Mediante el post anterior obtenemos el listado de los equipos conectados a nuestra red, si creemos que alguno es un intruso lo primero que aremos sera asegurarnos de si es o no es…como? extraeremos el sistema operativo que usa dicha ip. Utilizaremos como anteriormente en terminal el comando nmap. Veras que fácil.
S.O. con nmap
Supongamos que ya tenemos el listado de equipos conectados, pero sospechamos de dos en particular, serian la 192.168.1.39 y la 192.168.1.44. Procedemos una por una y observaremos el resultado.
1 | sudo nmap -O 192.168.1.39 |
En este caso vemos que pertenece a nuestra red, es un Linux Mandriva.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | linux-XXX:/home/sergio # sudo nmap -O 192.168.1.39 Starting Nmap 6.47 ( http://nmap.org ) at 2015-04-22 12:48 CEST Nmap scan report for 192.168.1.39 Host is up (0.000027s latency). All 1000 scanned ports on 192.168.1.39 are closed Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running: Linux 2.6.X OS CPE: cpe:/o:linux:linux_kernel:2.6 OS details: Linux 2.6.14 - 2.6.34, Linux 2.6.17, Linux 2.6.17 (Mandriva) Network Distance: 0 hops OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 6.34 seconds |
Comprobamos la siguiente ip.
1 | sudo nmap -O 192.168.1.44 |
Vemos que este si que es un intruso, en nuestra red no existe ninguna maquina con windows7-sp1.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | linux-XXX:/home/sergio # sudo nmap -O 192.168.1.44 Starting Nmap 6.47 ( http://nmap.org ) at 2015-04-22 12:50 CEST Nmap scan report for 192.168.1.44 Host is up (0.037s latency). Not shown: 993 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown MAC Address: 80:1F:02:9B:28:07 (Edimax Technology Co.) Device type: general purpose Running: Microsoft Windows 2008|7 OS CPE: cpe:/o:microsoft:windows_server_2008::sp2 cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_8 OS details: Microsoft Windows Server 2008 SP2, Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, or Windows 8 Network Distance: 1 hop OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 11.14 seconds |
Debes tomar medidas urgentemente con este intruso.