miércoles, 3 de agosto de 2011

Taller de Trafico en La RED

Taller de Trafico en La RED
Gustavo Rodríguez Sierra
bluemanwarrior@gmail.com

1. Configurar dos máquinas un servidor con Backtrack que preste el servicio de SSH y otra con Windows o Linux con un cliente de ssh, las maquinas deben quedar con las siguientes direcciones IPs.
a. Servidor SSH 192.168.0.10 Mascara 255.255.255.0
b. Cliente 192.168.0.11 Mascara 255.255.255.0

Maquina con  opensuse:

Maquina con Bactrack

Ping entre máquinas.


Servidor Bacttrack con SSH:
1.1  instalar ssh:
#sudo apt-get install ssh
1.2. generar llaves:
      #ssh-generate

1.3. Iniciar el servidor ssh



2. Realizar las siguientes capturas de tráfico
• Capturar todo el tráfico en Hexadecimal que tenga como destino el servidor
.10, y enviarlo a un archivo.



• Capturar todo el tráfico en Hexadecimal sin la hora que tenga como destino
El puerto 22. Y enviarlo a un archivo



• Capturar todo el tráfico en ASCII sin la hora que tenga como destino use el
Protocolo TCP. Y enviarlo a un archivo




• Capturar todo el tráfico en ASCII sin la hora que tenga como destino use el
Protocolo UDP. Y enviarlo a un archivo



• Capturar todo el tráfico generado por el cliente donde él se utilice el
Protocolo tcp. Y enviarlo a un archivo




3. Buscar el paquete inicial de la conexión donde se dice que la conexión se realizara por el puerto 22 del servidor.



4. Realizar captura por el puerto 80 y explicar lo que se ve.



Aquí nos encontramos con una trama capturada por tcpdump luego de efectuar una petición al servidor http de la máquina remota, para ello empleamos el w3m ante los cual nuestros filtros muestran la negociación del cliente (w3m) en Suse y el servidor http en Bactrack en tres pasos-: SYN, SYN ACK, ACK respectivamente, en cada cabecera de la trama es indicada la dirección IPs junto con el puerto de origen  y la dirección de destino junto con su puerto, en este caso:

Destino 192.168.20.10:80
Origen: 192.168.20.11:43179


Adicionalmente vemos que el encabezado

Se indican las direcciones, las banderas, la suma de verificación. Un indicador de secuencia  y consecutivo de ack  y una ventana con un tamaño determinado en el momento, si tenemos opciones este también las indica.

Finalmente encontramos la finalización de la conexión


5. Realizar captura de trafico mediante la MAC de una de las maquinas.

5.1. Averiguar la MAC remota:
arp 192.168.20.10                MAC 08:00:27:69:F4:3C
Arp 192.168.20.11              MAC 08:00:27:ad:e4:cd





6. Realizar un ping entre de una maquina a la Otra y explicar lo que sucede.

Al realizar el ping entre máquinas con los filtros aplicados  y dependiendo del protocolo empleado este empieza a realizar capturas de las tramas correspondientes a la interacción de las máquinas mediante envío de paquetes y mensajes ICMP así:


7. Capturar una trama IPs y explicar donde se encuentra la dirección IP del servidor y del cliente.


En la parte de inicial de la conexión se indica la dirección de origen 192.168.20.11 por el puerto 52637 y la dirección de destino 192.168.20.10 por el puesto 22 luego de hacer una petición por ssh al puerto 22:


8. Capturar una trama IPs y buscar el campo protocolo, mostrar los que sean UDP y TCP.



Captura de trama ip con filtrado de trafico UDP, el filtro nos indica el tipo de protocolo capturado, es este caso este proviene de una aplicación de telefonía IP o Sofphone:




Tramas TCP:

Conexión exitosa de un sitio FTP desde Linux a Windows:



9. Busque el paquete que tenga el TTL más grande, explique su respuesta.
Acá tenemos la captura mediante la dirección de Mac de un equipo que actualmente está realizado un ping a una página de internet, el tal con más vida es el de 252 debido a que este paquete de ICMP debe ir hasta el ruteado que esta suministrado el servicio de internet para así salir a la red y alcanzar el destino especificado, de lo contrario con una vida pequeña se perderían paquetes y la comunicación fallaría.

10. Instalar Wireshark y explicar que función realiza.

Para instalarlo podemos emplear el yast o mediante comandos en consola:

En Ubuntu o Backtrack

Wireshark es una herramienta gratuita que nos permite realizar auditoria de los servicios que están ejecutándose en las maquinas, es un analizador de protocolos su principal uso es el de analizar el tráfico de la red y los protocolos ayudando así a implementar esquemas de seguridad y a solucionar los problemas de seguridad que se encuentren en una red o conjunto de redes, está basado en la librería lippcap con lo cual hereda todos los comandos del sniffer de red tcpdump y adicionalmente posee más herramientas de manera gráfica para buscar escuchar todo lo que se encuentre en el medio y lo que no debemos escuchar también.

Posee dos tipos de filtros:

·          Filtros de Captura (Capture Filter)
Estos filtros están basados en las librerías pcap. Los filtros de captura son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro. Si no establecemos ninguno, Wireshark capturará todo el tráfico y lo presentará en la pantalla principal así:




·         Los filtros correspondientes a visualización (display filter) solo nos muestra solo el tráfico deseado. Por ejemplo el HTTP o solo el Protocolo TCP o UDP según decidamos nosotros:




Ejemplo de Sniffing en  la red: capturando clave del ftp en Wireshark:

Muestra todos los datos del promt de entrada:

Muestra en claro el usuario tipeado


A pesar de ser un campo de contraseña aun asi el sniffer nos muestra la contraseña de manera muy clara:

Nos permitió loguear y mediante el sniffer de red vimos todos lo ingresado.


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Datos personales

Blog Seminario Seguridad Informática