Analisis de red mediante Wireshark y Tcpdump

2,709
-1

Published on

Esta vez os dejo una prática de redes sobre seguridad, mediante los Sniffers Wireshark y Tcpdump usado sobre dos equipos de nuestra red, podemos ver la captura de datos,usuario y contraseña de FTP,HTTP y los distintos protocolos de comunicación que se establecen durante dicha conexión.

Published in: Education
0 Comments
11 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,709
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
11
Embeds 0
No embeds

No notes for slide

Analisis de red mediante Wireshark y Tcpdump

  1. 1. Tarea 1. Captura de PDU mediante ping Nombre: Javier Martin Rivero Paso 1: Después de asegurarse de que la topología y configuración de laboratorio estándar son correctas, inicie Wireshark en un equipo en un módulo de laboratorio.
  2. 2. Configure las opciones de captura como se describe arriba en la descripción general e inicie el proceso de captura. Desde la línea de comando del equipo, haga ping en la dirección IP de otra red conectada y encienda el dispositivo final en la topología de laboratorio. En este caso, haga ping a otra máquina virtual o equipo real del aula. Después de recibir las respuestas exitosas al ping en la ventana de línea de comandos, detenga la captura del paquete. Paso 2: Examine el panel Lista de paquetes. Observe los paquetes de la lista con protocolo ICMP. ¿Qué protocolo se utiliza por ping? ICMP ¿Cuál es el nombre completo del protocolo? Internal Control Message Protocol ¿Cuáles son los nombres de los dos mensajes ping?
  3. 3. Echo (ping) request Echo (ping) reply ¿Las direcciones IP de origen y destino que se encuentran en la lista son las que esperaba? Sí / No ¿Por qué? Si porque la dirrecion Ip de origen es la de mi maquina virtual XP y la de destino la de mi maquina virtual Ubuntu. Las dos estan en la misma red. Paso 3: Seleccione (resalte) con el mouse el primer paquete de solicitud de eco en la lista.
  4. 4. Localice los dos tipos diferentes de “Origen” y “Destino”. ¿Por qué hay dos tipos? Por que la Ip y la mac de origen y destino son distintas. ¿Cuáles son los protocolos que están en la trama de Ethernet? IP y ICMP Si selecciona una línea en el panel de Detalles del paquete, toda o parte de la información en el panel de Bytes del paquete también quedará resaltada. Por ejemplo, si la segunda línea (+ Ethernet II) está resaltada en el panel de detalles, el panel de Bytes resalta ahora los valores correspondientes. Esto muestra los valores binarios particulares que representan la información de la PDU. En esta etapa del curso no es necesario entender esta información en detalle.
  5. 5. Paso 4: Vaya al menú Archivo y seleccione Cerrar. Haga clic en Continuar sin guardar cuando se muestre esta casilla de mensaje.
  6. 6. Paso 4. Cree un filtro para que sólo su muestren los protocolos relevantes del ping. Paso 5: Vaya al menú Archivo y seleccione Cerrar. Haga clic en Continuar sin guardar cuando se muestre esta casilla de mensaje. Tarea 2: Captura de FTP PDU
  7. 7. Paso 1. Instale el servidor GUILDFTP FTP en su máquina o en otra máquina virtual. Instale el filezilla cliente u otro en la máquina donde tiene el instalado el Wireshark.
  8. 8. Paso 2: Inicie la captura de paquetes
  9. 9. Inicie una nueva captura en Wireshark. Abra el Filezilla client e ingrese la IP de la máquina donde está el servidor FTP. Ingrese un nombre de usuario y contraseña válidos. Descargue un archivo del servidor. Paso 3: Aumente el tamaño del panel de Lista de paquetes de Wireshark y desplácese por las PDU que se encuentren en la lista. Localice y tome nota de las PDU asociadas con la descarga del archivo. Éstas serán las PDU del protocolo TCP de Capa 4 y del protocolo FTP de Capa 7 OSI. Identifique los tres grupos de PDU asociados con la transferencia del archivo. El primer grupo está asociado con la fase “conexión” y el inicio de sesión en el servidor. Haga una lista de ejemplos de mensajes intercambiados en esta fase. 192.168.1.34 192.168.1.35 FTP Response: 220-GuildFTPd FTP Server (c) 1997-2002 192.168.1.34 192.168.1.35 FTP Response: 220 Please enter your name: 192.168.1.35 192.168.1.34 FTP Request: USER JavierM 192.168.1.34 192.168.1.35 FTP Response: 331 User name okay, Need password. 192.168.1.35 192.168.1.34 FTP Request: PASS malaga 192.168.1.34 192.168.1.35 FTP Response: 230 User logged in. Localice y haga una lista de ejemplos de mensajes intercambiados en la segunda fase, que es el pedido de descarga real y la transferencia de datos. 192.168.1.34 192.168.1.35 FTP 192.168.1.35 192.168.1.34 FTP Response: 227 Entering Passive Mode (192,168,1,34,4,217) Request: RETR FTPJMRPRUEBA.txt
  10. 10. 192.168.1.34 192.168.1.35 FTP Response: 150 Opening ascii mode data connection for /FTPJMRPRUEBA.txt (13 bytes). 192.168.1.34 192.168.1.35 FTP Response: 226 Transfer complete. 13 bytes in 0 sec. (0.00 Kb/s). 192.168.1.34 192.168.1.35 FTP-DATA FTP Data: 63 bytes El tercer grupo de PDU está relacionado con el cierre de sesión y la “desconexión”. Haga una lista de ejemplos de mensajes intercambiados durante este proceso. 192.168.1.34 192.168.1.35 FTP 192.168.1.34 192.168.1.35 FTP 192.168.1.34 192.168.1.35 FTP Response: 221 221-Inactivity time exceeded - Auto kicked Request: QUIT! Response: 221 Goodbye! Localice los intercambios TCP recurrentes a través del proceso FTP. ¿Qué característica de TCP indica esto? La caracteristica principal es que el protocolo tcp cambia o modifica para poder lograr el intercambio de archivos. Resalte los paquetes que contengan el nombre de usuario y contraseña. Examine la porción resaltada en el panel Byte del paquete. ¿Qué dice esto sobre la seguridad de este proceso de inicio de sesión FTP? Esto indica que el protocolo FTP es muy inseguro ya que no protege o encripta la contraseña como por ejemplo el protocolo HTTPS que si lo hace. Resalte un paquete asociado con la segunda fase. Desde cualquier panel, localice el paquete que contenga el nombre del archivo. El nombre del archivo es: FTPJMRPRUEBA.TXT es el nombre del archivo que hemos subido al servidor. Resalte un paquete que contenga el contenido real del archivo. Observe el texto simple visible
  11. 11. en el panel Byte. Resalte y examine en los paneles Detalles y Byte; algunos de los paquetes intercambiados en la tercera fase de la descarga del archivo. ¿Qué características distinguen al contenido de estos paquetes? Cada pdu tiene su propio codigo. Paso 5: Crea un filtro compuesto que le permita hacer un filtrado relevante de ciertos de los paquetes de esta captura. Paso 6: Muestra algún tipo de estadísticas de esta captura.
  12. 12. En esta captura se ve como estadistica la fecha en la que sea creado y la hora, y el tiempo que ha durado la captura y el numero de frame capturados. Tarea 3: Captura de HTTP PDU Paso 1: Inicie la captura de paquetes. Considerando que Wireshark sigue en funcionamiento desde los pasos anteriores, inicia una nueva captura. Entre en la plataforma moodle del instituto o bien cualquier otra página que utilice el protocolo http y requiera introducir nombre y clave de usuario. Abre tu navegador web y pon dicha IP. Una vez que la página Web se haya descargado por completo, detenga la captura del paquete Wireshark.
  13. 13. Paso 2: Localice e identifique los paquetes TCP y HTTP asociados con la descarga de la página Web.
  14. 14. Paso 3: Utilizando un filtro/s muestra la página a la que se ha accedido y el nombre de usuario y contraseña de acceso si se puede.
  15. 15. Paso 4: Ahora, comience una nueva captura, y abra una web donde en la URL del navegador se muestre HTTPS y accede. Guarda la captura. Localice e identifique los paquetes TCP y HTTP asociados con la descarga de la página Web. Es posible saber el nombre de usuario y contraseña de acceso? ¿Por qué?
  16. 16. No es posible saber el nombre de usuario y contraseña en la plataforma moddle ya que va con https, y encripta esa informacion. Este protocolo suele encontrarse en todas las paginas bancarias. Tarea 4. WIRESHARK EN LINUX. PASO 1. INDICA CÓMO INSTALAS EL SERVICIO DE TELNET EN TU EQUIPO LINUX Y EN TU EQUIPO WINDOWS. REALIZA UNA CAPTURA PARA ESTE PROTOCOLO PARA CADA UNA DE ELLOS ACCEDIENDO DESDE EL OTRO. Instalas en linux telnet accediendo a la consola de linea de comandos y pones sudo apt-get install telnetd.
  17. 17. En windows xp instala Telnet accediendo a Panel de Control, Herramientas administrativas, Servicios y desde ahi buscamos el servicio telnet y lo habilitamos.
  18. 18. PASO 2. AHORA, INDICA CÓMO INSTALAS EL SERVICIO DE SSH EN TU MÁQUINA LINUX. REALIZA UNA NUEVA CAPTURA Y ACCEDE UTILIZANDO LA APLICACIÓN PUTTY DESDE TU EQUIPO WINDOWS. GUARDA LA CAPTURA. APLICA UN FILTRO E INDICA QUÉ DIFERENCIA OBSERVAS RESPECTO AL ACCESO TELNET? Al igual que instalamos telnet, hacemos lo mismo con ssh, abrimos una consola de linea de comandos y ponemos sudo apt-get install ssh .
  19. 19. Podemos ver en el wireshark que cuando capturamos los paquetes telnet muestra tanto el usuario como contraseña esto quiere decir que el protocolo telnet es inseguro.
  20. 20. Hemos capturado en el wireshark los paquetes del protocolo ssh y podemos ver que todos los paquetes que se han capturado esta encriptado entonces no podemos visualizar ni el nombre ni la contraseña. El protocolo ssh es mas seguro que telnet porque encripta los paquetes e imposibilita la visualizacion de la clave y el login. Tarea 1. En tu Linux probar la siguiente orden: sudo tcpdump -ieth0 -A -s1500 port 21 2> tcpdump.txt 1>> tcpdump.txt
  21. 21. Los parámetros son: -ieth0: para capturar los paquetes de la interfaz eth0 -A: para imprimir cada paquete en ASCII. En ocasiones suele ser útil utilizar -X, que imprime los datos de cada paquete en hexadecimal y ASCII -s1500: tamaño de los paquetes que va a recoger port 21: para capturar los paquetes dirigidos al puerto 21 (ftp) 2> tcpdump.txt: para redireccionar el standar error a un archivo 1>> tcpdump.txt: para redireccionar el standar output a un archivo Un archivo generado con tcpdump es posible de analizar, por ejemplo: tcpdump src host IP
  22. 22. tcpdump host IP tcpdump ether dst MAC
  23. 23. tcpdump port 21
  24. 24. tcpdump proto ip tcp tcpdump -r Tarea 2. En tu máquina Linux tienes funcionando tu servidor FTP además de tu wireshark, y ahora desde tu máquina Windows accede desde el filezilla client. Haz una captura con tcpdump y guarda la salida en un archivo llamado tcpdumftp.out Las capturas de tcpdump se terminan con Control-C. a) Ejecutar la orden tcpdump para capturar solo paquetes de tipo FTP
  25. 25. b) Capturar solo paquetes de destino a la red 172.16.0.0 c) Captura sólo el tráfico dirigido a tu ordenador. d) Capturar sólo el tráfico dirigido al puerto 80.
  26. 26. Tarea 3. Por último, instala en tu equipo Windows el escaneador de puertos portscan. PortScan es un escáner de puertos y direcciones IP que analiza y encuentra todos los dispositivos activos en tu red. Ahora haz lo mismo pero para tu Linux. En este caso en la utilidad nmap. Para instalarlo hacemos lo siguiente: # apt-get install nmap
  27. 27. # apt-get install zenmap(es para tener su versión gráfica) Una vez instalado si queremos ver los puertos abiertos en nuestra máquina ejecutamos: #nmap -A localhost En el listado de la imágen anterior podemos ver el número de puerto y protocolo, el estado del servicio y su nombre. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado) o unfiltered (no filtrado). El estado “open” significa que el servicio se encuentra esperando conexiones o paquetes en ese puerto. El estado “filtered” indica que un cortafuegos o filtro de red está bloqueando el acceso a dicho puerto.
  28. 28. El estado “closed” significa que el puerto está cerrado. El estado “unfiltered” indica que nmap no puede determinar si el puerto está abierto o cerrado. - El siguiente comando es muy útil para ver todos los dispositivos de nuestra red: #nmap -v -sP 192.168.8.0/24 Muestra una captura de cada uno de ellos, para realizar un escáner “ICMP ECHO” de la red 172.16.102.0/24, y obtener el número de IPs disponibles es esta red.

×