Documente Academic
Documente Profesional
Documente Cultură
Agenda
Introduccin
Conceptos bsicos de TCP/IP
Paquete IP
Paquete TCP
Breves ideas sobre fragmentacin
Introduccin a TCPDump/Windump
Sniffers
Convenciones para analizar resultados
Patrones
Normales
Anormales - Ataques
Agenda
Firmas y filtros
Conceptos
IDS - Intrusion Detection Systems
Ejercicios de anlisis
Reflexiones
Referencias
Introduccin
La evolucin de los ataques a las infraestructuras
computacionales cada vez ms son ms sofisticados.
Se requiere un entendimiento ms detallado de los ataques y
sus consecuencias.
Los analistas de seguridad no tienen tiempo para desarrollar
habilidades sobre anlisis de trfico de red. Sistemas IDS
La ventana de exposicin se hace cada vez mayor:
Descubrimiento de la falla Vs. Generacin del parche.
Desarrollo de estrategias para anlisis de registros de log.
Entrenamiento especializado que detalle las caractersticas
tcnicas de los protocolos de comunicaciones,
particularmente TCP/IP.
Servicios de Red
Servicios de aplicacin
Aplicacin
Presentacin
Sesin
APLICACIN
DE
RED
Aplicacin
Presentacin
Sesin
Transporte
Red
TCP UDP
IP ICMP
Enlace de datos
ARP RARP
Enlace de datos
Transporte
Fsico
Red
Fsico
Tamao
Cabecera
Identificacin
Tiempo de vida
Precedencia
Tipo de Servicio
Banderas
Tamao del
Datagrama
Desplazamiento
del segmento
Protocolo
Suma de control
de la cabecera
Direccin ORIGEN
Direccin DESTINO
OPCIONES
Ruta de origen estricta
Marcas de tiempo
Seguridad
Rellenos
DATOS
5h
0048d
0h
02h
2801h
HEX data:
ASCII data:
07 C1 07 C1 00 1C 5F 06 00 00 08 01 03 64 01 00 63 69 73 63 ......_......d..cisc
6F 00 00 00 9D FD 11 01
o.......
--------------------------------------------------------------------------------
Puerto DESTINO
Nmero de Secuencia
Nmero de confirmacin
Tamao Cabecera
Reservado
Banderas
Suma de control
Ventana
Puntero Urgente
OPCIONES
DATOS
attacker.23616:
Puerto ORIGEN
target.53: Puerto DESTINO
S: Bandera de SYN
4076745461:4076745461
Nmero de secuencia. Se utiliza para ordenar los datos recibidos.
(0): Nmero de bytes enviados en el paquete.
win 8760: Ventana. Buffer que se esta recibiendo en bytes de attacker
mss 1460: Maximun Segment Size (Campo OPCIONES) Indicar el tamao del mayor trozo de datos que se puede recibir (y reensamblar) en un flujo.
Informa que la red fsica en la que esta attacker no debera recibir ms de
1460 bytes de TCP (20 bytes encabezado IP + 20 bytes de encabezado TCP+1460
bytes = 1500 Bytes, que es la MTU de Ethernet.
ack 4076745462
Acusa recibo de la conexin. 4076745461+ 1= 4076745462
. ack 1
ACK final e independiente a target.
(DF)
No fragmentado.
(frag 21233:1480@+)
Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una
arroba, luego el desplazamiento de
datos (0 pues es el primer fragmento, ms el signo +, que indica la presencia de ms fragmentos.
(frag 21233:1480@1480+)
Note que se omite la identificacin del paquete. El indicador sigue encendido en el paquete IP, pero no se presenta en
windump.
El signo + advierte que vienen ms fragmentos.
(frag 21233:1480@2960)
Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una
arroba, luego el desplazamiento de
datos:2960. No aparece signo +, lo que sugiere que no hay ms fragmentos.
Introduccin a TCPDump/Windump
Introduccin a TCPDump/Windump
Sniffers - Escuchas electrnicas
Definicin
Objetivos
Observar los patrones del trfico de la red.
Identificar las direcciones IP origen y destino de los paquetes IP.
Determinar relaciones entre mquinas y servicios.
Capturar informacin crtica que permita el acceso a otros recursos de
la red.
Capturar informacin confidencial que circula a travs de la red.
Obtener informacin sin generar rastros.
Introduccin a TCPDump/Windump
Windump
Consideraciones
Sniffer para Windows, creado en el Instituto Politcnico de Torino en
Italia. Http://netgroup-serv.polito.it/windump
Captura:
UDP, ICMP, ARP, TCP
http, snmp, nntp, pop, ftp, imap (internet message access protocol)
Requisitos de instalacin
Packet Driver - Segn si es NT o 2000
Ejecutable: windump.exe
Sintxis
windump -n -S -v
-n Mostar la direccin IP en lugar del nombre del equipo
-S Mostrar nmero de secuencia
-v Verbose
Introduccin a TCPDump/Windump
Windump
Convenciones
13:50:13.205539 ATTACK01-093695.1363 > gserv.zdnet.com.80: F
27982697:27982697(0) ack 1496615818 win 8553 (DF)
27982697:27982697(0)
ack 1496615818:
Patrones de trfico
Normales
FTP
1. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: S 1884312222:1884312222(0)
2. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: S 3113925437: 3113925437 (0)
ack 1884312223
3. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 1
4. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: P 1:24 (23) ack 1
5. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 24
Conexin FTP
Sincronizacin de tres sentidos - (1,2,3)
Transmisin de mensaje de bienvenida - (4, 5)
Patrones de trfico
Normales
DNS
- Solicitud de resolucin de la direccin www.sans.org
Patrones de trfico
Normales
PING - ICMP
13:50:14.056364 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:14.060145 otro.victim.net > otro0304.victim.net: icmp: echo reply
13:50:15.066611 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:15.153021 otro.victim.net > otro0304.victim.net: icmp: echo reply
13:50:16.040259 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:16.043643 otro.victim.net > otro0304.victim.net: icmp: echo reply
Mquina arriba
Ejecucin del comando ping otro.victim.net
Patrones de trfico
Normales
TELNET
1. maq1.net.39904 > victim.com.23: S 733381829: 733381829 (0) win 8760 <mss 1460> (DF)
2. victim.com.23 > maq1.net.39904: S 1192930639: 1192930639 (0) ack 733381830 win 1024 <mss
1460> (DF)
3. maq1.net.39904 > victim.com.23: . ack 1win 8760 (DF)
4. maq1.net.39904 > victim.com.23 : P 1:28(27) ack 1 win 8760 (DF)
5. victim.com.23 > maq1.net.39904 : P 1:14(13) ack 1 win 1024
6. victim.com.23 > maq1.net.39904 : P 14:23(9) ack 28 win 1024
1, 2, 3 Sincronizacin de tres sentidos
4. La mquina maq1.net enviando 27 bytes de datos a victim.com.23. 28 representa el siguiente byte que se
espera.
5. La mquina victim.com.23 envia 13 bytes y acuse de recibo de los primeros datos.
6. Envo de la mquina victim.com.23 enva 9 bytes adicionales y se efecta un ACK 28 ya que el byte 28 es el
que se espera.
Patrones de trfico
Normales
ARP
13:50:17.384288 arp who-has LK01-112322 tell otra.victim.net
13:50:17.406848 arp who-has LK01-112322 tell info.victim.net
13:50:17.410944 arp who-has COLASRV tell xxx.victim.net
13:50:17.436873 arp who-has LK01-112297 tell LK01-112322
13:50:17.530452 arp who-has 172.23.1.1 tell 172.23.1.6
13:50:17.547320 arp who-has INFOGER tell info.victim.net
13:50:17.700603 arp who-has 172.16.103.10 tell DCO-01084202
13:50:18.017876 arp who-has LP01-10213 tell info.victim.net
Patrones de trfico
Anormales (An) - Ataques (At)
At - Land Attack
13:50:17.384288 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.406848 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.410944 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.436873 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.530452 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
Efecto
Negacin de servicio sobre Microsoft NT 4.0 SP.4
Explicacin:
Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que
aparece como si un RPC server enva datos errneos a otro RPC server. El
segundo servidor rechaza (REJECT) el paquete y el primer servidor responde
con otro REJECT, creando un loop infinito que compromete la red.
Patrones de trfico
Anormales (An) - Ataques (At)
At - Smurf Attack
13:50:17.384288 179.135.168.43 > 256.256.30.255: icmp echo request (DF)
13:50:17.406848 68.90.226.250 > 256.256.30.255: icmp echo request (DF)
13:50:17.410944 138.98.10.247 > 256.256.30.255: icmp echo request (DF)
13:50:17.436873 130.113.202.100 > 256.256.30.255: icmp echo request (DF)
13:50:17.530452 171.1.55.45 > 256.256.30.255: icmp echo request (DF)
13:50:17.550424 174.30.0.46 > 256.256.30.255: icmp echo request (DF)
Efecto
Negacin de servicio sobre una red. Generalmente la direccin destino de los
paquetes es una direccin broadcast.
Explicacin:
Los atacantes crean paquetes donde no utilizan su direccin IP, sino que crean
paquetes con direcciones suplantadas. Cuando las mquinas en el sitio intermediario
respondan al ICMP echo request, ellos responden al computador vctima. Se presenta
congestin en la red y el computador vctima se degrada.
Tomado de: Northcutt et al. (2001) Pg. 215-216.
Patrones de trfico
Anormales (An) - Ataques (At)
At - Prediccin de secuencia
13:50:17.384288 apollo.it.luc.edu.1000 > x-terminal.shell: S 1382726990: 1382726990(0) win 4096
13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.1000: S 2021824000: 2021824000(0) ack 1382726991 win
4096
13:50:17.410944 apollo.it.luc.edu.1000 > x-terminal.shell: R 1382726991: 1382726991(0) win 0
13:50:17.414288 apollo.it.luc.edu.999 > x-terminal.shell: S 1382726991: 1382726991(0) win 4096
13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.999: S 2021952000: 2021952000(0) ack 1382726992 win 4096
13:50:17.410944 apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992: 1382726992(0) win 0
Efecto
Explicacin:
Patrones de trfico
Anormales (An) - Ataques (At)
An - Exploracin Web extraa
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440
x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440
x.y.y.7395 > 172.20.3.0.80: S 1059077568: 1059077568(0) win 61440
x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440
Efecto
Explicacin:
Firmas y Filtros
Firmas y Filtros
Conceptos
Firma
Define o describe un patrn de trfico de inters. Est presente en el trfico y la idea
es encontrarlas y entenderlas.
Filtros
Si podemos entender los patrones, podemos crear filtros. El filtro transcribe la
descripcin de la firma, bien en cdigo legible por una mquina o en las tablas de
consulta para que un sensor pueda identificar el trfico.
Falso Negativo
Trfico de red que aparentemente parece normal cuando realmente se est
materializando un ataque.
Implicaciones
Requieren correlacin de otras fuentes para verificar si el trfico normal
o no.
Actualizacin permanente de nuevos patrones.
Personal especializado y entrenado en anlisis de trfico.
Aumentan sustancialmente la ventana de exposicin.
Las firmas son susceptibles de ser manipuladas y falseadas, para
confundir al IDS.
Ejercicios de Anlisis
Ejercicios
a. 65120
b. 1480
c. 4321
d. 66600
e. Ninguno de los anteriores
Ejercicios
Reflexiones
Tcnicas
Los analistas de trfico de red, son personal altemente entrenado y especializado en
protocolos de red, particularmente TCP/IP
Se requiere software especializado. Recuerde que esta tecnologa es naciente y an tiene
que madurar.
Organizacionales
Personal tcnico que conoce perfectamente las vulnerabilidades de su red. Alto sentido
de la responsabilidad con la informacin.
Se requiere una disposicin de la gerencia para que esta funcin de anlisis de trfico se
de dentro de la funcin de seguridad informtica como factor complementario a las
actividades de dicha funcin.
Legales
El trfico de red es informacin digital de la organizacin. Se est teniendo acceso va
medios alternos. Debe estar normada esta actividad y sus alcances para no incurrir en
violacin de confidencialidad de los datos.
El anlisis de trfico puede ser parte de la evidencia en el proceso de anlisis forense de
un incidente de seguridad, como un apoyo al esclarecimiento del incidentes mismo.
Referencias
Northcutt, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders.
Northcutt, S y Novak, J. (2001) Deteccin de intrusos. Guia avanzada. 2da. Edicin.
Prentice Hall.
Chappell, L. (2000) Advanced Network analysis techniques. Podbooks.com.
Stevens, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley.
Gurley, R. (2000) Intrusion Detection. Macmillan Technical Publishing.
Anomino. (2000) Linux Mxima Seguridad. Prentice Hall.
Northcutt, S. (1999) Network intrusion detection. An analysts handbook. New Riders.
Bace, R. (1999) Intrusion detection. Prentice Hall
Gollman, D. (1999) Computer security. John Wiley & Son.
Feit, S. (1998) TCP/IP. McGraw Hill.
Chapman, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill.
OReally.
Pfleeger, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall.
Segunda Edicin.
Referencias
Frederick, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic.
Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html
Frederick, K. (2001) Studying Normal Traffic, Part Three: TCP Headers.
Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html
Spitzner, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.html
Johnson, J. (2000) The joys of incident handling response process. Mayo 15. Securityportal.com
Casey, E. (2000) Digital evidence and computer crime. Academic Press.
Icove, D., Seger, K. y VonStorch, W. (1995) Computer crime. A crimefighters handbook. O
Really.
Weber, R. (1999) Information Systems control and audit. Prentice Hall.
Stehpheson, P. (1999) Investigating computer-related crime. CRC Press.
Richards, K. (1999) Network based intrusion detection: A review of technologies. Computers &
Security. Vol 18.
Stephenson, P. (1998) Investigation internet security incidents. A brief introduction to cyber
forensic analysis. Presentacin en Power Point
Amoroso, E. (1998) Intrusion Detection: An introduction to internet survillance, correlation,
traps, trace back and response. John Wiley & Son.