Anlisis de trfico de red

Patrones normales Vs. Ataques

Jeimy J. Cano, Ph.D
Universidad de los Andes
jcano@uniandes.edu.co

Agenda
Introduccin
Conceptos bsicos de TCP/IP
Paquete IP
Paquete TCP
Breves ideas sobre fragmentacin

Introduccin a TCPDump/Windump
Sniffers
Convenciones para analizar resultados

Patrones
Normales
Anormales - Ataques

Agenda
Firmas y filtros
Conceptos
IDS - Intrusion Detection Systems

Limitaciones de las firmas

Falsos Positivos
Falsos Negativos

Ejercicios de anlisis
Reflexiones
Referencias

Introduccin
La evolucin de los ataques a las infraestructuras
computacionales cada vez ms son ms sofisticados.
Se requiere un entendimiento ms detallado de los ataques y
sus consecuencias.
Los analistas de seguridad no tienen tiempo para desarrollar
habilidades sobre anlisis de trfico de red. Sistemas IDS
La ventana de exposicin se hace cada vez mayor:
Descubrimiento de la falla Vs. Generacin del parche.
Desarrollo de estrategias para anlisis de registros de log.
Entrenamiento especializado que detalle las caractersticas
tcnicas de los protocolos de comunicaciones,
particularmente TCP/IP.

Conceptos bsicos de TCP/IP

Servicios de Red

Servicios de aplicacin

Conceptos bsicos de TCP/IP

Aplicacin
Presentacin
Sesin

APLICACIN
DE
RED

Aplicacin
Presentacin
Sesin
Transporte

Red

TCP UDP
IP ICMP

Enlace de datos

ARP RARP

Enlace de datos

Transporte

Fsico

Red
Fsico

Conceptos bsicos de TCP/IP

Protocolo IP
Version

Tamao
Cabecera

Identificacin
Tiempo de vida

Precedencia
Tipo de Servicio
Banderas

Tamao del
Datagrama
Desplazamiento
del segmento

Protocolo

Suma de control
de la cabecera

Direccin ORIGEN
Direccin DESTINO
OPCIONES
Ruta de origen estricta
Marcas de tiempo
Seguridad
Rellenos
DATOS

Conceptos bsicos de TCP/IP

Protocolo IP
TRFICO TOMADO CON HOPPA ANALYZER
--- Packet received: 22:26:43.16 --- Length: 0062 --- Assigned number: 00000 --MAC destination: 01:00:5E:00:00:02
MAC source: 00:B0:C2:F5:4B:E4
Frametype: Ethernet II, Protocol field: 0800h
Protocol: IP
IP 4 bits IP version:
4h IP 4 bits Header length:
IP 8 bits Type of service:
C0h IP 16 bits Total length:
IP 16 bits Identification:
0000h IP 3 bits Flags:
IP 13 bits Fragment Offset:
0000h IP 8 bits TTL:
IP 8 bits Protocol type:
UDP = 11h IP 16 bits Header Checksum:
IP source address: XX.YY.17.253
IP destination address: ZZZ.0.0.2

5h
0048d
0h
02h
2801h

HEX data:
ASCII data:
07 C1 07 C1 00 1C 5F 06 00 00 08 01 03 64 01 00 63 69 73 63 ......_......d..cisc
6F 00 00 00 9D FD 11 01
o.......
--------------------------------------------------------------------------------

Conceptos bsicos de TCP/IP

Protocolo TCP
Puerto ORIGEN

Puerto DESTINO
Nmero de Secuencia
Nmero de confirmacin

Tamao Cabecera

Reservado

Banderas

Suma de control

Ventana
Puntero Urgente

OPCIONES

DATOS

Conceptos bsicos de TCP/IP

Protocolo TCP
TRFICO TOMADO CON WINDUMP
attacker.23616 > target.53: S 4076745461:4076745461(0) win 8760 <mss 1460>
target.53 > attacker.23616: S 2085251122:2085251122(0) ack 4076745462 win 1024 <mss 1460> (DF)
attacker.23616 > target.53: . ack 1 win 8760 (DF)

attacker.23616:
Puerto ORIGEN
target.53: Puerto DESTINO
S: Bandera de SYN
4076745461:4076745461
Nmero de secuencia. Se utiliza para ordenar los datos recibidos.
(0): Nmero de bytes enviados en el paquete.
win 8760: Ventana. Buffer que se esta recibiendo en bytes de attacker
mss 1460: Maximun Segment Size (Campo OPCIONES) Indicar el tamao del mayor trozo de datos que se puede recibir (y reensamblar) en un flujo.
Informa que la red fsica en la que esta attacker no debera recibir ms de
1460 bytes de TCP (20 bytes encabezado IP + 20 bytes de encabezado TCP+1460
bytes = 1500 Bytes, que es la MTU de Ethernet.
ack 4076745462
Acusa recibo de la conexin. 4076745461+ 1= 4076745462
. ack 1
ACK final e independiente a target.
(DF)
No fragmentado.

Conceptos bsicos de TCP/IP

Fragmentacin
Cundo?
Se produce cuando un datagrama IP que viaja por una red tiene
que atravesar una red con una unidad de transmisin mxima
(MTU) que es menor que el tamao del datagrama.
EJEMPLO:
MTU de un datagrama IP para Ethernet es 1500 bytes
Si un datagrama es mayor de 1500 bytes y necesita atravesar una red
Ethernet, necesita ser framentado por medio de un enrutador que se
dirija a la red Ethernet.

Qu informacin se necesita para reconstruir el paquete?

No. identificacin del fragmento.

Informacin del lugar dentro del paquete inicial
Informacin sobre longitud de datos transportados por el fragmento.
Indicador sobre si existen mas fragmentos.

Conceptos bsicos de TCP/IP

Fragmentacin
TRFICO TOMADO CON WINDUMP
attack.org > mynet.com: icmp: echo request (frag 21233:1480@+)
attack.org > mynet.com: (frag 21233:1480@1480+)
attack.org > mynet.com: (frag 21233:1480@2960)
icmp: echo request

Peticin de echo request a mynet.com

(frag 21233:1480@+)
Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una
arroba, luego el desplazamiento de
datos (0 pues es el primer fragmento, ms el signo +, que indica la presencia de ms fragmentos.
(frag 21233:1480@1480+)
Note que se omite la identificacin del paquete. El indicador sigue encendido en el paquete IP, pero no se presenta en
windump.
El signo + advierte que vienen ms fragmentos.
(frag 21233:1480@2960)
Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una
arroba, luego el desplazamiento de
datos:2960. No aparece signo +, lo que sugiere que no hay ms fragmentos.

Introduccin a TCPDump/Windump

Introduccin a TCPDump/Windump
Sniffers - Escuchas electrnicas
Definicin

Sniffer es un mtodo de ataque pasivo por medio del cual un

equipo captura informacin que circula de un medio fsico,
independientemente de si sta se encuentra destinada a su
MAC. Tomado de: www.hackersinc.com/hacking/sniffers.html

Objetivos
Observar los patrones del trfico de la red.
Identificar las direcciones IP origen y destino de los paquetes IP.
Determinar relaciones entre mquinas y servicios.
Capturar informacin crtica que permita el acceso a otros recursos de
la red.
Capturar informacin confidencial que circula a travs de la red.
Obtener informacin sin generar rastros.

Introduccin a TCPDump/Windump
Windump
Consideraciones
Sniffer para Windows, creado en el Instituto Politcnico de Torino en
Italia. Http://netgroup-serv.polito.it/windump
Captura:
UDP, ICMP, ARP, TCP
http, snmp, nntp, pop, ftp, imap (internet message access protocol)

Requisitos de instalacin
Packet Driver - Segn si es NT o 2000
Ejecutable: windump.exe

Sintxis
windump -n -S -v
-n Mostar la direccin IP en lugar del nombre del equipo
-S Mostrar nmero de secuencia
-v Verbose

windump host <nombre_equipo>

Slo revisa el trfico desde y hacia el host descrito.

Introduccin a TCPDump/Windump
Windump
Convenciones
13:50:13.205539 ATTACK01-093695.1363 > gserv.zdnet.com.80: F
27982697:27982697(0) ack 1496615818 win 8553 (DF)

Estampilla de tiempo: 13:50:13.205539

IP y Puerto fuente: ATTACK01-093695.1363
IP y puerto destino: gserv.zdnet.com.80
F 27982697:27982697(0) ack 1496615818
F

Flag de fin de transmisin

27982697:27982697(0)
ack 1496615818:

Nmero de secuencia.(0) No datos

Acuse en sincronizacin esperado

win 8553: Tamao de la ventana.

Dont Fragment Bit Presente?: (DF)

Patrones de trfico de Red

Patrones de trfico
Normales
FTP
1. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: S 1884312222:1884312222(0)
2. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: S 3113925437: 3113925437 (0)
ack 1884312223
3. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 1
4. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: P 1:24 (23) ack 1
5. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 24

Conexin FTP
Sincronizacin de tres sentidos - (1,2,3)
Transmisin de mensaje de bienvenida - (4, 5)

Patrones de trfico
Normales
DNS
- Solicitud de resolucin de la direccin www.sans.org

1. host.my.com.1716 > dns.my.com.53: 1+ (35)

2. dns.my.com.53 > h.root-servers.net.53: 12420 (30) (DF)
3. h.root-servers.net.53>dns.my.com.53: 12420 - 0/3/3 (153) (DF)
4. dns.my.com.53>server1.sans.org.53 12421+ (30) (DF)
5. server1.sans.org.53> dns.my.com.53:12421* 1/3/3 (172)
6. dns.my.com.53>host.my.com.1716: 1* 1/3/3
Trfico tomado de: Northcutt y Novak (2001) Pg. 100.
1. Host.my.com efecta peticin para resolver la direccin www.sans.org. UDP de 35 bytes
2. Dns.my.com intenta conexin por el puerto 53 con h.root-servers.net por el puerto 53. UDP de 30 bytes. No. peticin 12420
3. h.root-servers.net no obtiene respuesta a la peticin (0/3/3) 0 registros de respuesta, tres registros autorizados y otros tres
adiconales.
4. Se obtiene referencia a otro servidor DNS (server1.sans.org) que tiene la respuesta. No. peticin:12421. Solicita recursin
(signo +)
5. server1.sans.org es el servidor autorizado que tiene la respuesta. El (* ) Significa que es una respuesta autorizada.
6. dns.my.com responde a host.my.com, con la direccin IP de www.sans.org (no se ve aqui) mas los tres registros autorizados
y los adicionales.

Patrones de trfico
Normales
PING - ICMP
13:50:14.056364 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:14.060145 otro.victim.net > otro0304.victim.net: icmp: echo reply
13:50:15.066611 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:15.153021 otro.victim.net > otro0304.victim.net: icmp: echo reply
13:50:16.040259 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:16.043643 otro.victim.net > otro0304.victim.net: icmp: echo reply

Mquina arriba
Ejecucin del comando ping otro.victim.net

Patrones de trfico
Normales
TELNET
1. maq1.net.39904 > victim.com.23: S 733381829: 733381829 (0) win 8760 <mss 1460> (DF)
2. victim.com.23 > maq1.net.39904: S 1192930639: 1192930639 (0) ack 733381830 win 1024 <mss
1460> (DF)
3. maq1.net.39904 > victim.com.23: . ack 1win 8760 (DF)
4. maq1.net.39904 > victim.com.23 : P 1:28(27) ack 1 win 8760 (DF)
5. victim.com.23 > maq1.net.39904 : P 1:14(13) ack 1 win 1024
6. victim.com.23 > maq1.net.39904 : P 14:23(9) ack 28 win 1024
1, 2, 3 Sincronizacin de tres sentidos
4. La mquina maq1.net enviando 27 bytes de datos a victim.com.23. 28 representa el siguiente byte que se
espera.
5. La mquina victim.com.23 envia 13 bytes y acuse de recibo de los primeros datos.
6. Envo de la mquina victim.com.23 enva 9 bytes adicionales y se efecta un ACK 28 ya que el byte 28 es el
que se espera.

Patrones de trfico
Normales
ARP
13:50:17.384288 arp who-has LK01-112322 tell otra.victim.net
13:50:17.406848 arp who-has LK01-112322 tell info.victim.net
13:50:17.410944 arp who-has COLASRV tell xxx.victim.net
13:50:17.436873 arp who-has LK01-112297 tell LK01-112322
13:50:17.530452 arp who-has 172.23.1.1 tell 172.23.1.6
13:50:17.547320 arp who-has INFOGER tell info.victim.net
13:50:17.700603 arp who-has 172.16.103.10 tell DCO-01084202
13:50:18.017876 arp who-has LP01-10213 tell info.victim.net

Preguntas de reconocimiento de mquinas en una red

LAN. Particularmente en una red NT.

Patrones de trfico
Anormales (An) - Ataques (At)
At - Land Attack
13:50:17.384288 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.406848 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.410944 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.436873 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.530452 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46

Efecto
Negacin de servicio sobre Microsoft NT 4.0 SP.4

Explicacin:
Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que
aparece como si un RPC server enva datos errneos a otro RPC server. El
segundo servidor rechaza (REJECT) el paquete y el primer servidor responde
con otro REJECT, creando un loop infinito que compromete la red.

Tomado de: Northcutt et al. (2001) Pg. 191.

Patrones de trfico
Anormales (An) - Ataques (At)
At - Smurf Attack
13:50:17.384288 179.135.168.43 > 256.256.30.255: icmp echo request (DF)
13:50:17.406848 68.90.226.250 > 256.256.30.255: icmp echo request (DF)
13:50:17.410944 138.98.10.247 > 256.256.30.255: icmp echo request (DF)
13:50:17.436873 130.113.202.100 > 256.256.30.255: icmp echo request (DF)
13:50:17.530452 171.1.55.45 > 256.256.30.255: icmp echo request (DF)
13:50:17.550424 174.30.0.46 > 256.256.30.255: icmp echo request (DF)

Efecto
Negacin de servicio sobre una red. Generalmente la direccin destino de los
paquetes es una direccin broadcast.

Explicacin:
Los atacantes crean paquetes donde no utilizan su direccin IP, sino que crean
paquetes con direcciones suplantadas. Cuando las mquinas en el sitio intermediario
respondan al ICMP echo request, ellos responden al computador vctima. Se presenta
congestin en la red y el computador vctima se degrada.
Tomado de: Northcutt et al. (2001) Pg. 215-216.

Patrones de trfico
Anormales (An) - Ataques (At)
At - Prediccin de secuencia
13:50:17.384288 apollo.it.luc.edu.1000 > x-terminal.shell: S 1382726990: 1382726990(0) win 4096
13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.1000: S 2021824000: 2021824000(0) ack 1382726991 win
4096
13:50:17.410944 apollo.it.luc.edu.1000 > x-terminal.shell: R 1382726991: 1382726991(0) win 0
13:50:17.414288 apollo.it.luc.edu.999 > x-terminal.shell: S 1382726991: 1382726991(0) win 4096
13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.999: S 2021952000: 2021952000(0) ack 1382726992 win 4096
13:50:17.410944 apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992: 1382726992(0) win 0

Efecto

Si efectuamos la resta entre 2021824000 - 2021952000, tenemos como resultado 128.000.

Con esto podemos predicir la respuesta de una conexin y la capacidad de silenciar un
lado, podemos invadir una sesin entre dos mquinas

Explicacin:

Esta es la fase preliminar de un ataque. Mientras se efecta un SYN Flood, el servidor se

congestiona, se utiliza la relacin de confianza que se tenga para efectuar la conexin.

Tomado de: Northcutt y Novak (2001) Pg. 122.

Patrones de trfico
Anormales (An) - Ataques (At)
An - Exploracin Web extraa
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440
x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440
x.y.y.7395 > 172.20.3.0.80: S 1059077568: 1059077568(0) win 61440
x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440

Efecto

Esta exploracin busca identificar servidores WEB.

Explicacin:

El envo de paquetes a la direccin 0 para tratar de difundir el paquete en ese

segmento. Sin embargo, la difusin de paquetes se aplica a protocolos UDP. Por
tanto, el envio de paquetes SYN a las direcciones .0 y .255 se interpreta como una
direccin nica y ningn host responder esta peticin.

Tomado de: Northcutt y Novak (2001) Pg. 256.

Firmas y Filtros

Firmas y Filtros
Conceptos
Firma
Define o describe un patrn de trfico de inters. Est presente en el trfico y la idea
es encontrarlas y entenderlas.

Filtros
Si podemos entender los patrones, podemos crear filtros. El filtro transcribe la
descripcin de la firma, bien en cdigo legible por una mquina o en las tablas de
consulta para que un sensor pueda identificar el trfico.

Intrusion Detection Systems

Tipos de software de acuerdo con el Tipo de anlisis
Basados en firmas
Basados en estadsticas
Basados en anlisis de integridad.

Base de datos de firmas

http://whitehats.com, http://www.snort.org

Limitaciones de las firmas

Falsos positivos Vs. Falsos negativos
Falso Positivo
Trfico de red que aparentemente parece malicioso cuando realmente no lo es.

Falso Negativo
Trfico de red que aparentemente parece normal cuando realmente se est
materializando un ataque.

Implicaciones
Requieren correlacin de otras fuentes para verificar si el trfico normal
o no.
Actualizacin permanente de nuevos patrones.
Personal especializado y entrenado en anlisis de trfico.
Aumentan sustancialmente la ventana de exposicin.
Las firmas son susceptibles de ser manipuladas y falseadas, para
confundir al IDS.

Ejercicios de Anlisis

Ejercicios

El siguiente trfico corresponde a una fragmentacin patolgica de paquetes. Cuando

se reemsamblan los paquetes cul es tamao total del paquete?
08:22:49.388906 thumper > 192.168.38.5: icmp echo request (frag 4321:1480@0+)
08:22:49.389005 thumper > 192.168.38.5: (frag 4321:1480@1480+)
08:22:49.389050 thumper > 192.168.38.5: (frag 4321:1480@2960+)
.
08:22:49.425543 thumper > 192.168.38.5: (frag 4321:1480@63640+)
08:22:49.425753 thumper > 192.168.38.5: (frag 4321:1480@65120)

a. 65120
b. 1480
c. 4321
d. 66600
e. Ninguno de los anteriores

Ejercicios

Considere el siguiente trfico de red. Este trfico corresponde a:

13:10:33.281198 attack.ip.one.0 > 192.168.26.203.143: SF 374079488: 374079488(0) win 512
13:10:33.334983 attack.ip.one.0>192.168.24.209.143: SF 374079488: 374079488(0) win 512
13:10:33.357565 attack.ip.one.0>192.168.17.197.143: SF 374079488: 374079488(0) win 512
13:10:33.378115 attack.ip.one.0>192.168.16.181.143: SF 374079488: 374079488(0) win 512
13:10:33.474966 attack.ip.one.0>192.168.24.194.143: SF 374079488: 374079488(0) win 512

a. Posible manera de eludir la deteccin de un IDS

b. Posible manera para penetrar un Firewall
c. Combinacin sospechosa de Flags
d. Posible manera de eludir sistemas de filtrado
e. Todas las anteriores

Reflexiones
Tcnicas
Los analistas de trfico de red, son personal altemente entrenado y especializado en
protocolos de red, particularmente TCP/IP
Se requiere software especializado. Recuerde que esta tecnologa es naciente y an tiene
que madurar.

Organizacionales
Personal tcnico que conoce perfectamente las vulnerabilidades de su red. Alto sentido
de la responsabilidad con la informacin.
Se requiere una disposicin de la gerencia para que esta funcin de anlisis de trfico se
de dentro de la funcin de seguridad informtica como factor complementario a las
actividades de dicha funcin.

Legales
El trfico de red es informacin digital de la organizacin. Se est teniendo acceso va
medios alternos. Debe estar normada esta actividad y sus alcances para no incurrir en
violacin de confidencialidad de los datos.
El anlisis de trfico puede ser parte de la evidencia en el proceso de anlisis forense de
un incidente de seguridad, como un apoyo al esclarecimiento del incidentes mismo.

Referencias
Northcutt, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders.
Northcutt, S y Novak, J. (2001) Deteccin de intrusos. Guia avanzada. 2da. Edicin.
Prentice Hall.
Chappell, L. (2000) Advanced Network analysis techniques. Podbooks.com.
Stevens, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley.
Gurley, R. (2000) Intrusion Detection. Macmillan Technical Publishing.
Anomino. (2000) Linux Mxima Seguridad. Prentice Hall.
Northcutt, S. (1999) Network intrusion detection. An analysts handbook. New Riders.
Bace, R. (1999) Intrusion detection. Prentice Hall
Gollman, D. (1999) Computer security. John Wiley & Son.
Feit, S. (1998) TCP/IP. McGraw Hill.
Chapman, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill.
OReally.
Pfleeger, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall.
Segunda Edicin.

Referencias

Frederick, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic.
Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html
Frederick, K. (2001) Studying Normal Traffic, Part Three: TCP Headers.
Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html
Spitzner, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.html
Johnson, J. (2000) The joys of incident handling response process. Mayo 15. Securityportal.com
Casey, E. (2000) Digital evidence and computer crime. Academic Press.
Icove, D., Seger, K. y VonStorch, W. (1995) Computer crime. A crimefighters handbook. O
Really.
Weber, R. (1999) Information Systems control and audit. Prentice Hall.
Stehpheson, P. (1999) Investigating computer-related crime. CRC Press.
Richards, K. (1999) Network based intrusion detection: A review of technologies. Computers &
Security. Vol 18.
Stephenson, P. (1998) Investigation internet security incidents. A brief introduction to cyber
forensic analysis. Presentacin en Power Point
Amoroso, E. (1998) Intrusion Detection: An introduction to internet survillance, correlation,
traps, trace back and response. John Wiley & Son.

Anlisis de trfico de red

Patrones normales Vs. Ataques
Jeimy J. Cano, Ph.D
Universidad de los Andes
jcano@uniandes.edu.co