SEGURIDAD INFORMATICA: TALLER TRAFICO EN LA RED

TALLER

TRAFICO EN LA RED

CAPTURAR TODO EL TRÁFICO EN HEXADECIMAL QUE TENGA COMO DESTINO EL SERVIDOR

Y ENVIARLO A UN ARCHIVO.

En primera medida vamos a ver las configuraciones de las dos maquinas en las cuales se generaron el monitoreo de tráfico.

LINUX.

En esta parte podemos ver como se configure el servidor ssh y se agrego el puerto 22 para conexión.

juan@dhcppc1:~> root

If 'root' is not a typo you can use command-not-found to lookup the package that contains it, like this:

cnf root

juan@dhcppc1:~> su root

ContraseÃ±a:

dhcppc1:/home/juan # tmpdump src 192.168.0.3

If 'tmpdump' is not a typo you can use command-not-found to lookup the package that contains it, like this:

cnf tmpdump

dhcppc1:/home/juan # ifconfig

eth0 Link encap:Ethernet HWaddr 00:1A:4B:49:F1:80

inet addr:192.168.1.3 Bcast:192.168.1.255 Mask:255.255.255.0

inet6 addr: fe80::21a:4bff:fe49:f180/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:314 errors:0 dropped:0 overruns:0 frame:0

TX packets:56 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:35106 (34.2 Kb) TX bytes:10861 (10.6 Kb)

Interrupt:19

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:68 errors:0 dropped:0 overruns:0 frame:0

TX packets:68 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:4072 (3.9 Kb) TX bytes:4072 (3.9 Kb)

WINDOWS

Adaptador de Ethernet Conexión de área local:

Sufijo DNS específico para la conexión. . :

Dirección IPv4. . . . . . . . . . . . . . : 192.168.1.4

Máscara de subred . . . . . . . . . . . . : 255.255.255.0

Puerta de enlace predeterminada . . . . . : 192.168.1.1

Ahora vamos a ver lo que nos generó el tráfico en la red con tcpdump desde la maquina Linux a Windows.

Esta impresión del archivo nos muestra todo lo que se captura pero en forma hexa

dhcppc1:/home/juan # tcpdump src -x host 192.168.1.4

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

17:29:06.679426 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09c4 0000 0102 696d c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:09.179194 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09c5 0000 0102 786a c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:26.679356 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09c6 0000 0102 7869 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:28.179526 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09c7 0000 0102 696a c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:35.679471 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09c8 0000 0102 7867 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:35.679499 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09c9 0000 0102 6968 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:49.679200 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09ca 0000 0102 7865 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:51.179345 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09cb 0000 0102 6966 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:30:05.679165 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09cc 0000 0102 7863 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:30:11.679448 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09cd 0000 0102 6964 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:30:22.679307 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09ce 0000 0102 6963 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:30:25.179012 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09cf 0000 0102 7860 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:30:34.679214 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09d0 0000 0102 6961 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

Capturar todo el tráfico en Hexadecimal que tenga como destino el servidor

.10, y enviarlo a un archivo.

En esta trama podemos ver que el comando –x nos envía todo en hexadecimal sin hora y que no tome los DNS. Es un comando compacto para dar solución a dos puntos.

dhcppc1:/home/juan # tcpdump -x -n -t home host 192.168.1.4

tcpdump: unknown host 'home'

dhcppc1:/home/juan # tcpdump -x -n -t host 192.168.1.4

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 3898 0000 0102 3a99 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 3899 0000 0102 4996 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 389a 0000 0102 3a97 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 389b 0000 0102 4994 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 389c 0000 0102 3a95 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 389d 0000 0102 4992 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 389e 0000 0102 3a93 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 389f 0000 0102 4990 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 38a0 0000 0102 3a91 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4.138 > 192.168.1.255.138: NBT UDP PACKET(138)

0x0000: 4500 00f2 38a1 0000 8011 7d06 c0a8 0104

0x0010: c0a8 01ff 008a 008a 00de 5b76 110e e5ab

0x0020: c0a8 0104 008a 00c8 0000 2046 4745 4245

0x0030: 4d45 4646 4a45 4445 4246 4345 4d45 5043

0x0040: 4e46 4145 4443 4143 4141 4100

IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 38a2 0000 0102 498d c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 38a3 0000 0102 498c c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 38a4 0000 0102 3a8d c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 38a5 0000 0102 3a8c c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 38a6 0000 0102 4989 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

Capturar todo el tráfico en ASCII sin la hora que tenga como destino use el

protocolo UDP. y enviarlo a un archivo.

Aquí podemos verlo que pasa por el protocolo udp sin hexadecimal

dhcppc1:/home/juan # tcpdump ip proto \\udp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

18:44:18.662672 IP 192.168.1.3.43770 > 200.21.200.10.domain: 26774+[|domain]

18:44:18.662708 IP 192.168.1.3.43770 > 200.21.200.10.domain: 36823+[|domain]

18:44:18.665843 IP 192.168.1.3.36924 > 200.21.200.10.domain: 2397+ PTR? 10.200.21.200.in-addr.arpa. (44)

18:44:18.673214 IP 200.21.200.10.domain > 192.168.1.3.43770: 26774 17/0/0[|domain]

18:44:18.673289 IP 200.21.200.10.domain > 192.168.1.3.43770: 36823 1/1/0 (123)

18:44:18.675840 IP 200.21.200.10.domain > 192.168.1.3.36924: 2397 NXDomain 0/1/0 (110)

18:44:18.679194 IP 192.168.1.3.38200 > 200.21.200.10.domain: 64836+ PTR? 3.1.168.192.in-addr.arpa. (42)

18:44:18.690929 IP 200.21.200.10.domain > 192.168.1.3.38200: 64836 NXDomain 0/0/0 (42)

18:44:18.839129 IP 192.168.1.3.46616 > 200.21.200.10.domain: 55720+ A? safebrowsing-cache.google.com. (47)

18:44:18.839161 IP 192.168.1.3.46616 > 200.21.200.10.domain: 298+ AAAA? safebrowsing-cache.google.com. (47)

18:44:18.850335 IP 200.21.200.10.domain > 192.168.1.3.46616: 55720 7/0/0[|domain]

18:44:18.850690 IP 200.21.200.10.domain > 192.168.1.3.46616: 298 1/1/0 (132)

18:44:20.666930 IP 192.168.1.3.mdns > 224.0.0.251.mdns: 0 [9a] [7q][|domain]

18:44:20.669845 IP 192.168.1.3.52757 > 200.21.200.10.domain: 49740+ PTR? 251.0.0.224.in-addr.arpa. (42)

18:44:20.682618 IP 200.21.200.10.domain > 192.168.1.3.52757: 49740 NXDomain 0/1/0 (99)

15 packets captured

15 packets received by filter

0 packets dropped by kernel

dhcppc1:/home/juan # tcpdump -x -t -n ip proto \\udp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

En está parte podemos apreciar lo que nos ejecuta el commando de trafico para protcolo udp en hexadecimal

equipo20:/ # tcpdump ip proto -x \\udp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

16:52:50.636612 IP 10.0.2.15.mdns > 224.0.0.251.mdns: 0 [3q][|domain]

0x0000: 4500 00a5 0000 4000 ff11 8e3d 0a00 020f

0x0010: e000 00fb 14e9 14e9 0091 edac 0000 0000

0x0020: 0003 0000 0000 0000 1c65 7175 6970 6f32

0x0030: 3020 5b30 383a 3030 3a32 373a 6534 3a35

0x0040: 653a 6532 5d0c 5f77 6f72 6b73

16:52:50.639475 IP 10.0.2.15.mdns > 224.0.0.251.mdns: 0*- [0q] 5/0/0 (Cache flush) SRV[|domain]

0x0000: 4500 0104 0000 4000 ff11 8dde 0a00 020f

0x0010: e000 00fb 14e9 14e9 00f0 ee0b 0000 8400

0x0020: 0000 0005 0000 0000 0865 7175 6970 6f32

0x0030: 3004 5f73 7368 045f 7463 7005 6c6f 6361

0x0040: 6c00 0021 8001 0000 0078 0011

16:52:50.677267 IP 10.0.2.15.37876 > 200.21.200.10.domain: 5212+ PTR? 251.0.0.224.in-addr.arpa. (42)

0x0000: 4500 0046 6637 4000 4011 3841 0a00 020f

0x0010: c815 c80a 93f4 0035 0032 9c72 145c 0100

0x0020: 0001 0000 0000 0000 0332 3531 0130 0130

0x0030: 0332 3234 0769 6e2d 6164 6472 0461 7270

0x0040: 6100 000c 0001

16:52:50.686152 IP 200.21.200.10.domain > 10.0.2.15.37876: 5212 NXDomain 0/1/0 (99)

0x0000: 4500 007f 0035 0000 4011 de0a c815 c80a

0x0010: 0a00 020f 0035 93f4 006b 62b9 145c 8183

0x0020: 0001 0000 0001 0000 0332 3531 0130 0130

0x0030: 0332 3234 0769 6e2d 6164 6472 0461 7270

0x0040: 6100 000c 0001 c014 0006 0001

16:52:50.717929 IP 10.0.2.15.38552 > 200.21.200.10.domain: 29679+ PTR? 15.2.0.10.in-addr.arpa. (40)

0x0000: 4500 0044 6641 4000 4011 3839 0a00 020f

0x0010: c815 c80a 9698 0035 0030 9c70 73ef 0100

0x0020: 0001 0000 0000 0000 0231 3501 3201 3002

0x0030: 3130 0769 6e2d 6164 6472 0461 7270 6100

0x0040: 000c 0001

16:52:50.727139 IP 200.21.200.10.domain > 10.0.2.15.38552: 29679 NXDomain 0/0/0 (40)

0x0000: 4500 0044 0036 0000 4011 de44 c815 c80a

0x0010: 0a00 020f 0035 9698 0030 f96b 73ef 8183

0x0020: 0001 0000 0000 0000 0231 3501 3201 3002

0x0030: 3130 0769 6e2d 6164 6472 0461 7270 6100

0x0040: 000c 0001

16:52:50.816576 IP 10.0.2.15.37576 > 200.21.200.10.domain: 52857+ PTR? 10.200.21.200.in-addr.arpa. (44)

0x0000: 4500 0048 665a 4000 4011 381c 0a00 020f

0x0010: c815 c80a 92c8 0035 0034 9c74 ce79 0100

0x0020: 0001 0000 0000 0000 0231 3003 3230 3002

0x0030: 3231 0332 3030 0769 6e2d 6164 6472 0461

0x0040: 7270 6100 000c 0001

16:52:50.832583 IP 200.21.200.10.domain > 10.0.2.15.37576: 52857 NXDomain 0/1/0 (110)

0x0000: 4500 008a 0037 0000 4011 ddfd c815 c80a

0x0010: 0a00 020f 0035 92c8 0076 e623 ce79 8183

0x0020: 0001 0000 0001 0000 0231 3003 3230 3002

0x0030: 3231 0332 3030 0769 6e2d 6164 6472 0461

0x0040: 7270 6100 000c 0001 c013 0006

Buscar el paquete inicial de la conexión donde se dice que la conexión se realizara

por el puerto 22 del servidor.

dhcppc1:/home/juan # tcpdump src -x -n -t port 22

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

^[[D^C

0 packets captured

0 packets received by filter

0 packets dropped by kernel

dhcppc1:/home/juan # tcpdump dst -x -n -t port 22

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

0 packets captured

0 packets received by filter

0 packets dropped by kernel

dhcppc1:/home/juan # tcpdump dst port 22

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

^[[A^[[A^[[A^C

0 packets captured

0 packets received by filter

0 packets dropped by kernel

Realizar captura de trafico mediante la mac de uno de las maquinas.

6. Realizar un ping entre de una maquina a la Otra y explicar lo que sucede.

El servidor ssh no me responde a ping pero el hacia las otra maquinas si responde, de igual manera entre ellas.

Capturar una trama ip y buscar el campo protocolo, mostrar los que sean UDP y

TCP.

dhcppc1:/home/juan # tcpdump src -x host 192.168.1.4

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

17:29:06.679426 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09c4 0000 0102 696d c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:09.179194 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09c5 0000 0102 786a c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:26.679356 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09c6 0000 0102 7869 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:28.179526 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09c7 0000 0102 696a c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:35.679471 IP 192.168.1.4 > 224.0.0.252: igmp v2 report 224.0.0.252

0x0000: 4600 0020 09c8 0000 0102 7867 c0a8 0104

0x0010: e000 00fc 9404 0000 1600 0903 e000 00fc

0x0020: 0000 0000 0000 0000 0000 0000 0000

17:29:35.679499 IP 192.168.1.4 > 239.255.255.250: igmp v2 report 239.255.255.250

0x0000: 4600 0020 09c9 0000 0102 6968 c0a8 0104

0x0010: efff fffa 9404 0000 1600 fa04 efff fffa

0x0020: 0000 0000 0000 0000 0000 0000 0000

10. Instalar Wireshark y explcar que función realiza.

La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark

Gracias.

Páginas

TALLER TRAFICO EN LA RED