Scribd
Cargar
144 vistas26 páginas

Análisis de Red con Wireshark

Este documento presenta un plan para analizar archivos de captura de red usando Wireshark. Incluye instrucciones para filtrar paquetes por protocolo, IP, puertos y flags TCP. El objetivo es identificar escaneos de puertos, detecciones de puertos abiertos, y posibles ataques Man-in-the-Middle.

Cargado por

Jhonatan Ramirez Granados
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
144 vistas26 páginas

Análisis de Red con Wireshark

Este documento presenta un plan para analizar archivos de captura de red usando Wireshark. Incluye instrucciones para filtrar paquetes por protocolo, IP, puertos y flags TCP. El objetivo es identificar escaneos de puertos, detecciones de puertos abiertos, y posibles ataques Man-in-the-Middle.

Cargado por

Jhonatan Ramirez Granados
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería en Sistemas De Información

Maestría en Seguridad Informática

Principios de Seguridad informática

MSc. Juan Manuel Lemus

Caso de estudio – Semana 2

Jhonatan Ramirez Granados 1493-13-10704

Ludvin Figueroa Dávila 1493-11-7729

Plan Sábado

Sección “A”

3 de Febrero de 2023

Contenido
Introducción...................................................................................................................................3
Filtros para buscar información.................................................................................................4
Captura Eth..................................................................................................................................5
Búsqueda por IP y puertos que no estén entre 21 y 23.........................................................8
WIFI.........................................................................................................................................10
ICMP.......................................................................................................................................11
Búsqueda por Ip y Puerto (&&)............................................................................................12
Búsqueda por IP ó Protocolo (||).........................................................................................12
Seguimiento de TCP.................................................................................................................13
Revision de SYN, SYN+ACK, RST, RST+ACK.....................................................................14
Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algún firewall. . .14
UDP Scan...................................................................................................................................15
ARCHIVO HTTP_WITP_JPEGS.CAP....................................................................................15
Revisión de ARP si hay algún ataque Man in the Middle arp..............................................20
ARCHIVO MYSQL....................................................................................................................21
ARCHIVO TELNET.......................................................................................................................23
Revision de SYN, SYN+ACK, RST, RST+ACK.....................................................................23
Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algun firewall. . .23
Introducción

En el ámbito de la administración y análisis de redes, la capacidad de


examinar el tráfico de datos es esencial para comprender el comportamiento de
los protocolos y aplicaciones que operan en una red. Wireshark, una herramienta
de código abierto líder en este campo, proporciona una interfaz poderosa para la
captura y análisis de paquetes de red. Este software permite a los profesionales
de redes y seguridad obtener una visión profunda de la comunicación entre
dispositivos, identificar posibles problemas y asegurarse de que las transmisiones
de datos se realicen de manera eficiente y segura. En esta guía, exploraremos
cómo utilizar Wireshark para analizar capturas de tráfico de protocolos específicos,
como Telnet, FTP y HTTPS, brindando insights valiosos para optimizar el
rendimiento y garantizar la seguridad en entornos de red.
Filtros para buscar información
Captura Eth
La captura de tráfico Ethernet (Eth) con Wireshark es una tarea fundamental para
analizar y diagnosticar problemas de red, así como para entender la comunicación
entre dispositivos en una red local. Wireshark es una poderosa herramienta de
análisis de protocolos que permite examinar paquetes de datos en tiempo real.
Búsqueda por IP y puertos que no estén entre 21 y 23

Nota: El comando and not [Link] in {21 23} no me funciono por lo que busque
otra alternativa
Escucha de secuencia TCP
WIFI

Realizar filtro de búsqueda por medio de IP: [Link] [Link]


ICMP
A través de mensajes de control y error, ICMP permite a los dispositivos informar sobre
condiciones de red, notificar errores y, en general, mejorar la eficiencia de la transmisión de datos.
Búsqueda por Ip y Puerto (&&)

La búsqueda en Wireshark por dirección IP y puerto se puede realizar


mediante un filtro que combine ambas condiciones. Aquí te proporciono un
ejemplo de cómo puedes realizar una búsqueda utilizando la lógica "AND" (&&)
para especificar tanto la dirección IP de origen/destino como el número de puerto:

Búsqueda por IP ó Protocolo (||)


Para buscar paquetes que cumplan con la condición de tener una dirección
IP de origen específica (por ejemplo, [Link]) o que utilicen un protocolo
específico (por ejemplo, ICMP)
Búsqueda por IP y puertos que no estén entre 21 y 23

Seguimiento de TCP
Seleccionar el mensaje TCP y presionar click del derecho del mouse para
seleccionar “Follow” ---> TCP Stream para revisar todo el mensaje con el
contenido que se esta enviando
Revision de SYN, SYN+ACK, RST, RST+ACK

[Link] == 0x002 or [Link] == 0x012 or [Link] == 0x004 or [Link] ==


0x014
Revisión SYN,

Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algún
firewall
[Link] == 0x002 or [Link] == 0x012 or [Link] == 0x004 or [Link] ==
0x014 or ([Link] == 3
and ([Link] == 1 or [Link] == 2 or [Link] == 3 or [Link] == 9 or
[Link] == 10 or [Link] == 13))
UDP Scan
==============
[Link] == 3 and [Link] == 3

ARCHIVO HTTP_WITP_JPEGS.CAP
Revisar Quien está enviando el escáner a los puertos:
menú Statistics --> Flow Graph. Se detecta el flujo a nivel de TCP Flows de que IP
realiza el escáner y cual puerto responde abierto con el SYN_ACK a las diferentes
IP que realiza el escáner
[Link] eq 0
En la direccion [Link] se detecta el puerto abierto 21 y da una respuesta
al escaner Verificar con el siguiente filtro [Link] == [Link] and [Link] ==
[Link] and [Link]

Revisar que otras IP tiene conexion la == [Link] (IP del Escaneo)


[Link] == [Link] and !([Link] == [Link]/24)
[Link]==[Link] and [Link] >= 1 and [Link] == 0x012

[Link] == [Link] and !([Link]==[Link])


[Link]==[Link] and [Link] == 80

[Link] == [Link] and [Link] == [Link] and [Link] >= 1


Verificacion de Puertos abiertos en maquina [Link] y que responden a la
IP del Escaner
[Link] == [Link] and [Link] >= 1 and [Link] == 0x012 and [Link] ==
[Link]
Revisión de ARP si hay algún ataque Man in the Middle arp
Revisar en la comunicación de ARP si hay alguna dirección duplicada
puede ser un indicio de una suplantacion en el cache del ARP del host
También se puede visualizar Menu el Analyze --> Expert Information
Revisar --> Menu el Analyze --> Expert Information
================================================
+) Detectar Puertos Escaneados esto se realiza revisando el SYN+ACK
+) Detectar Los puertos Rechazados por el Destino esto se realiza revisando el
RST+ACK

Revisar que otras IP tiene conexion la [Link] (IP del Escaneo)


ARCHIVO MYSQL
Menu Statistics --> Flow Graph. Se detecta el flujo a nivel de TCP Flows de
que IP realiza el escaner y cual puerto responde abierto con el SYN_ACK a las
diferentes IP que realiza el escaner

En la direccion [Link] se detecta el puerto abierto 21 y da una respuesta


al escaner
Verificar con el siguiente filtro
[Link] == [Link] and [Link] == [Link] and [Link]
Detección de puertos que responden al [Link] de las otras IPs
[Link] == [Link] and [Link] >= 1 and [Link] == 0x012

Revisión de ARP si hay algún ataque Man in the Middle arp


Revisar en la comunicación de ARP si hay alguna dirección duplicada puede ser
un indicio de una suplantación en el cache del ARP del host
También se puede visualizar Menu el Analyze --> Expert Information
ARCHIVO TELNET
Revision de SYN, SYN+ACK, RST, RST+ACK
[Link] == 0x002 or [Link] == 0x012 or [Link] == 0x004 or [Link] ==
0x014

Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algun
firewall
[Link] == 0x002 or [Link] == 0x012 or [Link] == 0x004 or [Link] ==
0x014 or ([Link] == 3
and ([Link] == 1 or [Link] == 2 or [Link] == 3 or [Link] == 9 or
[Link] == 10 or [Link] == 13))

Revisar --> Menu el Analyze --> Expert Information


================================================
+) Detectar Puertos Escaneados esto se realiza revisando el SYN+ACK
+) Detectar Los puertos Rechazados por el Destino esto se realiza revisando el
RST+ACK

Menu Statistics --> Flow Graph. Se detecta el flujo a nivel de TCP Flows de
que IP realiza el escaner y cual puerto responde abierto con el SYN_ACK a las
diferentes IP que realiza el escáner
verificación de Puertos abiertos en maquina [Link] y que responden a la
IP del escáner
[Link] == [Link] and [Link] == [Link] and [Link] >= 1

[Link] == [Link] and [Link] >= 1 and [Link] == 0x012

También podría gustarte