0
Identificación y Análisis de Patronesde Trafico Malicioso en Redes IPLuis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BISC...
Luis Eduardo Meléndez Campis                               @v3l3r0f0nt3                               v3l3r0f0nt3@gmail.com
AgendaSesión I                                     Sesión II(28 de Junio 5:30 pm – 7:00 pm)              (30 de Junio 8:00...
¿Qué es trafico?
Estrategia para el análisis del trafico                                     Acceso                         Obtener visibil...
Estrategia para el análisis del trafico - Acceso Concentradores o Hubs
Estrategia para el análisis del trafico - Acceso Puertos Span                                            Puerto Span     ...
Estrategia para el análisis del trafico - Acceso Tap’s                        GigabitEthernet Tap                        ...
Estrategia para el análisis del trafico                                     Acceso                         Obtener visibil...
Estrategia para el análisis del trafico - Captura               MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO Comp...
Estrategia para el análisis del trafico                                     Acceso                         Obtener visibil...
Estrategia para el análisis del trafico - Análisis Componentes básicos para la realización de un análisis   Conocimientos...
Herramientas para el análisis del trafico -Wireshark
Herramientas para el análisis del trafico - Tshark
Herramientas para el análisis del trafico –Networkminer
Herramientas para el análisis del trafico – Xplico
Herramientas para el análisis del trafico –Netwitnet Investigator
Herramientas para el análisis del trafico – Snort
Herramientas para el análisis del trafico –Malzillay Libemu
Herramientas para el análisis del trafico –Virustotal
¿Qué es un patrón de comportamiento? Def. La forma esperada de comportamiento de un ente, este  tiende a ser reiterativo ...
Patrón de trafico Def. Comportamiento particular del trafico de la red en  determinada circunstancia reiterativa influida...
Patrón de trafico – Huella o Firma Firma     Conjunto de características propias que identifican a una actividad en     p...
Patrón de Trafico - Filtro Filtro    Transcripción de la firma a un lenguaje lógico que permita depurar el trafico    cap...
Algunas firmas asociadas a actividades anómalas    Protocolo y puertos inusuales (P2P, IRC, 4444, …)   PERFILES DE FLUJO D...
Trafico anómalo Técnicas de reconocimiento    Malware      Ping Sweep                     Nimda      Arp Sweep          ...
OS Fingerprinting pasivo                           TTL        TOS                           MMS                           ...
OS Fingerprinting pasivo – Tablas de huellas
OS Fingerprinting pasivo – p0f
OS Fingerprinting pasivo – Satory
Aplicando datacarving a vaciados de trafico TCPXtract      tcpxtract --file ftp.pcap --output /root/output/ Foremost   –...
Graficando el trafico de red con AfterglowJun 17 09:42:30 rmarty ifup: Determining IP information for eth0...Jun 17 09:42:...
Graficando el trafico de red con Afterglow                    Archivo color.scan (Configuracion de la imagen)
Graficando el trafico de red con Afterglow
Geo-localización IP
Geo-localización IP– GeoEdge.py
Geo-localización IP– Wireshark y GeoIP
Geo-localización IP– Xplico y Google Earth
Detección y análisis rápido de shellcode en eltrafico de red                              netcat bindshell port 6666      ...
Caso de Estudio Posible compromiso y hurto de información de un servidor web  corporativo     webserver.pcap
Referencias• Wireshark Network Analysis - The OfficialWireshark Certified Network  Analyst Study Guide by Laura Chappell• ...
Upcoming SlideShare
Loading in...5
×

Identificación y análisis de patrones de trafico malicioso en redes ip

6,208

Published on

Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
6,208
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
83
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Identificación y análisis de patrones de trafico malicioso en redes ip"

  1. 1. Identificación y Análisis de Patronesde Trafico Malicioso en Redes IPLuis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BISCampus Party 2011
  2. 2. Luis Eduardo Meléndez Campis @v3l3r0f0nt3 v3l3r0f0nt3@gmail.com
  3. 3. AgendaSesión I Sesión II(28 de Junio 5:30 pm – 7:00 pm) (30 de Junio 8:00 pm – 9:30 pm) ¿Qué es trafico?  OS Fingerprinting pasivo Estrategia para el análisis de trafico  Aplicando datacarving a vaciados de Patrones de trafico trafico Trafico anómalo  Graficando el trafico de red con Afterglow  Geo-localización IP  Detección y análisis rápido de shellcode en el trafico de red  Caso de estudio
  4. 4. ¿Qué es trafico?
  5. 5. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  6. 6. Estrategia para el análisis del trafico - Acceso Concentradores o Hubs
  7. 7. Estrategia para el análisis del trafico - Acceso Puertos Span Puerto Span Estación de Monitoreo
  8. 8. Estrategia para el análisis del trafico - Acceso Tap’s GigabitEthernet Tap Estación de Monitoreo
  9. 9. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  10. 10. Estrategia para el análisis del trafico - Captura MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO Componentes básicos de un sistema para la captura de trafico Protocol Analizer Librería de Procedimientos Aplicación de Capturadora Base de datos/Formato de para la Captura de Trafico Almacenamiento Database / Traffic Dissectors Filters PCAP Format Libpcap Tcpdump Profiles MySQL Winpcap Windump PostgreSQL Airpcap Wireshark Stream Assembly -------------------------------------- Tshark CAP Format Snort PCAP Format Libpcap/Winpcap/Airpcap RAW Format Incoming Data Stream 101010001110101011111010101000111010101011101101
  11. 11. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  12. 12. Estrategia para el análisis del trafico - Análisis Componentes básicos para la realización de un análisis Conocimientos y habilidades Herramientas
  13. 13. Herramientas para el análisis del trafico -Wireshark
  14. 14. Herramientas para el análisis del trafico - Tshark
  15. 15. Herramientas para el análisis del trafico –Networkminer
  16. 16. Herramientas para el análisis del trafico – Xplico
  17. 17. Herramientas para el análisis del trafico –Netwitnet Investigator
  18. 18. Herramientas para el análisis del trafico – Snort
  19. 19. Herramientas para el análisis del trafico –Malzillay Libemu
  20. 20. Herramientas para el análisis del trafico –Virustotal
  21. 21. ¿Qué es un patrón de comportamiento? Def. La forma esperada de comportamiento de un ente, este tiende a ser reiterativo en si mismo , en otros entes o en ambos. Wait Ready Go
  22. 22. Patrón de trafico Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones. Se pueden clasificar en: – Patrones de trafico normales o típicos – Patrones de trafico anormales o maliciosos
  23. 23. Patrón de trafico – Huella o Firma Firma Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa) Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
  24. 24. Patrón de Trafico - Filtro Filtro Transcripción de la firma a un lenguaje lógico que permita depurar el trafico capturado Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG Filtro Filtro tcp.flags.fin == 1 and tcp.flags.psh == 1 tcp.flags.syn == 1 and tcp.dstport == 80 and tcp.flags.urg == 1
  25. 25. Algunas firmas asociadas a actividades anómalas Protocolo y puertos inusuales (P2P, IRC, 4444, …) PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON LA ANATOMIA DE UN ATAQUE Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..) Conexiones TCP entrantes inusuales (Bind) Conexiones TCP salientes inusuales (Reverse) Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…) Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
  26. 26. Trafico anómalo Técnicas de reconocimiento  Malware Ping Sweep Nimda Arp Sweep Clientes infectados con un Bot Syn Scan  Explotación de vulnerabilidades Xmas Scan with Decoys Ataque de fuerza bruta Ataques de red Ataque de diccionario ARP Poison SQL Injection y Path Traversal Syn Flooding
  27. 27. OS Fingerprinting pasivo TTL TOS MMS DF Bit Windows
  28. 28. OS Fingerprinting pasivo – Tablas de huellas
  29. 29. OS Fingerprinting pasivo – p0f
  30. 30. OS Fingerprinting pasivo – Satory
  31. 31. Aplicando datacarving a vaciados de trafico TCPXtract tcpxtract --file ftp.pcap --output /root/output/ Foremost – ./foremost -v -t all -i ftp.pcap -o /root/output/
  32. 32. Graficando el trafico de red con AfterglowJun 17 09:42:30 rmarty ifup: Determining IP information for eth0...Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable?Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failedJun 17 09:42:38 rmarty sendmail: sendmail shutdown succeededJun 17 09:42:38 rmarty sendmail: sm-client shutdown succeededJun 17 09:42:39 rmarty sendmail: sendmail startup succeededJun 17 09:42:39 rmarty sendmail: sm-client startup succeededJun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128Jun 17 09:45:42 rmarty last message repeated 2 timesJun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0)Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user rootJun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0)Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user rootJun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0)Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabenchJun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDPport: 192
  33. 33. Graficando el trafico de red con Afterglow Archivo color.scan (Configuracion de la imagen)
  34. 34. Graficando el trafico de red con Afterglow
  35. 35. Geo-localización IP
  36. 36. Geo-localización IP– GeoEdge.py
  37. 37. Geo-localización IP– Wireshark y GeoIP
  38. 38. Geo-localización IP– Xplico y Google Earth
  39. 39. Detección y análisis rápido de shellcode en eltrafico de red netcat bindshell port 6666 nc –l –t -p 6666 –e //bin/sh
  40. 40. Caso de Estudio Posible compromiso y hurto de información de un servidor web corporativo webserver.pcap
  41. 41. Referencias• Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell• Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander• Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard• http://seguridadyredes.wordpress.com/• http://www.jennylab.es/blog/• http://conexioninversa.blogspot.com• http://www.honeynet.org
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×