Documente Academic
Documente Profesional
Documente Cultură
Introduccin
Cada da se presentan ataques ms sofisticados y nuevos a toda la infraestructura que soportan las
trasmisiones de informacin. Como los Sniffer que actan sobre todos los sistemas que componen el
trfico de una red, donde se compromete la interactuacin con otros usuarios y ordenadores. Estos
capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior anlisis
y poder decodificar contraseas, mensajes de correo electrnico, datos bancarios, entre otros. Estos
ataques que son ms sofisticados ya que son implementados por sectores organizados que invierten todo
su tiempo y esfuerzo en vulnerar los sistemas, para apropiarse de informacin clasificada o importante,
esto con diversos objetivos. Que van desde simple diversin, hasta la alteracin de la gobernabilidad de
un pas utilizando el espionaje ciberntico como herramienta principal para generar inestabilidad en la
infraestructura fsica de seguridad.
Para prever esto se necesitan mantener las infraestructuras de comunicacin seguras, y la nica manera
de hacerlo es entender el funcionamiento de estas amenazas latentes, donde proteger la informacin,
implica implementar tcnicas para evitar la expansin del impacto causado por el incidente de seguridad,
con esto poder modelar entornos a travs de informacin que permite manipula fcilmente los espacios
cibernticos, en donde el mundo es cada da ms dependiente de la tecnologa.
Adems, con estos estudios de funcionamientos de los Sniffer se fortalecen los conocimientos referentes
al manejo de la seguridad informtica en sus estados crticos, y con esto puedo desarrollar competencias
para: implementar, administrar e investigar en las reas de las redes de computadores y seguridad
informtica, para ofrecer un soporte tecnolgico atendiendo las solicitudes en servicios relacionados con
el manejo de la informacin. Formular propuestas para administracin sobre polticas que garanticen la
seguridad de la informacin y la integridad de los servicios ofrecidos en una red.
Parte 1: ejecucin de comandos y captura de trfico en la red.
Para entender de una manera coherente cmo funcionan los Sniffer, se genere trfico en la red, para poder
capturar las tramas y luego realizar el anlisis de los paquetes que circulan por la red: para esto peinero
se ejecutan una serie de comandos como se muestra en el siguiente procedimiento.
Figura 1: muestra la ruta echa por una peticin con el comando tracert.
En la figura 2 se muestra un caratula de trfico en la red, usando el software wires7hark el cual muestra
las caractersticas de los paquetes que transitan en la red cuando un usuario realiza una peticin a un
dispositivo, usando el comando tracert. Se pueden visualizar las rutas y las caractersticas de los
dispositivos por doren poso el paquete con loa peticin.
Figura 2: caratula de trfico en la red con wireshark cuando se ejecuta comando tracert.
b. Ejecute el comando se comprueba el estado de la comunicacin del host local con uno o varios
equipos remotos de una red IP por medio del envo de paquetes ICMP de solicitud.
2. Desde Linux ping s 9000 <ip_destino>: Cuando se ejecuta el comando ping s 9000
<ip_destino>, este enva constantemente paquetes al host especificado hasta que se enva un carcter de
interrupcin o finaliza el tiempo de espera.
3. Preguntas a resolver
El comando ping Se trata de un comando que permite verificar el estado de una conexin para determinar
si una direccin IP especfica o host es accesible desde la red o no.
-s: tiempo para contar los saltos que para este caso es de 9000
d. El comando ARP a Muestra las entradas ARP activas interrogando al protocolo de datos activos.
Si adr_inet es precisado, nicamente las direcciones IP y Fsicas del ordenador especificado son
mostrados. Si ms de una interfaz de red utiliza ARP, las entradas de cada tabla ARP son
mostradas. Tal como se observa en la (figura 7).
Figura 7: resultado de comando ARP a.
6. Ahora nos paramas en el sistema operativo que contiene a Kali y continuacin se realizan las
siguientes opciones y ejecute los comandos respectivos hacia el Windows:
Preguntas
a. Tome una de las tramas capturadas que corresponda al protocolo IP sin fragmentacin,
muestre el contenido y significado de los campos referentes a la fragmentacin. Porque
asegura que no est fragmentado?
Identificacin:0X2539(9529)
Figura 13: Cabecera IP Versin 4.
Fuente:
Figura 18: Fragment Offset de paquete IP
Versin 4.
Time to Live: 64
Este campo de tres bits de los cuales el primero debe ser 0 ofrece informacin sobre la fragmentacin
del datagrama.
As el segundo bit del campo (DF) indica si el datagrama puede fragmentarse, valor 0, o no, valor 1.
El tercer bit (MF) indica si el actual es el ltimo trozo de un datagrama, valor 0, o si hay ms, valor 1
Si el valor MTU establecido es demasiado alto puede causar fragmentacin y prdidas en los paquetes
enviados.
De otro modo, si es inferior no se aprovecha de forma adecuada la capacidad de red.
Los valores MTU asignados por Windows de acuerdo a la red utilizada son:
En redes locales (Ethernet) = 1500 bytes
Redes PPPoE (Point-to-Point Protocol over Ethernet) = 1492 bytes
Redes PPPoE (Windows XP) = 1480 bytes
Conexiones dial-up = 576 bytes
Cada unidad de transmisin consta de los encabezados o headers ms los datos utilizados. Los datos se
refieren como MSS (Maximum Segment Size), definen verdaderamente la informacin a ser enviada,
por lo que la formula sera:
MTU=MSS + encabezados TCP & IP.
Nota: No se encontr cambio en el MTU.
Tipo de ICMp
TCP
a. Tome una trama completa de TCP e identifique todo el establecimiento de la conexin Three
way handshake.
Captura Wireshark N1: segmento nmero 1 envado por el cliente con el bit o flag SYN encendido.
Como se puede ver en la toma, tenemos los siguientes datos en los campos del encabezado TCP:
1. Source port: puerto de origen 80 el cliente recibe las respuestas en este puerto.
2. Destination port: puerto de destino 50645, es a donde se enva la solicitud del cliente.
3. bit SYN: El bit SYN encendido, es utilizado para iniciar el saludo de tres vas o Three-Way
Handshake. Que en otras palabras es decirle al servidor web que deseamos conversar con l.
4. Sequence number: ISNc(Initial Sequence Number) nmero de secuencia inicial del cliente 868644
A continuacin, el Passive Opener o servidor, enva un segundo segmento con ambos el bit SYN,
y el bit ACK encendidos
Al igual que en la toma anterior tenemos los siguientes datos en los campos del encabezado TCP:
1. Source port: puerto de origen 80, el servidor web recibe las peticiones en este puerto.
2. Destination port: puerto de destino 50645, el servidor web responde las peticiones a este puerto.
3. bit SYN: El bit SYN apagado, es utilizado para continuar con el saludo de tres vas o Three-Way
Handshake. Es para decirle al cliente web que deseamos conversar con l.
4. bit ACK: Es utilizado para confirmar al cliente web que recibimos su SYN.
5. Sequence number: ISNs (Initial Sequence Number server) nmero de secuencia inicial del servidor
868644
6. Acknowledgment number: en este caso es el ISNc + 1 =767. De esta forma el cliente sabe que
recibimos el segmento TCP con nmero de secuencia 767 (confirmando segmento SYN del cliente). Y
tambin le dice al cliente, que esperamos recibir un prximo segmento TCP con el nmero 2.263.408.438
en el campo Sequence number de su prximo segmento
Y finalmente el cliente, enva un tercer segmento con el bit ACK apagado.
Que en palabras comunes sera algo como:
1. Source port: puerto de origen 80, el cliente recibe las respuestas en este puerto.
2. Destination port: puerto de destino 50645, es a donde se enva la solicitud del cliente.
3. bit ACK: Es utilizado para confirmar al servidor web que recibimos su SYN.
4. Sequence Number: el nmero de secuencia del segmento que se est enviando el cual es 868648
b. De la captura:
a. Tome una de las tramas capturadas y muestre la informacin correspondiente al encabezado UDP.
Explique el significado de cada campo acorde a lo terico.
.
Puerto Origen 61777
Tamao 632
b. Igualmente explique la informacin del paquete DNS
En Opcode: Especifica el tipo de pregunta que se est enviando, para este caso fue una pregunta
standard 0.
ICMP
Es una respuesta de Echo, es un mensaje como respuesta a una peticin de echo. Echo Replay
c. nmap PN <ip>
d. nmap sP <ip>
e. nmap sC p 80,22,53 T4 <ip>
f. nmap sS <ip>
g. nmap sA <ip>
Revise y Analice como se ve cada uno de los comandos en el servidor: como se muestra, cuales
son los identificadores, como detectar si solo llego un SYN o un ACK, etc.
En varios de los comandos ejecutados se puede ver el sondeo SYN este sonde SYN es relativamente
sigiloso y poco molesto, ya que no llega a completar las conexiones TCP. Esta esta tcnica es conocida
como un sondeo medio abierto, porque no se llega a abrir una conexin TCP completa. Se enva un
paquete SYN, como si se fuera a abrir una conexin real y despus se espera una respuesta. Si se recibe
un paquete SYN/ACK esto indica que el puerto est en escucha (abierto), mientras que si se recibe un
RST (reset) indica que no hay nada escuchando en el puerto. Si no se recibe ninguna respuesta despus
de realizar algunas retransmisiones entonces el puerto se marca como filtrado. Tambin se marca el
puerto como filtrado si se recibe un error de tipo ICMP no alcanzable (tipo 3, cdigos 1,2, 3, 9, 10, 13).
Se visualiza en el nmap en varios comandos ejecutados, desde el Kali.
PARTE 3:
1. En la maquina Windows, instale Capsa packet Sniffer y revise su funcionamiento.
2. Genere diferente trfico hacia el Windows (similar a la parte 1) y revise el trfico.
Norfi Carrodeguas. (2015). Como ajustar el valor MTU para elevar el rendimiento en la navegacin
web. Noviembre 9, 2016, de NorfiPC Sitio web: https://norfipc.com/redes/como-ajustar-valor-mtu-
elevar-rendimiento-navegacion-web.html
Anon, (2016). [online] Available at:
http://www.um.es/docencia/barzana/DIVULGACION/INFORMATICA/Introduccion_a_TCPIP.p
df [Accessed 14 Nov. 2016].
Anon, (2016). [online] Available at: http:///www4.ujaen.es/~mdmolina/rrcc/practica2.pdf [Accessed 14
Nov. 2016].
Anon, (2016). [online] Available at: http:///www.sci.uma.es/wwwscidoc/ip.pdf [Accessed 14 Nov.
2016].
Anon, (2016). [online] Available at: http://www.redescisco.net/sitio/2014/09/09/tcp-connection-
management-tcp-connection-establishment-three-way-handshake/ [Accessed 14 Nov. 2016].
Es.slideshare.net. (2016). Analisis trafico wireshark. [online] Available at:
http://es.slideshare.net/jc3s4rsavage/analisis-trafico-wireshark [Accessed 14 Nov. 2016].
Nmap.org. (2016). Archived content - Nmap tutorial. [online] Available at:
https://nmap.org/bennieston-tutorial/ [Accessed 14 Nov. 2016].
Seguridad y Redes. (2016). Wireshark / Windump. Analisis capturas trfico red. Interpretacin
Datagrama IP. (Actualizacin).. [online] Available at:
http://seguridadyredes.wordpress.com/2009/11/05/wireshark-windump-analisis-capturas-trafico-
red-interpretacian-datagrama-ip-actualizacian/ [Accessed 14 Nov. 2016].
Seguridad y Redes. (2016). Wireshark / Windump. Analisis capturas trfico red. Interpretacin
Datagrama IP. (Actualizacin).. [online] Available at:
http://seguridadyredes.wordpress.com/2009/11/05/wireshark-windump-analisis-capturas-trafico-
red-interpretacian-datagrama-ip-actualizacian/ [Accessed 14 Nov. 2016].
Vitoria, I. and Vitoria, I. (2016). Qu es el comando Ping y cmo funciona. [online] Informtico
Vitoria. Available at: http://www.informaticovitoria.com/que-es-el-comando-ping-y-como-
funciona/ [Accessed 14 Nov. 2016].