- Comandos de Gestión de Red ==================
1.1 route
# Administración de información de enrutamiento
route -n
Destino Puerta de enlace Máscara Flags Métrica Ref Use Iface
0.0.0.0 172.31.3.2 0.0.0.0 UG 100 0 0 ens33
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0
172.18.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-2f4f8794f22c
172.31.3.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33
Destino: ID de red de destino, representa el ID de red de destino al que se puede llegar, 0.0.0.0/0 indica todas las redes desconocidas, también conocido como enrutamiento predeterminado, con la prioridad más baja
Máscara: máscara de red correspondiente al destino de red
Iface: para llegar a la red correspondiente, desde qué tarjeta de red del host actual se debe enviar el paquete
Puerta de enlace: para llegar a redes no directamente conectadas, enviar datos a la dirección IP de la interfaz adyacente (siguiente) del router # si es una red directamente conectada, la puerta de enlace es 0.0.0.0
Métrica: costo, cuanto menor sea el valor, mayor será la prioridad del registro de enrutamiento
# Agregar información de enrutamiento
route add
route add [-net|-host|default] destino [netmask Nm] [gw GW] [[dev] If]
route add -host 192.168.1.3 gw 172.16.0.1 dev eth0 # agregar una ruta a la dirección 192.168.1.3 con puerta de enlace 172.16.0.1 usando la tarjeta eth0, ruta de host
route add -net 192.168.8.0/24 dev eth1 metric 200 # agregar información de enrutamiento para la red 192.168, usar la tarjeta eth1 con prioridad 200, ruta de red, utilizado como router
route add default gw 172.16.0.1 # redirigir todo el tráfico restante (excepto el definido) a la puerta de enlace predeterminada
# Eliminar información de enrutamiento
route del
route del -net 192.168.0.0 netmask 255.255.255.0
1.2 ip
1.2.1 Gestión de interfaces de red
# Habilitar/deshabilitar
ip link set eth1 down|up
# Cambiar nombre
ip link set ens33 name eht1
# Agregar dirección
ip addr add 172.16.100.100/16 dev eth0 label eth0:0
# Eliminar dirección
ip addr del 172.16.100.100/16 dev eth0 label eth0:0
1.3 ss
# Obtener información de conexiones de socket
-t: protocolo tcp
-u: protocolo udp
-w: sockets sin procesar
-x: sockets unix
-l: conexiones en estado de escucha
-a: todas
-n: formato numérico
-p: programas y PID relacionados
-e: información extendida
-m: uso de memoria
-o: información del temporizador
1.4 arp
# Ver tabla arp
arp -n
# Eliminar registro
arp -d
1.5 Gestión de puantes - brctl
# Instalar herramienta
yum install bridge-utils
# Ver puentes
brctl show [$nombre]
# Agregar puente
brctl addbr br0
# Eliminar puente
brctl delbr br0
# Agregar interfaz
brctl addif br0 eth1
# Eliminar interfaz
brctl delif br0 eth1
# Habilitar
ifconfig br0 up
# Ver MAC
brctl showmacs br0
- Herrmaientas de Diagnóstico de Red =================
2.1 fping
# Realizar ping a múltiples hosts simultáneamente
fping ip [ip2 ip3 ...] # ping a múltiples IPs personalizadas
fping -g 10.0.0.1/23 # ping a un rango de red
fping < hosts # ping a IPs definidas en un archivo
2.2 tcpdump
2.2.1 Introducción básica
# Herramienta de captura de paquetes
# Formato de comando:
tcpdump [-adeflnNOpqStvx][-c<número de paquetes>][-dd][-ddd][-F<archivo de expresión>][-i<interfaz de red>][-r<archivo de paquetes>][-s<tamaño del paquete>][-tt][-T<tipo de paquete>][-vv][-w<archivo de paquetes>][campos de salida]
# Descripción de parámetros:
-a Intenta convertir direcciones de red y broadcast a nombres.
-c<número de paquetes> Detiene la operación de volcado después de recibir el número especificado de paquetes.
-d Convierte los paquetes compilados a formato legible y los vuelca a la salida estándar.
-dd Convierte los paquetes compilados a formato de lenguaje C y los vuelca a la salida estándar.
-ddd Convierte los paquetes compilados a formato de números decimales y los vuelca a la salida estándar.
-e Muestra la cabecera del nivel de conexión en cada columna de volcado.
-f Muestra las direcciones de internet en formato numérico.
-F<archivo de expresión> Especifica un archivo que contiene expresiones.
-i<interfaz de red> Usa la interfaz de red especificada para enviar paquetes.
-l Usa el buffer de salida estándar para listar.
-n No convierte las direcciones de red del host a nombres.
-nn Especifica protocolo
-N No enumera nombres de dominio.
-O No optimiza la codificación de paquetes.
-p No pone la interfaz de red en modo promiscuo.
-q Salida rápida, lista solo información limitada de protocolos de transporte.
-r<archivo de paquetes> Lee datos de paquetes desde el archivo especificado.
-s<tamaño del paquete> Establece el tamaño de cada paquete.
-S Enumera números de conexión TCP usando valores absolutos en lugar de relativos.
-t No muestra marcas de tiempo en cada columna de volcado.
-tt Muestra marcas de tiempo sin formato en cada columna de volcado.
-T<tipo de paquete> Fuerza la traducción de paquetes especificados por la expresión al tipo de paquete configurado.
-v Muestra detalladamente el proceso de ejecución del comando.
-vv Muestra aún más detalladamente el proceso de ejecución del comando.
-x Enumera datos del paquete en formato hexadecimal.
-w<archivo de paquetes> Escribe datos de paquetes al archivo especificado
2.2.2 Comandos comunes
# Monitorear una interfaz específica
tcpdump -i eth1
# Monitorear un host específico
tcpdump host 172.31.3.10
# Monitorear por origen o destino
tcpdump src host 172.31.3.10
tcpdump dst host 172.31.3.10
# Monitorear por puerto
tcpdump port 10086
# Monitorear protocolo tcp/udp
tcpdump tcp port 22
# Fórmula universal
# Ejemplo detallado
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./objetivo.cap
(1)tcp: ip icmp arp rarp y estas opciones como tcp, udp, icmp deben colocarse en la primera posición para filtrar tipos de paquetes
(2)-i eth1 : solo captura paquetes que pasan por la interfaz eth1
(3)-t : no mostrar marca de tiempo
(4)-s 0 : por defecto captura 68 bytes, con -s 0 se capturan paquetes completos
(5)-c 100 : capturar solo 100 paquetes
(6)dst port ! 22 : no capturar paquetes con puerto destino 22
(7)src net 192.168.1.0/24 : dirección de red fuente del paquete es 192.168.1.0/24
(8)-w ./objetivo.cap : guardar en archivo cap para analizar con wireshark
2.3 nmap
Herramienta de escaneo remota, similar a ping pero con funcionalidades mucho más avanzadas
# Formato de comando
nmap [Tipos de Escaneo] [Opciones] {especificación de objetivo}
# Opciones
-sT Escaneo TCP connect(), es el método de escaneo TCP básico. Este escaneo es fácil de detectar y registrará en los logs del host destino numerosas solicitudes de conexión y mensajes de error.
-sS Escaneo TCP SYN (half-open), como no es necesario abrir completamente una conexión TCP, esta técnica se conoce como escaneo medio abierto. La mayor ventaja es que pocos sistemas pueden registrar esto en sus logs.
-sF,-sX,-sN Modos de escaneo FIN, Árbol de Navidad (Xmas) y Nulo (Null). La base teórica es que los puertos cerrados deben responder con paquetes RST a nuestras sondas, mientras que los puertos abiertos deben ignorar los paquetes problemáticos.
-sP Escaneo ping, usa ping para verificar qué hosts están activos en la red. Cuando un host bloquea las solicitudes ICMP echo, este escaneo no es efectivo. nmap realiza escaneo ping en cualquier caso, y solo se realizan escaneos posteriores si el host está activo.
-sU Escaneo con paquetes UDP, para saber qué servicios UDP ofrece un host, se puede usar esta opción.
-sA Escaneo ACK, este método de escaneo avanzado puede usarse para atravesar firewalls.
-sW Escaneo de ventana deslizante, muy similar al escaneo ACK.
-sR Escaneo RPC, se usa en combinación con otros métodos de escaneo de puertos.
-bFTP Ataque de rebote (bounce attack), se conecta a un servidor FTP detrás de un firewall y lo usa como proxy para realizar escaneo de puertos.
-P0 No hacer ping al host antes de escanear.
-PT Antes de escanear, usar TCP ping para determinar qué hosts están activos.
-PS Para usuarios root, esta opción hace que nmap use paquetes SYN en lugar de ACK para escanear el host destino.
-PI Establece esta opción para que nmap use ping real (solicitudes ICMP echo) para escanear si el host destino está activo.
-PB Esta es la opción de escaneo ping predeterminada. Usa ambos tipos de escaneo (-PT y -PI) en paralelo. Si el firewall puede filtrar uno de los tipos de paquetes, este método te permite atravesarlo.
-PA
-O Esta opción activa el escaneo de huellas dactilares TCP/IP para obtener el identificador del host remoto, es decir, el tipo de sistema operativo.
-I Abre la función de escaneo inverso de nmap.
-f Usa fragmentos de paquetes IP para enviar SYN, FIN, XMAS, NULL. Esto dificulta que los filtros de paquetes y los sistemas de detección de intrusiones sepan cuál es tu intención.
-v Modo verboso. Se recomienda encarecidamente usar esta opción, ya que proporciona información detallada durante el escaneo.
-S <IP> En algunos casos, nmap puede no determinar tu dirección de origen. Usa esta opción para especificar una dirección IP.
-g puerto Establece el puerto de origen para el escaneo.
-oN Redirige los resultados del escaneo a un archivo legible nombre_archivo
-oS Salida de resultados del escaneo a la salida estándar.
--host_timeout Establece el tiempo para escanear un host, en milisegundos. Por defecto, no hay límite de tiempo.
--max_rtt_timeout Establece el tiempo de espera para cada sonda, en milisegundos. Si se excede este tiempo, se retransmite o se produce un timeout. El valor predeterminado es aproximadamente 9000 milisegundos.
--min_rtt_timeout
--min-parallelismo Número de conexiones simultáneas
-M cantidad Establece cuántos sockets usa nmap como máximo para escaneo TCP connect() en paralelo
2.3.2 Comandos comunes
# Escaneo ACK TCP, con 2000 conexiones simultáneas, rápido
nmap -n -PA --min-parallelism 2000 172.16.0.0/16
# Escanear hosts y mostrar resultados de resolución de nombres
nmap -sL 10.0.0.0/24
www.prom.com 172.31.3.77
# Escanear un rango para encontrar hosts activos
nmap -sP 10.0.0.1-10
# Importar direcciones IP desde un archivo y escanear
nmap -iL hosts.txt
# Detectar puertos abiertos en un host objetivo, puede especificar una lista de puertos separada por comas
nmap -PS 22,80,443 10.0.0.1
# Para escanear números de versión de servicio en un host objetivo
nmap -sV 10.0.0.7
# Escanear puertos TCP y UDP
nmap -s[T|U] -O 10.0.0.1
# Ver puertos abiertos (1024-65535) en localhost
nmap -p 1024-65535 localhost
# Detectar puertos abiertos en un host objetivo
nmap -PS 10.0.0.1
# Detectar tipo de sistema operativo en un host objetivo
nmap -A 10.0.0.1
2.4 Rastreo de rutas
traceroute $ip