By flacman & Khanzerbero
Meritos Otrogados(07-Mar-2007 17:49)
RevangelyonX : (Merito de Curiosidad)
Alluz : (Merito Especial de Colaboracion)
Justificacion
El sniffing de redes es muy utilizado hoy en dia tanto para aseguramiento de redes como en el hacking. La identificacion de paquetes de redes inicialmente no es facil, igualmente entenderlos y pasar de la teoria a la practica. Este laboratorio esta diseñado para poder dar una iniciacion e identificar estos esquemas de red y entenderlos.
Finalidad del laboratorio
Familiarizarse con el sniffing de redes y el analisis de distintos protocolos.
Requisitos
Haber completado satisfactoriamente los 2 laboratorios anteriores.
PC con windows o GNU/linux o Unix.
maquina virtual o otro pc en una LAN (ver lab 2)
PC con 256 de memoria ram o mas (como mínimo)
Wireshark (www.wireshark.org)
Teoria
Un sniffer en realidad es un analizador de redes, estan hechos para capturar todo el trafico de la red, tanto entrante como saliente, y toda su informacion. Generalmente los sniffers mas potentes clasifican todos estos paquetes para poder ser leidos mas facilmente por el usuario. Wireshark es el sniffer por defecto, acepta muchos protocolos para su analisis y le da al usuario una interfaz muy amigable, por lo tanto lo usaremos para este lab.
Lecturas obligatorias
http://club.telepolis.com/websecure/tutoriales/manual_ethereal.pdf
http://foro2.colombiaunderground.org/index.php/topic,1012.0.html
http://es.wikipedia.org/wiki/Protocolo_de_Internet
Obligatorias aunque no es necesario leerlas a fondo, solo entender su estructura:
http://es.wikipedia.org/wiki/Protocolo_de_resoluci%C3%B3n_de_direcciones
http://es.wikipedia.org/wiki/NetBIOS
http://es.wikipedia.org/wiki/HTTP
http://es.wikipedia.org/wiki/FTP
Lecturas opcionales
http://es.wikipedia.org/wiki/TCP
http://es.wikipedia.org/wiki/UDP
http://www.wireshark.org/docs/wsug_html_chunked/
Objetivos
-- para la identificacion de paquetes arp es necesario prender una maquina virtual con internet
Paso0: descargar, ejecutar y leer un manual de wireshark.
Paso0.A: si no se tiene conexion ethernet descargar las capturas de muestra adjuntas.
clave : cutlab3
Nota: Estas capturas estan incompletas y solo estan puestas a modo de muestra
Seleccione el dispositivo de red que usa para conectarse a internet.
cerremos todos los programas y Abramos internet explorer, entremos a nustra pagina preferida.
va aparecer una cantidad grande de trafico y en realidad queremos ver un tipo de trafico especifico, el trafico dns, coloque este filtro:"dns".
Que paquetes ve?
Como es el flujo de la comunicacion(quien envia que a quien)? Reconoce algo?
Quite el filtro dns dejando en blanco el campo de filtro y tipeando enter. Esto limpiara el filtro dejando ver todos los paquetes.
Conectese a samira ara escuchar la radio mientras escucha los paquetes, vamos a ver un protocolo diferente, el tcp coloque el filtro "ip.addr==xx.xx.xx.xx" donde xx.xx.xx.xx es la direccion IP de Samira, luego cierre la conexion.
Que ve?
Cual es el origen de los paquetes?... el destino?
Que informacion contienen, reconoce algo?
Reconozca el flujo de informacion el inicio y el cierre de estas conecxiones.
Ahora veremos el icmp, haga un tracert hacia colombiaunderground.org. Ahora filtre el trafico icmp, adivina como es el filtro!.
Que paquetes ve?
Como se relaciona la informacion de los paquetes con lo que usted ve en la ventana de tracert?
A continuacion a partir de la informacion anterior ¿que hace tracert?
Cargue una maquina virtual, reinicie su interfaz Ethernet y abra una pagina de internet en su explorador.
Mientras captura con su maquina real, aplique un filtro ARP.
Que informacion ve en los paquetes?
Identifique el flujo de datos y Que esta sucediendo.¿puede reconocer su propia mac con esta informacion?
Si lo hace borre el filtro arp y filtre los paquetes provenientes de su mac.
Aplique el filtro DHCP.
hay trafico de este tipo?
Si lo hay; Identifique un servidor dhcp, obtenga su MAC y su direccion IP.
Organize mentalmente el flujo de informacon que se requiere para establecer su conexion a internet y accesar una pagina web.
Logueese a su servidor ftp favorito mientras captura.
Aplique un filtro dns para identificar la ip del servidor.
Aplique el siguiente filtro "ip.addr==xx.xx.xx.xx" donde xx.xx.xx.xx es la direccion IP de su servidor FTP. ¿Que hace este filtro?
Analize y organize mentalmente elflujo de informacion, halle con base a esto el paquete que contienen sus datos.
cierre sesion y logueese con datos aleatorios( programe un generador de teclas aleatorias o coloque su mascota a caminar por el teclado , NO guarde los datos).
con base a el analisis de la sesion ftp anterior identifique los datos aleatorios que usted ingreso.
Cerremos todos los programas que pensamos se conectan a internet.
Activemos la escucha durante unos 3 minutos para obtener suficientes paquetes.
Como vemos aunque cerramos todos los programas de todas maneras hay paquetes circulando por la red.
Si te estas preguntando ¿A que putas se debe esto?(es una buena pregunta). Analize y Plantee una hipotesis.
Links posteriores
Capturas de muestra de la wiki de ethereal pueden ser de ayuda :
http://wiki.ethereal.com/SampleCaptures
Escucha Pasiva de Trafico en la Dterminacion de la Arquitectura de una red Ethernet.
http://foro2.colombiaunderground.org/index.php/topic,1093.msg5518.html#msg5518
No hay comentarios:
Publicar un comentario