo (la salida específica variará según el objetivo y la configuración del sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 10:10
Scanning 192.168.1.1 [4 ports]
Completed Ping Scan at 10:10, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:10
Completed Parallel DNS resolution of 1 host. at 10:10, 0.00s elapsed
Initiating SYN Stealth Scan at 10:10
Scanning 192.168.1.1 [1000 ports]
Discovered open port 80/tcp on 192.168.1.1
Completed SYN Stealth Scan at 10:10, 0.05s elapsed (1000 total ports)
Nmap scan report for 192.168.1.1
Host is up (0.00018s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
80/tcp  open  http

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.07s
           Raw packets sent: 1001 (44.044KB) | Rcvd: 1001 (40.044KB)

Observa la información adicional proporcionada, como la carga de los scripts NSE, la iniciación de las diferentes fases de escaneo (Ping Scan, resolución DNS, SYN Stealth Scan) y el número de paquetes enviados y recibidos. Este nivel de detalle puede ser invaluable al depurar problemas de red o analizar los resultados del escaneo.

Guardar el escaneo falsificado con nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1

En este paso, aprenderemos cómo guardar la salida de un escaneo de Nmap en un archivo. Esto es útil para un análisis posterior o para generar informes. También continuaremos utilizando la falsificación de la dirección MAC.

Nmap ofrece varias opciones para guardar los resultados del escaneo. La opción -oN guarda la salida en un formato "normal", legible por humanos. La opción -oG guarda la salida en un formato apto para grep, que es útil para scripting. La opción -oX guarda la salida en formato XML, que es útil para importar en otras herramientas.

Abre tu terminal Xfce.

Ejecuta el siguiente comando:

sudo nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1

Este comando le dice a Nmap que realice un escaneo de 127.0.0.1, aleatorice la dirección MAC y guarde la salida en formato normal en un archivo llamado spoof.txt en tu directorio actual (~/project).

Una vez que se completa el escaneo, puedes ver el contenido del archivo spoof.txt utilizando el comando cat:

cat spoof.txt

La salida mostrará los resultados del escaneo en un formato legible por humanos, similar a lo que se ve en la terminal.

Salida de ejemplo (la salida específica variará según el objetivo y la configuración del sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

El archivo spoof.txt ahora contiene los resultados del escaneo de Nmap, que puedes revisar a tu conveniencia.

Revisar la salida del escaneo en la terminal Xfce

En este paso, revisaremos la salida del escaneo que guardamos en el archivo spoof.txt en el paso anterior. Esto te dará práctica en la interpretación de los resultados de un escaneo de Nmap.

Abre tu terminal Xfce.

Utiliza el comando cat para mostrar el contenido del archivo spoof.txt:

cat spoof.txt

La salida mostrará el informe de escaneo de Nmap. Analicemos las partes clave del informe:

  • Starting Nmap: Esta línea muestra la versión de Nmap y la fecha y hora en que se inició el escaneo.
  • Nmap scan report for: Esta línea indica el objetivo del escaneo (en este caso, localhost o 127.0.0.1).
  • Host is up: Esta línea confirma que el host objetivo es alcanzable. También se muestra la latencia (tiempo de ida y vuelta).
  • Ports: Esta sección lista los puertos que se escanearon y su estado (abierto, cerrado, filtrado). En el paso anterior, si todos los puertos estaban cerrados, verías "All 1000 scanned ports on localhost are closed". Si algún puerto estaba abierto, se listaría aquí con su nombre de servicio (por ejemplo, 80/tcp open http).
  • Nmap done: Esta línea resume el escaneo, incluyendo el número de direcciones IP escaneadas y el tiempo total de escaneo.

Salida de ejemplo (la salida específica variará según el objetivo y la configuración del sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Tómate un tiempo para examinar la salida y entender lo que te dice sobre el sistema objetivo. En el siguiente paso, compararemos esta salida con la salida de un escaneo normal (sin falsificación de dirección MAC) para ver si hay alguna diferencia.

Comparar con un escaneo normal en la terminal Xfce

En este paso, realizaremos un escaneo normal de Nmap (sin falsificación de dirección MAC) y compararemos su salida con la salida del escaneo falsificado de los pasos anteriores. Esto te ayudará a entender si la falsificación de la dirección MAC afecta los resultados del escaneo.

Abre tu terminal Xfce.

Primero, ejecuta un escaneo normal de Nmap de 127.0.0.1:

sudo nmap 127.0.0.1

Este comando realizará un escaneo estándar de Nmap del localhost.

Examina detenidamente la salida de este escaneo. Presta atención a lo siguiente:

  • La versión de Nmap y la hora de inicio.
  • El objetivo del escaneo (127.0.0.1).
  • Si el host está activo.
  • La lista de puertos escanneados y su estado (abierto, cerrado, filtrado).
  • El tiempo de finalización del escaneo.

Salida de ejemplo (la salida específica variará según el objetivo y la configuración del sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:25 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Ahora, compara esta salida con el contenido del archivo spoof.txt, que contiene la salida del escaneo falsificado. Puedes ver el contenido de spoof.txt utilizando el comando cat:

cat spoof.txt

¿Hay alguna diferencia entre los dos resultados de escaneo? En la mayoría de los escenarios básicos, los resultados del escaneo serán idénticos. Sin embargo, en entornos de red más complejos, la falsificación de la dirección MAC podría afectar cómo el sistema objetivo responde al escaneo, lo que podría conducir a resultados diferentes. Esto se debe a que algunos dispositivos de red o firewall pueden utilizar las direcciones MAC para el filtrado o el control de acceso.

En este entorno de laboratorio simple, el propósito principal de la falsificación de la dirección MAC es ocultar el origen del escaneo, no necesariamente para alterar los resultados del escaneo.

Resumen

En este laboratorio, exploramos cómo falsificar direcciones MAC utilizando Nmap. Aprendimos a utilizar la opción --spoof-mac para especificar una dirección MAC particular, como 00:11:22:33:44:55, durante un escaneo de una dirección IP objetivo. Esto nos permite disfrazar nuestra identidad de red y, potencialmente, evitar la detección.

Además, comenzamos a investigar cómo randomizar la dirección MAC utilizando Nmap, lo cual es útil para evitar el seguimiento al utilizar una dirección MAC predecible. El laboratorio demostró la sintaxis básica tanto para especificar una dirección MAC como para randomizarla, estableciendo las bases para técnicas de escaneo de red más avanzadas.

Relacionado Nmap Cursos
Inicio rápido con Nmap

Inicio rápido con Nmap

CybersecurityNmap
Principiante