Scribd
Cargar
174 vistas8 páginas

Análisis Forense de Paquetes ICMP en DPI

OBJETIVO. Aplicar los conceptos básicos de encapsulamiento y análisis de protocolos en el contexto de DPI.

Cargado por

Johnny Urdin
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
174 vistas8 páginas

Análisis Forense de Paquetes ICMP en DPI

OBJETIVO. Aplicar los conceptos básicos de encapsulamiento y análisis de protocolos en el contexto de DPI.

Cargado por

Johnny Urdin
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

MAESTRÍA EN SEGURIDAD INFORMÁTICA

ANÁLISIS FORENSE EN EQUIPOS Y REDES DE DATOS 2


LABORATORIO 4. DPI.

NOMBRE: JOHNNY URDIN GONZALEZ FECHA: 26/09/2020

OBJETIVO. Aplicar los conceptos básicos de encapsulamiento y análisis de protocolos en


el contexto de DPI.

GUÍA DE EJECUCIÓN. Todas las respuestas deben estar debidamente justificadas y


sustentadas con imágenes de los resultados obtenidos.

Enunciado
Como experto forense, le han solicitado que analice el archivo PCAP anexo, con el fin de
determinar la situación presentada.

Pautas.
1. Cuáles son los paquetes que más se presentan en la captura. ¿Qué
protocolo es? Indique el origen y destino de dichos paquetes.

Asi a simple vista se denota que existe muchas peticiones ICMP


MAESTRÍA EN SEGURIDAD INFORMÁTICA
ANÁLISIS FORENSE EN EQUIPOS Y REDES DE DATOS 2
LABORATORIO 4. DPI.

NOMBRE: JOHNNY URDIN GONZALEZ FECHA: 26/09/2020

2. Agregue en Wireshark una columna que permita ver el campo “UTC Time
date, as YY-MM-DD, and time”.

3. Diríjase a la pestaña “Statistics” y escoja la opción “Capture Files Properties”.


¿Qué detalles relacionados con el archivo de la captura podemos ver?

nos proporciona características relacionadas con el archivo, en este caso nos


muestra los hashes de verificación, la fecha de creación, el equipo en donde fue
MAESTRÍA EN SEGURIDAD INFORMÁTICA
ANÁLISIS FORENSE EN EQUIPOS Y REDES DE DATOS 2
LABORATORIO 4. DPI.

NOMBRE: JOHNNY URDIN GONZALEZ FECHA: 26/09/2020

realizada la captura, la aplicación que se utilizo, la interfaz y otras estadísticas


relacionadas con la captura de paquetes.
4. ¿Ahora escoja la opción “Endpoints” y determine qué le permite determinar
esta opción? Confronte lo que ha observado con la visualización que permite
la opción “conversations”. ¿Qué puede confirmar a través de esta opción?
Esta ventana muestra estadísticas sobre los puntos finales capturados.

5. ¿Qué nota de extraño en lo que ha logrado identificar? Tip: Use el filtro [Link]
== 8

¿Puede mejorar su apreciación con el uso de este filtro?


Hay algunos paquetes que no tienen respuesta, y son un poco mas grandes de lo
normal.
MAESTRÍA EN SEGURIDAD INFORMÁTICA
ANÁLISIS FORENSE EN EQUIPOS Y REDES DE DATOS 2
LABORATORIO 4. DPI.

NOMBRE: JOHNNY URDIN GONZALEZ FECHA: 26/09/2020

6. De forma similar al punto anterior, aplique el filtro [Link] == 0


Complemente sus hallazgos, con base en este filtro.

7. ¿La cantidad de paquetes encontrados, podría ser enviada con algún


propósito? ¿Se puede caracterizar hasta aquí algún tipo de ataque?
Algunos de los paquetes fueron manipulados, básicamente los paquetes no se
comportan de manera natural como ICMP, se detectaron algunos comandos y se
esta tratando de obtener información.

8. Consulte que es un DOS attack y qué es un “ping de la muerte”.


El ataque DDOS: El objetivo es 1envíar varias solicitudes al recurso web atacado,
con la intención de desbordar la capacidad del sitio web para administrar varias
solicitudes y de evitar que este funcione correctamente.
El ping de la muerte: 2En este tipo de ataque, el atacante envía una solicitud de
eco utilizando el comando “ping”, pero el paquete IP es más grande que el tamaño
del paquete máximo de 65535 bytes, el hacer esto puede hacer colapsar la
computadora objetivo.
1 [Link]
2 [Link]
MAESTRÍA EN SEGURIDAD INFORMÁTICA
ANÁLISIS FORENSE EN EQUIPOS Y REDES DE DATOS 2
LABORATORIO 4. DPI.

NOMBRE: JOHNNY URDIN GONZALEZ FECHA: 26/09/2020

9. Revisemos con mayor profundidad, ¿qué contienen los paquetes en el


payload?
Algunos paquetes contienen información que no corresponde con el protocolo
ICMP por lo que se podría notar que se trata de manipulación de paquetes los
mismos que podrían servir para inyectar comandos.
10. Consultemos acerca del comando Tshark y cómo se emplea.
También es útil emplear man tshark or tshark -help
Las ventajas que ofrece tshark frente a otros sniffers es su capacidad de poder
visualizar tráfico de red de manera muy filtrada. Permitiendo también generar con
esos filtros otros ficheros pcap derivados. Otras de sus posibilidades son la
obtención de estadísticas muy configurables y útiles. También permite el
coloreado de paquetes en la terminal de la misma manera que lo hace wireshark
(GUI), posibilidad de descifrar https mediante ficheros de claves y geolocalización
de IPs. Resumiendo, todo el potencial del popular Wireshark pero en modo texto.

Algunas de las opciones disponibles son:


-N m Resolver dirección MAC
-N n Resolver nombres usando las resoluciones de la captura.
-N N Resuelve utilizando DNS.
-N t Resolver nombres de puertos.
-N d Ressolver IP.
-c n Termina la captura después de capturar n paquetes.
-a duration:n Termina la captura después de n segundos.
-a filesize:n Termina la captura después de que el fichero de captura llegue a n
Kb. (Rquiere -w [Link])
–a files:n Termina la captura cuando al tener n ficheros de captura. requiere
de filesize o duration y de -w indicando directorio: "tshark -a files:3
-a filesize:1024 -w /tmp/"
-T psml / -T Formato XML psml ó pdml
pdm
-T psml / -T Formato XML psml ó pdml
pdm
-T text Formato texto. Por defecto
-T text Formato texto. Por defecto
MAESTRÍA EN SEGURIDAD INFORMÁTICA
ANÁLISIS FORENSE EN EQUIPOS Y REDES DE DATOS 2
LABORATORIO 4. DPI.

NOMBRE: JOHNNY URDIN GONZALEZ FECHA: 26/09/2020

-T ek Formato json en una sola linea, util para combinarlo con


herramientas como jq.
-T ek Formato json en una sola linea, util para combinarlo con
herramientas como jq.

11. Aplique un filtro por medio de la herramienta Tshark qué permita obtener
sólo el payload de todos los paquetes de la captura.
→ tshark -Y data -r [Link] -T fields -e data
6970636f6e6669670a
6970636f6e6669670a0d0a57696e646f777320495020436f6e66696775726174696f6e0d0a
0d0a0d0a45746865726e6574206164617074657220426c7565746f
6f7468204e6574776f726b20436f6e6e656374696f6e3a0d0a0d0a2020204d656469612053
74617465202e202e202e202e202e202e202e202e202e202e202e20
3a204d6564696120646973636f6e6e65637465640d0a202020436f6e6e656374696f6e2d73
7065636966696320444e532053756666697820202e203a200d0a0d
0a45746865726e65742061646170746572204c6f63616c204172656120436f6e6e65637469
6f6e3a0d0a0d0a202020436f6e6e656374696f6e2d737065636966
696320444e532053756666697820202e203a206c6f63616c646f6d61696e0d0a2020204c69
6e6b2d6c6f63616c20495076362041646472657373202e202e202e
202e202e203a20666538303a3a393135393a623538613a613762343a656537612531310d0
a2020204950763420416464726573732e202e202e202e202e202e20
2e202e202e202e202e203a203139322e3136382e3135332e3132390d0a2020205375626e6
574204d61736b202e202e202e202e202e202e202e202e202e202e20
2e203a203235352e3235352e3235352e300d0a20202044656661756c74204761746577617
9202e202e202e202e202e202e202e202e202e203a203139322e3136
382e3135332e320d0a0d0a54756e6e656c2061646170746572206973617461702e7b35414
430323033342d393844302d343838442d394145332d453437373935
3534363235447d3a0d0a0d0a2020204d65646961205374617465202e202e202e202e202e2
02e202e202e202e202e202e203a204d6564696120646973636f6e6e
65637465640d0a202020436f6e6e656374696f6e2d737065636966696320444e5320537566
66697820202e203a200d0a0d0a54756e6e656c2061646170746572
206973617461702e6c6f63616c646f6d61696e3a0d0a0d0a2020204d656469612053746174
65202e202e202e202e202e202e202e202e202e202e202e203a204d
6564696120646973636f6e6e65637465640d0a202020436f6e6e656374696f6e2d73706563
6966696320444e532053756666697820202e203a200d0a0d0a433a
MAESTRÍA EN SEGURIDAD INFORMÁTICA
ANÁLISIS FORENSE EN EQUIPOS Y REDES DE DATOS 2
LABORATORIO 4. DPI.

NOMBRE: JOHNNY URDIN GONZALEZ FECHA: 26/09/2020

5c55736572735c417065785c4465736b746f703e
77686f616d690a
77686f616d690a77696e2d36666f39697274333236355c617065780d0a0d0a433a5c557365
72735c417065785c4465736b746f703e
12. Lleve el resultado a un editor hexadecimal. En este caso puede realizarse a
través de Notepad++, el cuál puede descargar desde:

13. Realice la conversión de hexadecimal a ASCII, a través de las opciones Plug-


ins -> Converter -> HEX—ASCII.
ipconfig
ipconfig
Windows IP Configuration
Ethernet adapter Bluetooth Network Connection:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . : localdomain
Link-local IPv6 Address . . . . . : fe80::9159:b58a:a7b4:ee7a%11
IPv4 Address. . . . . . . . . . . : [Link]
Subnet Mask . . . . . . . . . . . : [Link]
Default Gateway . . . . . . . . . : [Link]
Tunnel adapter isatap.{5AD02034-98D0-488D-9AE3-E4779554625D}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Tunnel adapter [Link]:
MAESTRÍA EN SEGURIDAD INFORMÁTICA
ANÁLISIS FORENSE EN EQUIPOS Y REDES DE DATOS 2
LABORATORIO 4. DPI.

NOMBRE: JOHNNY URDIN GONZALEZ FECHA: 26/09/2020

Media State . . . . . . . . . . . : Media disconnected


Connection-specific DNS Suffix . :
C:\Users\Apex\Desktop>whoami
whoami
win-6fo9irt3265\apex
C:\Users\Apex\Desktop>
14. Analice los resultados.
Los datos encontrados en los paquetes, fueron una llamada ipconfig al sistema,
para tener información de la red.

15. Establezca la situación presentada para la cual fue contratado.


Los paquetes que contenían datos que no era propia del Protocolo ICMP, estaban
destinados a obtener información del sistema, en este caso para ganar una
consola.

CONCLUSIONES

• Un atacante puede utilizar los protocolos que aparentemente se comportan de


manera normal como ICMP para embeber datos y obtener información.
• El análisis de trafico con wireshark puede ser una tarea tediosa, pero utilizando
herramientas externas se puede obtener información puntual rápidamente.
• Tshark corresponde a un complemento para realizar el análisis de trafico de una
manera muy sencilla y rapida, ademas provee muchas herramientas para analizar
a fondo la informacion, Wireshark y Tshark son herramientas de analisis muy
poderosas.

También podría gustarte