Cómo ver todos los dispositivos en su red con nmap en Linux

Cables Ethernet conectados a un enrutador
sirtravelalot / Shutterstock.com

¿Crees que sabes lo que está conectado a tu red doméstica? Te sorprenderías. Aprenda a verificar el uso nmapen Linux, lo que le permitirá explorar todos los dispositivos conectados a su red.

Puede pensar que su red doméstica es bastante simple y no hay nada que aprender al analizarla en profundidad. Puede que tengas razón, pero lo más probable es que aprendas algo que no sabías. Con la proliferación de dispositivos de Internet de las cosas , dispositivos móviles como teléfonos y tabletas, y la revolución del hogar inteligente, además de los dispositivos de red «normales» como enrutadores de banda ancha, computadoras portátiles y de escritorio, podría ser una revelación.

Si es necesario, instale nmap

Usaremos el nmapcomando. Dependiendo de los otros paquetes de software que haya instalado en su computadora, es nmapposible que ya estén instalados.

Si no es así, así es como se instala en Ubuntu.

sudo apt-get install nmap

sudo apt-get install nmap en una ventana de terminal

Así es como se instala en Fedora.

sudo dnf instalar nmap

sudo dnf instalar nmap en una ventana de terminal

Así es como se instala en Manjaro.

sudo pacman -Syu nmap

sudo pacman -Syu nmap en una ventana de terminal

Puede instalarlo en otras versiones de Linux utilizando el administrador de paquetes para sus distribuciones de Linux.

Encuentra tu dirección IP

La primera tarea es descubrir cuál es la dirección IP de su computadora Linux. Hay una dirección IP mínima y máxima que su red puede usar. Este es el alcance o rango de direcciones IP de su red. Tendremos que proporcionar direcciones IP o un rango de direcciones IP a nmap, por lo que necesitamos saber cuáles son esos valores.

Prácticamente, Linux proporciona un comando llamado ipy tiene una opción llamada addr(dirección). Escriba ipun espacio addry presione Entrar.

dirección ip

dirección ip en una ventana de terminal

En la sección inferior de la salida, encontrará su dirección IP. Está precedido por la etiqueta «inet».

salida de la dirección IP en una ventana de terminal

La dirección IP de esta computadora es «192.168.4.25». El “/ 24” significa que hay tres conjuntos consecutivos de ocho unos en la máscara de subred. (Y 3 x 8 = 24.)

En binario, la máscara de subred es:

11111111.11111111.11111111.00000000

y en decimal, es 255.255.255.0.

La máscara de subred y la dirección IP se utilizan para indicar qué parte de la dirección IP identifica la red y qué parte identifica el dispositivo. Esta máscara de subred informa al hardware que los primeros tres números de la dirección IP identificarán la red y la última parte de la dirección IP identifica los dispositivos individuales. Y debido a que el número más grande que puede tener en un número binario de 8 bits es 255, el rango de direcciones IP para esta red será 192.168.4.0 hasta 192.168.4.255.

Todo eso está encapsulado en el “/ 24”. Felizmente, nmapfunciona con esa notación, por lo que tenemos lo que necesitamos para comenzar a usar nmap.

Empiece con nmap

nmapes una herramienta de mapeo de redes . Funciona enviando varios mensajes de red a las direcciones IP en el rango que le vamos a proporcionar. Puede deducir mucho sobre el dispositivo que está probando al juzgar e interpretar el tipo de respuestas que obtiene.

Comencemos un escaneo simple con nmap. Vamos a utilizar la -snopción (no escanear puerto). Esto le dice nmapque no pruebe los puertos en los dispositivos por ahora. Hará un escaneo rápido y ligero.

Aun así, puede tardar un poco nmapen ejecutarse. Por supuesto, cuantos más dispositivos tenga en la red, más tiempo llevará. Primero hace todo su trabajo de sondeo y reconocimiento y luego presenta sus hallazgos una vez que se completa la primera fase. No se sorprenda si no sucede nada visible durante un minuto más o menos.

La dirección IP que usaremos es la que obtuvimos usando el ipcomando anteriormente, pero el número final se establece en cero. Esa es la primera dirección IP posible en esta red. El “/ 24” indica nmapque escanee todo el rango de esta red. El parámetro «192.168.4.0/24» se traduce como «comenzar en la dirección IP 192.168.4.0 y funcionar a través de todas las direcciones IP hasta 192.168.4.255 inclusive».

Tenga en cuenta que estamos usando sudo.

sudo nmap -sn 192.168.4.0/24

sudo nmap -sn 192.168.4.0/24 en una ventana de terminal

Después de una breve espera, la salida se escribe en la ventana del terminal.

Puede ejecutar este análisis sin usar  sudo, pero el uso sudogarantiza que pueda extraer la mayor cantidad de información posible. Sin sudoeste escaneo no devolvería la información del fabricante, por ejemplo.

Salida de nmap en una ventana de terminal

La ventaja de usar la -snopción, además de ser un escaneo rápido y liviano, es que le brinda una lista ordenada de las direcciones IP activas. Es decir, tenemos una lista de los dispositivos conectados a la red, junto con su dirección IP. Y en lo posible, nmapha identificado al fabricante. Eso no está mal para el primer intento.

Aquí está la parte inferior de la lista.

Relacionado:  Transforme su flujo de trabajo de Wireshark con Brim en Linux

Salida de nmap en una ventana de terminal

Hemos establecido una lista de los dispositivos de red conectados, por lo que sabemos cuántos de ellos hay. Hay 15 dispositivos encendidos y conectados a la red. Conocemos al fabricante de algunos de ellos. O, como veremos, tenemos lo que nmapha informado como fabricante, en la medida de sus posibilidades.

Cuando revise sus resultados, probablemente verá dispositivos que reconoce. Bien puede haber algunos que no. Estos son los que necesitamos investigar más a fondo.

Tengo claro cuáles son algunos de estos dispositivos. La Fundación Raspberry Pi se explica por sí misma. El dispositivo de Amazon Technologies será mi Echo Dot. El único dispositivo Samsung que tengo es una impresora láser, por lo que se reduce. Hay un par de dispositivos que figuran como fabricados por Dell. Esos son fáciles, eso es una PC y una computadora portátil. El dispositivo Avaya es un teléfono de voz sobre IP que me proporciona una extensión en el sistema telefónico de la oficina central. Les permite molestarme en casa con mayor facilidad, así que conozco bien ese dispositivo.

Pero todavía me quedan preguntas.

Hay varios dispositivos con nombres que no significan nada para mí. Tecnología Liteon y sistemas informáticos Elitegroup, por ejemplo.

Tengo (camino) más de una Raspberry PI. La cantidad de personas que están conectadas a la red siempre variará porque se intercambian continuamente dentro y fuera de servicio a medida que se vuelven a crear imágenes y se les rediseña. Pero definitivamente, debería haber más de uno apareciendo.

Hay un par de dispositivos marcados como Desconocidos. Obviamente, necesitarán investigar.

Realizar un escaneo más profundo

Si quitamos la -snopción nmaptambién intentaremos sondear los puertos de los dispositivos. Los puertos son puntos finales numerados para conexiones de red en dispositivos. Considere un bloque de apartamentos. Todos los apartamentos tienen la misma dirección (el equivalente a la dirección IP), pero cada apartamento tiene su propio número (el equivalente al puerto).

Cada programa o servicio dentro de un dispositivo tiene un número de puerto. El tráfico de red se envía a una dirección IP y un puerto, no solo a una dirección IP. Algunos números de puerto están preasignados o reservados. Siempre se utilizan para transportar tráfico de red de un tipo específico. El puerto 22, por ejemplo, está reservado para conexiones SSH y el puerto 80 está reservado para tráfico web HTTP.

Lo vamos a utilizar nmappara escanear los puertos de cada dispositivo e indica cuáles están abiertos.

nmap 192.168.4.0/24

nmap 192.168.4.0/24 en una ventana de terminal

Esta vez tenemos un resumen más detallado de cada dispositivo. Se nos dice que hay 13 dispositivos activos en la red. Espera un minuto; teníamos 15 dispositivos hace un momento.

La cantidad de dispositivos puede variar a medida que ejecuta estos análisis. Es probable que se deba a que los dispositivos móviles llegan y salen de las instalaciones, o que el equipo se enciende y apaga. Además, tenga en cuenta que cuando enciende un dispositivo que se ha apagado, es posible que no tenga la misma dirección IP que tenía la última vez que estuvo en uso. podría, pero puede que no.

Salida de nmap en una ventana de terminal

Hubo mucho resultado. Hagámoslo de nuevo y capturémoslo en un archivo.

nmap 192.168.4.0/24> nmap-list.txt

nmap 192.168.4.0/24> nmap-list.txt en una ventana de terminal

Y ahora podemos listar el archivo con lessy buscar en él si lo deseamos.

menos nmap-list.txt

menos nmap-list.txt en una ventana de terminal

A medida que se desplaza por el nmapinforme, busca cualquier cosa que no pueda explicar o que parezca inusual. Cuando revise su lista, tome nota de las direcciones IP de cualquier dispositivo que desee investigar más a fondo.

Según la lista que generamos anteriormente, 192.168.4.10 es una Raspberry Pi. Ejecutará una distribución de Linux u otra. Entonces, ¿qué está usando el puerto 445? Se describe como «microsoft-ds». Microsoft, ¿en un Pi con Linux? Ciertamente estaremos investigando eso.

192.168.4.11 se etiquetó como «Desconocido» en el análisis anterior. Tiene muchos puertos abiertos; necesitamos saber qué es eso.

Salida de nmap en una ventana de terminal

192.168.4.18 también se identificó como Raspberry Pi. Pero ese Pi y el dispositivo 192.168.4.21 tienen el puerto 8888 abierto, que se describe como utilizado por «sun-answerbook». Sun AnswerBook es un sistema de recuperación de documentación (elemental) retirado desde hace muchos años. No hace falta decir que no lo tengo instalado en ninguna parte. Eso necesita ser revisado.

Salida de nmap en una ventana de terminal

El dispositivo 192.168.4.22 se identificó anteriormente como una impresora Samsung, que se verifica aquí mediante la etiqueta que dice «impresora». Lo que me llamó la atención fue que el puerto HTTP 80 estaba presente y abierto. Este puerto está reservado para el tráfico del sitio web. ¿Mi impresora incorpora un sitio web?

resultados de nmap para una impresora samsung en una ventana de terminal

Según los informes, el dispositivo 192.168.4.31 es fabricado por una empresa llamada Elitegroup Computer Systems. Nunca he oído hablar de ellos y el dispositivo tiene muchos puertos abiertos, así que lo estaremos investigando.

Cuantos más puertos tenga abiertos un dispositivo, más posibilidades tendrá un ciberdelincuente de acceder a él, si está expuesto directamente a Internet. Es como una casa. Cuantas más puertas y ventanas tenga, más puntos potenciales de entrada tendrá un ladrón.

Salida nmap para un Intel NUC en una ventana de terminal

Hemos alineado a los sospechosos; Hagamos que hablen

El dispositivo 192.168.4.10 es una Raspberry Pi que tiene el puerto 445 abierto, que se describe como «microsoft-ds». Una búsqueda rápida en Internet revela que el puerto 445 generalmente está asociado con Samba. Samba es una implementación de software libre del protocolo Server Message Block (SMB) de Microsoft. SMB es un medio para compartir carpetas y archivos a través de una red.

Relacionado:  Algunos Chromebook no obtendrán aplicaciones de Linux. Esto es lo que puede hacer en su lugar

Esto tiene sentido; Utilizo ese Pi en particular como una especie de mini dispositivo de almacenamiento conectado a la red (NAS). Utiliza Samba para que pueda conectarme a él desde cualquier computadora en mi red. Ok, eso fue fácil. Uno menos, quedan varios más.

Dispositivo desconocido con muchos puertos abiertos

El dispositivo con dirección IP 192.168.4.11 tenía un fabricante desconocido y muchos puertos abiertos.

Podemos utilizarlo de forma nmap más agresiva para intentar sacar más información del dispositivo. La -A opción (exploración agresiva) obliga nmap a utilizar la detección del sistema operativo, la detección de versiones, la exploración de scripts y la detección de traceroute.

La -Topción (plantilla de tiempo) nos permite especificar un valor de 0 a 5. Esto establece uno de los modos de tiempo. Los modos de sincronización tienen grandes nombres: paranoico (0), furtivo (1), educado (2), normal (3), agresivo (4) y loco (5). Cuanto menor sea el número, menor impacto nmaptendrá en el ancho de banda y en otros usuarios de la red.

Tenga en cuenta que no proporcionamos nmapun rango de IP. Nos centramos nmapen una única dirección IP, que es la dirección IP del dispositivo en cuestión.

sudo nmap -A -T4 192.168.4.11

sudo nmap -A -T4 192.168.4.11 en una ventana de terminal

En la máquina utilizada para investigar este artículo, tomó nueve minutos nmapejecutar ese comando. No se sorprenda si tiene que esperar un poco antes de ver algún resultado.

Salida de nmap en una ventana de terminal

Desafortunadamente, en este caso, el resultado no nos da las respuestas fáciles que esperábamos.

Una cosa adicional que hemos aprendido es que está ejecutando una versión de Linux. En mi red eso no es una gran sorpresa, pero esta versión de Linux es extraña. Parece bastante antiguo. Linux se usa en casi todos los dispositivos de Internet de las cosas, por lo que podría ser una pista.

Más abajo en la salida nmapnos dio la dirección de control de acceso a medios (dirección MAC) del dispositivo. Esta es una referencia única que se asigna a las interfaces de red.

Los primeros tres bytes de la dirección MAC se conocen como el Identificador único organizacional (OUI). Esto se puede utilizar para identificar al proveedor o fabricante de la interfaz de red. Si eres un geek que ha reunido una base de datos de 35.909 de ellos, claro.

ms búsqueda de la dirección mac del dispositivo de Google en una ventana de terminal

Mi utilidad dice que pertenece a Google. Con la pregunta anterior sobre la versión peculiar de Linux y la sospecha de que podría ser un dispositivo de Internet de las cosas, esto apunta con el dedo de manera justa y directa a mi mini altavoz inteligente Google Home.

Puede hacer el mismo tipo de búsqueda de OUI en línea, utilizando la página de búsqueda de fabricantes de Wireshark .

Página web de búsqueda de direcciones MAC de Wireshark

Es alentador que coincida con mis resultados.

Una forma de estar seguro de la identificación de un dispositivo es realizar un escaneo, apagar el dispositivo y escanear nuevamente. La dirección IP que ahora falta en el segundo conjunto de resultados será el dispositivo que acaba de apagar.

Sun AnswerBook?

El siguiente misterio fue la descripción de «sun-answerbook» para la Raspberry Pi con la dirección IP 192.168.4.18. La misma descripción de «sun-answerbook» se mostraba para el dispositivo en 192.168.4.21. El dispositivo 192.168.4.21 es una computadora de escritorio Linux.

nmaphace su mejor conjetura sobre el uso de un puerto de una lista de asociaciones de software conocidas. Por supuesto, si alguna de estas asociaciones de puertos ya no es aplicable (quizás el software ya no esté en uso y se haya agotado su vida útil), puede obtener descripciones de puertos engañosas en los resultados de su escaneo. Ese fue probablemente el caso aquí, el sistema Sun AnswerBook se remonta a principios de la década de 1990 y no es más que un recuerdo lejano, para aquellos que incluso han oído hablar de él.

Entonces, si no se trata de un software antiguo de Sun Microsystems , ¿qué podrían tener en común estos dos dispositivos, la Raspberry Pi y la computadora de escritorio?

Las búsquedas en Internet no arrojaron nada útil. Hubo muchos éxitos. Parece que cualquier cosa con una interfaz web que no quiera usar el puerto 80 parece optar por el puerto 8888 como alternativa. Entonces, el siguiente paso lógico fue intentar conectarse a ese puerto usando un navegador.

Usé 192.168.4.18:8888 como dirección en mi navegador. Este es el formato para especificar una dirección IP y un puerto en un navegador. Utilice dos puntos :para separar la dirección IP del número de puerto.

Portal de sincronización de Resilio en un navegador

De hecho, se abrió un sitio web.

Es el portal de administración para cualquier dispositivo que ejecute Resilio Sync .

Siempre uso la línea de comandos, así que me había olvidado por completo de esta función. Así que la lista de entradas de Sun AnswerBook era una pista falsa, y se había identificado el servicio detrás del puerto 8888.

Relacionado:  Cómo ver a qué grupos pertenece su cuenta de usuario de Linux

Un servidor web oculto

El siguiente problema que registré para echar un vistazo fue el puerto HTTP 80 en mi impresora. Nuevamente, tomé la dirección IP de los nmapresultados y la utilicé como dirección en mi navegador. No necesitaba proporcionar el puerto; el navegador usaría por defecto el puerto 80.

Servidor web integrado de la impresora Samsung en una ventana del navegador

He aquí; mi impresora tiene un servidor web incorporado.

Ahora puedo ver el número de páginas que han pasado, el nivel de tóner y otra información útil o interesante.

Otro dispositivo desconocido

El dispositivo en 192.168.4.24 no reveló nada en ninguno de los nmapescaneos que hemos probado hasta ahora.

He añadido en la -Pnopción (sin ping). Esto hace nmapque se asuma que el dispositivo de destino está activo y se continúe con las otras exploraciones. Esto puede ser útil para dispositivos que no reaccionan como se esperaba y se confunden nmappensando que están fuera de línea.

sudo nmap -A -T4 -Pn 192.168.4.24

sudo nmap -A -T4 -Pn 192.168.4.24 en una ventana de terminal

Esto recuperó un volcado de información, pero no había nada que identificara el dispositivo.

Se informó que estaba ejecutando un kernel de Linux desde Mandriva Linux. Mandriva Linux fue una distribución que se suspendió en 2011 . Sigue vivo con una nueva comunidad que lo apoya, como OpenMandriva .

¿Otro dispositivo de Internet de las cosas, posiblemente? probablemente no, solo tengo dos, y ambos han sido contabilizados.

Salida de nmap en una ventana de terminal

Un recorrido de habitación por habitación y un recuento de dispositivos físicos no me dieron nada. Busquemos la dirección MAC.

Búsqueda de dirección MAC en el teléfono Huawei

Entonces, resulta que era mi teléfono móvil.

Recuerde que puede realizar estas búsquedas en línea, utilizando la página de búsqueda de fabricantes de Wireshark .

Sistemas informáticos Elitegroup

Las dos últimas preguntas que tuve fueron sobre los dos dispositivos con nombres de fabricante que no reconocí, a saber, Liteon y Elitegroup Computer Systems.

Cambiemos de rumbo. Otro comando que es útil para determinar la identidad de los dispositivos en su red es arp.  arpse utiliza para trabajar con la tabla Protocolo de resolución de direcciones en su computadora Linux. Se utiliza para traducir de una dirección IP (o nombre de red) a una dirección MAC .

Si arpno está instalado en su computadora, puede instalarlo así.

En Ubuntu, use apt-get:

sudo apt-get install net-tools

sudo apt-get install net-tools en una ventana de terminal

Sobre el uso de Fedora dnf:

sudo dnf instalar herramientas de red

sudo dnf instala net-tools en una ventana de terminal

Sobre el uso de Manjaro pacman:

sudo pacman -Syu net-tools

sudo pacman -Syu net-tools en una ventana de terminal

Para obtener una lista de los dispositivos y sus nombres de red, si se les ha asignado uno, simplemente escriba arpy presione Entrar.

Este es el resultado de mi máquina de investigación:

salida arp en una ventana de terminal

Los nombres de la primera columna son los nombres de las máquinas (también llamados nombres de host o nombres de red) que se han asignado a los dispositivos. Algunos de ellos los configuré ( Nostromo , Cloudbase y Marineville , por ejemplo) y otros los configuró el fabricante (como Vigor.router).

La salida nos da dos formas de hacer una referencia cruzada con la salida de nmap. Debido a que se enumeran las direcciones MAC de los dispositivos, podemos consultar la salida de nmappara identificar mejor los dispositivos.

Además, debido a que puede usar un nombre de máquina con pingy porque pingmuestra la dirección IP subyacente, puede hacer una referencia cruzada de los nombres de las máquinas a las direcciones IP usando pingen cada nombre por turno.

Por ejemplo, hagamos ping a Nostromo.local y averigüemos cuál es su dirección IP. Tenga en cuenta que los nombres de las máquinas no distinguen entre mayúsculas y minúsculas.

ping nostromo.local

ping nostromo.local en una ventana de terminal

Debe usar Ctrl + C para detener ping.

salida de ping en una ventana de terminal

La salida nos muestra que su dirección IP es 192.168.4.15. Y ese es el dispositivo que apareció en el primer nmapescaneo con Liteon como fabricante.

La compañía Liteon fabrica componentes de computadora que son utilizados por muchos fabricantes de computadoras. En este caso, es una tarjeta Liteon Wi-Fi dentro de una computadora portátil Asus. Entonces, como señalamos anteriormente, el nombre del fabricante que devuelve nmapes solo su mejor suposición. ¿Cómo nmapsaber que la tarjeta Liteon Wi-Fi estaba instalada en una computadora portátil Asus?

Y finalmente. La dirección MAC del dispositivo fabricado por Elitegroup Computer Systems coincide con la que arpaparece en la lista del dispositivo que he denominado LibreELEC.local.

Este es un Intel NUC , que ejecuta el reproductor multimedia LibreELEC . Entonces, este NUC tiene una placa base de la compañía Elitegroup Computer Systems.

Y ahí estamos, todos los misterios resueltos.

Todo contabilizado

Hemos verificado que no existen dispositivos inexplicables en esta red. También puede utilizar las técnicas descritas aquí para investigar su red. Puede hacer esto por interés, para satisfacer a su friki interior, o para asegurarse de que todo lo que está conectado a su red tiene derecho a estar allí.

Recuerde que los dispositivos conectados vienen en todas las formas y tamaños. Pasé algún tiempo dando vueltas en círculos y tratando de localizar un dispositivo extraño antes de darme cuenta de que, de hecho, era el reloj inteligente en mi muñeca.