Actividad de Taller #1

Instituto Tecnolgico Universitario Seguridad en Redes
ACTIVIDAD DE TALLER N 1

WIRESHARK

ATAQUES Y ANLISIS

A. Anlisis de tramas Ethernet con Wireshark

1. Bootear backtrack3
2. Implemente ahora una red con tres computadoras (suponga A, B y C), interconectndolas
mediante el switch. Realice el diagrama de conexin.

3. Identifique las direcciones MAC de cada computadora y tome nota de ellas.

PC_A


PC_B

PC_C

4. Pruebe conectividad entre las computadoras con el comando ping.


5. Cree un archivo para X compartir entre las computadoras.
6. En las computadoras tendr instalado un software tipo sniffer denominado Wireshark,
que le permitir capturar y analizar trfico. Ejecute la aplicacin y verifique que se ejecuta
en modo captura. Ahora realice las siguientes transferencias de archivos:
a. Descargar un archivo X a la computadora A desde la computadora
b. Descarga de un archivo Y desde la computadora C a la computadora B.
7. De la informacin arrojada por la aplicacin Wireshark verifique las direcciones MAC de
destino y de origen de los mensajes enviados. Capture la pantalla de la aplicacin donde se
brinda esta informacin.

Imgenes de PC_B:


Desde A a C

Desde C a B

Imgenes de PC_A:

A a la C (Wireshark en Backtrack)


Desde C a B (Wireshark en Backtrack)

Imgenes PC_C:


8. Navegue por Internet y capture el trfico. Explique el contenido de la trama.

Muestra los datos de la trama capturada. En este caso frame 7 o captura 7 (las muestra
secuencialmente), nos da informacin de todos los protocolos involucrados en la captura:
El campo Frame nos muestra informacin completa de la trama capturada. Tamao total,
nmero de trama, protocolos, etc.


A continuacin Ethernet II: indica la composicin de la trama Ethernet versin II. Se pueden
observar las direcciones MAC, tanto de destino como de origen.
Nos muestra parte de la cabecera de la trama Ethernet II, en este caso:
Destino 6 bytes 00 0c 29 9a 5c 83: MAC destino
Origen 6 bytes 00 40 f4 25 fb 45: MAC origen
Tipo 2 bytes 08 00: protocolo que viaja en la parte de datos de la trama en este caso IP.
0x0800

Despus vemos Internet Protocol con los datos de la cabecera del datagrama IP:
Indica la composicin del paquete del encabezado IP. Se advierte la versin IPv4, encabezados,
flags, tamao e identificaciones. Por ser IP se observan las direcciones de origen y destino


Luego nos encontramos con Transmission Control Protocol (TCP):
Se trata del Segmento TCP. Protocolo involucrado en esta captura. Tenemos informacin del
Puerto de origen, destino, nmero de secuencia, etc.

Y para finalizar tenemos Hypertext Transfer Protocol, con todo el contenido.


9. Realice ping entre las mquinas y capture trfico. Explique el contenido de la trama.

El protocolo que se utiliza para ping es ICMP (Internet Control Messages Protocol). Los
nombres de los dos mensajes ping son:
El de envo es Echo (ping) request, y el de respuesta es: Echo (ping) reply. En los mensajes de
peticin aparace la IP de la PC_A como origen y como destino la direccin IP a la que hice el
ping, en este caso el de la PC_B, y en los mensajes de respuesta la inversa.
El campo Frame nos muestra informacin completa de la trama capturada. Tamao total,
nmero de la trama, longitud, protocolos, etc.


A continuacin Ethernet II que a su vez pertenece a la capa de enlace de datos, nos muestra
parte de la cabecera de la trama Ethernet II: Destino, origen y tipo.

Luego vemos Internet Protocol con los datos de la cabecera del datagrama IP: versin IPv4,
longitud de la cabecera 20bytes, tipo de servicio (respecto a la fiabilidad, velocidad, retardo,
seguridad), longitud total se incluyen los datos encapsulados, bandera (Flag), fragment
offset o posicin (posicin del fragmento dentro del datagrama), TTL o tiempo de vida (para
impedir que un paquete est indefinidamente viajando por la red), Protocolo, Header checksum
(CRC) o Suma de Control de la Cabecera (es la suma de comprobacin de errores de la
cabecera del datagrama), direccin origen, direccin destino.


Despus nos encontramos con Internet Control Message Protocol (ICMP): Tipo, cdigo,
checksum, identificador y nmero de secuencia, Datos.


B. Realizando un ataque y analizando su comportamiento. Caso 1.

El ejercicio consiste en generar paquetes ICMP tipo 8 (ping) dirigidos a la direccin de
broadcast, usando para ello la tcnica IP spoofing, para dirigir las respuestas a un equipo
especfico. Para ello se usar la herramienta hping, destinada a generar paquetes TCP/IP,
especficos. Para obtener su ayuda, ejecute:

man hping3

i. Obtenga la ayuda de la aplicacin hping3, comprenda el significado de las
opciones --icmp --interval, --spoof

--icmp: Con este modo se enviarn paquetes ICMP echo-request (consulta-respuesta), se
puede establecer otros cdigos o tipos de ICMP usando las opciones -- icmptype --icmpcode.

--interval: Especifica el nmero de segundos, -iX donde X son los segundos, o microsegundos
-iuX, donde uX son los microsegundos, que tienen que transcurrir entre el envo de cada
paquete. El valor predeterminado es esperar un segundo entre cada paquete.

--spoof hostname: Utilice esta opcin con el fin de establecer una direccin IP de origen falso,
esta opcin asegura que el objetivo no va a obtener su direccin real.

ii. En su equipo de pruebas, ejecute:

hping --spoof ip_victima ip_broadcast --icmp --
interval u100000

hping --spoof 192.168.1.3 192.168.1.255 --icmp --interval 100000


Donde:

o ip_broadcast es el IP usado para difusin (broadcast) en la red local (192.168.1.255)
o ip_victima es la direccin IP del vctima. (192.168.1.3)

iii. Lo interesante del caso es poder observar los paquetes que forman parte del ataque,
usando un sniffer como tcpdump en el equipo vctima. Ejecute:

tcpdump -n icmp (-i eth1)

La herramienta etherape tambin resulta til para dimensionar el trfico. Explique
por qu este ataque funciona, y cul es su objetivo


El ataque ICMP funciona porque se puede considerar como una prueba de conectividad como
el ping, manda peticiones ICMP y cualquier equipo responde.
El objetivo de este ataque es provocar una denegacin de servicios al equipo atacado.

C. Realizando un ataque y analizando su comportamiento. Caso 2.

El ejercicio consiste en generar paquetes TCP, con la bandera SYN activada, para generar
espacios de conexin en el servicio a afectar corriendo en un equipo vctima.

i. En el equipo vctima, debe existir un servicio funcionando. Puede iniciar un servidor
Web usando la siguiente lnea de rdenes como usuario root:

apachectl -k start

ii. Intente probar la disponibilidad del servicio Web usando un navegador, colocando el IP
del equipo vctima como URL.

iii. Obtenga la ayuda de la aplicacin hping, y comprenda el significado de las opciones
--desport, --syn, --interval, --spoof


--destport: configurar el puerto de destino, por defecto es 0. Si el carcter + precede el
nmero del puerto de destino (por ejemplo +1024) el puerto de destino se incrementar por
cada respuesta recibida. Si un doble + precede el nmero de puerto de destino (por ejemplo
++1024) el puerto de destino se incrementar para cada paquete enviado. Por defecto el puerto
de destino se puede modificar interactivamente usando ctrl+z.
--syn: modifica el flag en SYN

iv. En su equipo de pruebas, ejecute:

hping --spoof ip_spoof ip_victima --destport
serv_elegido --syn --interval u500000

Donde:

o serv_elegido es el nmero de puerto del servicio elegido a atacar en
el equipo B.
o ip_spoof es una direccin IP ficticia inalcanzables en la red local.
o ip_victima es la direccin IP del equipo vctima.

hping --spoof 200.200.200.5 192.168.1.3 --desport 80 --syn --interval 50000

v. En el equipo vctima, obtenga el estado de todas las conexiones actuales. Esto puede
hacerse usando:

netstat -tn --protocol=inet


Adems se recomienda usar el sniffer tcpdump de la siguiente manera:

tcpdump -n tcp and port 80


Explicar como se inician conexiones al servicio elegido, el estado de ellas, como
evolucionan, y lo que ocurre con los nuevos intentos de conexin.

Se est realizando un ataque al servidor Web que trabaja en el puerto 80. Las conexiones
existentes se caen y no se pueden establecer nuevas conexiones. Se produce una denegacin de
servicios.

vi. Intente probar nuevamente la disponibilidad del servicio Web.

El servicio Web no est disponible. Servicio denegado.

vii. Explique por qu este ataque funciona, y cul es su objetivo.

El ataque es efectivo porque utiliza paquetes ICMP enviados al puerto 80, bsicamente se
estaran enviando consultas al servidor y el mismo las responde.
Este ataque funciona porque es una solicitud ICMP (se prueba conectividad)

Es importante que el IP usado en spoofing no exista en la red local. Comprende por
qu?

El IP usado en el spoofing no existe en la red local para que el atacante no sea identificado con
facilidad.

viii. Identifique la manera de defenderse del mismo.

Manera de defenderse de este ataque:

- Como medida preventiva se puede usar un sniffer para detectar el ataque y deshabilitar
momentneamente el puerto atacado, en este caso el puerto 80.

- Podemos definir una regla de iptables con el parmetro --limit para limitar la cantidad de
paquetes por segundo, por ejemplo syn no ms de 20 paquetes por segundo

- Utilizar en Apache Mod_Evasive cuando ya est abierta. Mod_evasive es un mdulo de
Apache pensado para proteger nuestros sitios Web de ataques de Denegacin de Servicio (DoS)

Actividad de Taller #1

Cargado por

Copyright:

Formatos disponibles

Actividad de Taller #1

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Actividad de Taller #1

Cargado por

Copyright:

Formatos disponibles

Instituto Tecnolgico Universitario Seguridad en Redes

También podría gustarte