Primero decirte que ese argumento esta muy pobre, es decir solo con la opcion " -f " no estaras haciendo un escaneo completo, pues como te dije ese comando solo tiene utilidad para condimentar un sondeo previo (con puertos filtrados).



El asunto es que con los puertos filtrados es un poco mas dificil jugar nuestro juego, pero a ver... usemos el sentido comun.

1ero. Por logica si te esta robando tu ancho de banda lo debe usar para conectarse a internet, por ende debe tener el puerto 80 TCP abierto... (tu ponte a imaginar cuales otros servicios de correr, MSN por ejemplo que usa los puertos 6891-6900, 13324, 13325, 1503, 1863).

2do. Te has fijado si alguna otra IP se ha registrado en tu router?

3ero. Porque no pruebas con el Nmap pero en su version grafica, es mas letal pues tiene ciertos profiles de sondeos por default que son una BOMBAAAA....



Cualquier cosa avisame....

Weno...

Me falto contestarte algo....     


Pues si el objetivo tiene ciertos conocimientos y tiene herramientas (por ejemplo el "Tcpdump") puede monitorear el trafico que entra y sale, incluso el que se para en su puerta.

 En resumidas cuentas te dire un refran del famoso General Marshall:

"Si tienes al enemigo en tu rango de ataque, recuerda que tu tambien estas en el suyo"

Jejejejeje

Pero como todo funciona a ambos lados de la balanza tu tambien puedes saber si te escanean tus puertos con el mismo "Tcpdump", aca te dejo el link pa que te lo bajes si asi lo deseas....

http://www.tcpdump.org/ 

Suerte, y recuerda....
"Que un gran poder conlleva una gran responsabilidad"     

Weno....

Pues como podras ver en esta imagen te he sombreado las lineas que explican porque aparecen como cerrados los puertos que has escaneado.

Es decir... ESTAN FILTRADOS....
Me explico... Nmap esta basado en distintos paquetes de datos de solicitud de eco y de respuesta de eco (ambos definidos en el protocolo de red ICMP) mejor conocidos como "Ping"

es decir el ping va..====> y luego que llega al host determinado entonces vuelve <==== con la informacion, cuando los puertos estan filtrados no significa que estan cerrados, lo que significa es que cuando toca la puerta de cada uno de los 1000 puertos ninguno puede responder pues el firewall le has dicho: "Si alguien llama a la puerta quedense todos callados".

Entonces que hacemos cuando las cosas se ponen dificiles.......
Pues buscarle la vuelta y condimentar un poco el ataque digo... el escaneo seguridad, entonces lo que haras es esto:

agregale "-f " a tu sondeo Nmap

La opción -f hace que el sondeo solicitado (incluyendo los sondeos ping) utilicen paquetes IP fragmentados pequeños. La idea es dividir la cabecera del paquete TCP entre varios paquetes para hacer más facil saltarse los filtros de paquetes condicionados por el firewall.

Dale con eso y me avisas, que poco a poco te ire soltando armas....

Suerte.

Hagamos esto por partes...


en los tutos que te puse usan el puerto 445 a modo explicativo, es decir no te centres en este solo puerto, pues al ser un puerto para conexiones SMB no siempre correras con la suerte de encontrarlo abierto.


Pues a difrencia del Nmap el Nexus ademas de escanear un rango de puertos y decirte cuales estan abiertos tambien BUSCA VULNERABILIDADES e incluso en algunos casos las explota con los mismos exploits que trae en su libreria. (Incluso algunos amigos me dicen que el simple hecho de hacer escaneos con Nexus causa inestabilidad en el sistema escaneado).


Pues es normal que los antivirus detecten herramientas de hacking como virus o posibles amenazas e incluso las bloqueen para que no puedan instalarse, lo que debes hacer es descargarte el MSF de este link http://www.metasploit.com/framework/download entonces desactiva tu AV para que puedas instalarlo de forma tranquila, despues de instalado puedes encender tu AV normalmente.

Nota:
Cuando al instalar MSF lo usas por primera vez este dura un tiempo considerable creando el perfil con el que trabajar la primera vez, no creas que esta danado o que se congelo, Noooooo   dejalo que cargue tranquilo.

weno.....


Pues este ha sido tu unico fallo, quiero aclararte que estoy seguro que ninguno de los que te respondan en este bello foro puede considerar una "perdida de tiempo" dar una respuesta sobre un tema.  Somos mas que un simple foro, somos una comunidad, y en el momento que te registraste empezaste a formar parte de ella. 

Entonces quizas te preguntes: Y que ganan al responderme??
La respuesta es sencilla...


Saber que te ayudamos en algo y que tu lo agradeces....
Al menos es mi humilde opinion.....

Cualquier cosa avisame......

weno....

Pues yo creo que la actitud de Solomeo (¿de donde habra sacado este nick?) esta bien, pues esta obrando por curiosidad y ganas de aprender. Ademas cuando alguien te esta robando el ancho de banda de tu wireless simplemente no puedes blockearlo y punto, pues eso hacen los usuarios comunes. Pero si en cambio te agradan los retos y te apasiona el conocimiento pues a darle.....

Nuestro querido TOTEM tiene razon al decir que la persona que esta usando tu ancho de banda puede cambiar su direccion IP y su MAC  cuantas veces quiera, pero el asunto esta en que cada vez que cambie estas tendra que repetir todo el proceso intrussion. Por el asunto de las tablas ARP que tiene tu router para rutear los paquetes (trafico web, ftp, telnet), para mas informacion sobre ARP: http://es.wikipedia.org/wiki/Address_Resolution_Protocol. Es decir cada vez que cambie su direccion IP y su MAC tendra que volver a autentificarse en tu red, lo cual es un poco tedioso si lo esta haciendo con Cain y el Driver de WildPackets.

Lo siguiente es decirte que es un poco complejo explicarte como hacerlo pues no sabria desde que punto partir en la explicacion, seria muy conveniente si respondieras esto:

Tienes algun conocimiento sobre Acunetix, Nmap, Metasploit Framework, programacion en C.....

Si tu respuesta es SI, por demas decirte que un poco de guia te seria muy facil, pero si la respuesta es No ufffffffffffff, entonces comienza por aqui:



1ero.http://www.elhacker.net/in_seguridad_wireless.htm

                Un tuto muy bueno de nuestro gran "lovalost"

2do.http://foro.portalhacker.net/index.php/topic,45657.0.html
                  Buen paper de Nmap por "RaKi0N"

3ero.http://foro.portalhacker.net/index.php/topic,93233.0.html
Aporte Mixto entre "ShellRoot" y "Rcart" para hacer un buen Intro de MSF (Metasploit Framework).

4to.http://www.e-ghost.deusto.es/docs/SeguridadWiFiInestable2005.pdf
     Un completo texto sobre WiFi: hardware, hacking inalámbrico, vulnerabilidades  detalladas... (Gracias a boc por el enlace).

una vez te empapes de esto te aseguro sera mas facil todo.

xaooooooooooo y Suerteeeeeeeeeeeeeeee

Pollo... Si te fijas en la imagen que esta en el link

NO ESTOY ATACANDO UNA IP PUBLICA


Es decir tengo una red LAN, donde uso Ip's privadas...  Si lo dices por esto:

set RHOST 200.xx.xx.xx
set LHOST 192.168.x.xx
set RPORT 445
set LPORT 4444
set TARGET 0

Solo lo hice para ilustrar un poco que el error no estaba en una variable pendeiente de SETEAR. No son las Ip's reales.

Mira esta imagen para que las veas:
http://picasaweb.google.com/lh/photo/i0Ya_l659UiyRlKj92MIAA?feat=directlink

Duda Metasploit.

Ok gente sere breve en mi duda:

Escaneo una IP con el Nmap....


Tiene el puerto 445 abierto (vulnerabilidad en el SMB), luego abro mi consola de MSF y....

Luego de esto elijo el PAYLOAD:

Introduzco todas las variables con el comando "set"...

y finalmente

El asunto esta en que consigo mi sesion con el meterpreter sin problema alguno, pero cuando salgo de la consola del meterpreter y posteriormente del MSF, no puedo volver a conectar con el host pues da el siguiente error:

http://picasaweb.google.com/lh/photo/i0Ya_l659UiyRlKj92MIAA?feat=directlink

Sera porque el host se queda con la sesion anterior del Meterpreter?
Y si es asi, como consigo que no me siga pasando pues la cosa esta que solo consigo entrar a la pc victima una sola vez   

 

Si señor................

 

weno...........

Es decir que si estando dentro de la red LAN accedo al router y abro los puertos por los que pienso canalizar mi auditoria podre ver mas puertos abiertos y tener mas facilidad al intentar penetrar.

POST DATA
Antes de que alguien me diga algo como:
* Pero si estas dentro de la LAN deja un troyano infectando la maquina y asi podras acceder desde tu casa

ó

Deja un Netcat a la escucha por un puerto determinado como Backdoor

Quiero decirles que no es eso lo que me interesa pues obviamente seria demasiado facil y como tal muy aburrido