Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Laboratorio 3 Individual

    Încărcat de

    elmersanchez
    29 vizualizări7 pagini
    Practica domiciliaria de gestión de riesgos

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    DOCX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    Practica domiciliaria de gestión de riesgos

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    29 vizualizări7 pagini

    Laboratorio 3 Individual

    Încărcat de

    elmersanchez
    Practica domiciliaria de gestión de riesgos

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 7

    UNIVERSIDAD NACIONAL DE

    CAJAMARCA
    FACULTAD DE INGENIERIA

    E SCUELA A CADÉMICO PROFESIONAL DE


    INGENIERÍA DE SISTEMAS

    C URSO
    G ESTIÓN DE R IESGOS Y S EGURIDAD DE LA INFORMACIÓN

    DOCENTE
    ING . E DWIN VALENCIA CASTILLO

    TRABAJO
    LAB 3: A NÁLISIS DE PROTOCOLOS

    ESTUDIANTE
    S ÁNCHEZ HUARIPATA , SEGUNDO ELMER

    CAJAMARCA 19 DE SETIEMBRE 2018


    Filtros en Wireshark

    Wireshark es una aplicación que nos permite capturar el tráfico de red, muy útil
    en el diagnóstico de problemas o para comprender el funcionamiento de alguna
    aplicación en particular. Aquí mostraremos algunos filtros que podrás utilizar para
    interpretar de forma correcta conversaciones completas o paquetes específicos.

    Captura todo el tráfico IP

    Filtro por paquetes de protocolo http


    Filtrando el tráfico de un servidor

    Filtrando el tráfico protocolos estándares


    Filtrando el tráfico de un servidor

    ip.addr eq <IP>

    Filtrando el tráfico entre dos servidores

    ip.addr eq <IP1> and ip.addr eq <IP2>

    Filtrando el tráfico protocolos estándares

    Todos estos filtros deben escribirse en minúsculas y además pueden combinarse con otros filtros para obtener
    mayor granularidad.

    smtp (filtro para protocolo SMTP ó correo electrónico)

    ldap (filtro para protocolo LDAP)

    ssl (filtro para protocolos SSL y TLS, se puede usar con HTTPS y TLS en correo)

    http (filtro para navegación web)

    dns (filtro para obtener consultas de DNS)

    icmp (filtro para mostrar sólo el protocolo ICMP)

    Excluir protocolos de la captura

    Para excluir un protocolo de los paquetes mostrados en Wireshark sólo hay que anteponer la palabra “not”.

    Ejemplos:
    not ssl -> Excluye el protocolo SSL de la captura de Wireshark

    not smtp -> Excluye el protocolo SMTP de la captura de Wireshark

    not dns -> Excluye el protocolo DNS de la captura de Wireshark

    Filtrando una conversación SMTP entre dos servidores

    ip.addr eq <IP1> and ip.addr eq <IP2> and smtp

    Filtrando una conversacion HTTP entre dos servidores

    ip.addr eq <IP1> and ip.addr eq <IP2> and http

    Filtrando una conversación HTTPS entre dos servidores

    ip.addr eq <IP1> and ip.addr eq <IP2> and ssl

    Filtrando una conversación SMTP por TLS entre dos servidores

    ip.addr eq <IP1> and ip.addr eq <IP2> and ssl

    Filtrando paquetes salientes de una IP en particular

    ip.src eq <IP>

    Filtrando paquetes entrantes de una IP en particular

    ip.dst eq <IP>

    Filtrando el número de sesiones SMTP

    smtp.req.command eq QUIT

    Filtrando el número de correos transmitidos

    smtp.req.command eq MAIL

    Filtrando el número de destinatarios

    smtp.req.command eq RCPT

    Filtrando un buzón destinatario en particular

    smtp.req.command eq RCPT and smtp.req.parameter contains “usuario@dominio.com”

    Filtrando un buzón remitente en particular

    smtp.req.command eq MAIL and smtp.req.parameter conatains “usuario@dominio.com”

    Filtrando errores SMTP

    Si conoces el código de error entonces usa este comando

    smtp.response.code eq <CODIGO_DE_ERROR>

    ventajas de utilizar una herramienta como esta desde el punto de


    vista de un hacker

    Mucha, los disectores de protocolo permiten estudiar a nivel de estructura cada


    trama/paquete, podemos por ejemplo ver información de forma muy granular
    para tramas Ethernet, WiFi (802.11), 802.1Q, PPP, HLDC, paquetes IP, segmentos
    TCP, UDP, etc. Podríamos ver los bits COS de una trama Ethernet, ver la IP de
    origen/destino en un paquete IP los bits DSCP o el checksum de la misma. Así
    como observar la estructura completa de una serie de bits transmitidos por el
    medio (y el caso de tener un disector, un análisis estructural de los mismos).

    Realmente, no hay límite para la información que podemos observar/obtener con


    Wireshark porque si bien de serie viene con una gran cantidad de disectores de
    protocolos su principal fortaleza es que nos permite crearlos también, si hay
    algún protocolo que Wireshark no conozca y necesitamos poder analizar, por
    medio de esta capacidad podemos “enseñarle” como procesarlo.

    herramientas similares a wireshark

    Los monitores de red son herramientas útiles para conocer todo tipo de conexiones que realiza
    nuestro equipo tanto dentro de la red local como a internet. Con estas herramientas podemos
    conocer fácilmente si estamos infectados o si algún software está perjudicando al funcionamiento
    óptimo de la red local. También nos van a permitir conocer IPs de origen y destino de los datos, así
    como los programas que acceden a la red y las conexiones realizadas por estos.

    Entre ellas tenemos:

    Microsoft Network Monitor. Esta herramienta está desarrollada directamente


    por Microsoft y es compatible con sus sistemas operativos desde Windows XP
    hasta Windows 8.

    El análisis de paquetes con Microsoft Network Monitor puede ser bastante


    complicado, por ello disponemos de determinados filtros que podemos aplicar
    para obtener únicamente los resultados que queremos. Con este tipo de
    programas podemos obtener, por ejemplo, contraseñas de servicios que no van
    cifradas, conversaciones de WhatsApp al viajar también sin cifrar, información
    que envían los diferentes programas, imágenes… todo contenido que viaje por
    la red será capturado por el programa con posibilidad de análisis posterior.
    Microsoft Network Monitor es una herramienta bastante completa (aunque no
    llega a la altura de Wireshark) pero también bastante complicada de usar.
    SmartSniff es una herramienta capaz de mostrarte el contenido de los paquetes
    que circulen por una red WiFi. Las comunicaciones que tengan lugar vía TCP/IP
    pueden leerse en código Ascii o en hexadecimal.

    Posee dos métodos de captura distintos: Raw Sockets y WinPcap Capture


    Driver. El primero de ellos no necesita instalar un software adicional, aunque
    su funcionalidad es limitada. Por eso, se recomienda emplear el segundo.

    El resultado de la exploración se puede almacenar en tres formatos distintos:


    TXT, HTML y XML. El programa permite crear filtros para aquellos paquetes
    que procedan de un determinado puerto, dirección IP, etcétera
    Conclusiones
    Como hemos visto, Wireshark viene provisto de innumerables funcionalidades
    gracias a las cuales podremos identificar y analizar múltiples problemas de
    red, no solo aquellos causados por malas configuraciones o fallos en
    dispositivos sino también un gran abanico de ataques, externos e internos, que
    pueden tomar diversas formas.
    Ya que el primer paso en la resolución de problemas de red consiste en un
    análisis exhaustivo de tráfico en aquellos segmentos o áreas que están
    experimentando un bajo rendimiento o que simplemente dejan de funcionar,
    conviene concienciar a los administradores de red de la importancia en el uso
    de este tipo de herramientas puesto que es un aspecto clave para encontrar la
    fuente de algunos problemas que de otra forma podría llevar mucho tiempo
    averiguar, con la repercusión que ello conlleva en entornos donde la
    disponibilidad o confidencialidad de la información prima sobre el resto de sus
    servicios.
    Hemos definido varios métodos para analizar tráfico con Wireshark
    dependiendo de las circunstancias y los medios disponibles además de
    ejemplificar varios ataques comúnmente empleados en redes de área local así
    como métodos para identificar ataques DDoS y ciertas medidas para mitigar, o
    al menos moderar, el impacto que éstos generan en el rendimiento de nuestra
    red.

    S-ar putea să vă placă și