SlideShare a Scribd company logo

Identificación y análisis de patrones de trafico malicioso en redes ip

Download as PPTX, PDF
Jaime Restrepo
Jaime Restrepo

Este documento presenta una sesión de capacitación sobre la identificación y análisis de patrones de tráfico malicioso en redes IP. La sesión cubre temas como estrategias para el análisis de tráfico, patrones de tráfico normales y anormales, herramientas para el análisis de tráfico como Wireshark y Snort, y técnicas como fingerprinting de sistema operativo, geolocalización IP y detección de shellcode. También incluye un caso de estudio sobre un posible compromiso de servidor

Technology
1 of 41
Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS Campus Party 2011
Luis Eduardo Meléndez Campis @v3l3r0f0nt3 v3l3r0f0nt3@gmail.com
Agenda Sesión I Sesión II (28 de Junio 5:30 pm – 7:00 pm) (30 de Junio 8:00 pm – 9:30 pm)  ¿Qué es trafico?  OS Fingerprinting pasivo  Estrategia para el análisis de trafico  Aplicando datacarving a vaciados de  Patrones de trafico trafico  Trafico anómalo  Graficando el trafico de red con Afterglow  Geo-localización IP  Detección y análisis rápido de shellcode en el trafico de red  Caso de estudio
¿Qué es trafico?
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Acceso  Concentradores o Hubs
Estrategia para el análisis del trafico - Acceso  Puertos Span Puerto Span Estación de Monitoreo
Estrategia para el análisis del trafico - Acceso  Tap’s GigabitEthernet Tap Estación de Monitoreo
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Captura MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO  Componentes básicos de un sistema para la captura de trafico Protocol Analizer Librería de Procedimientos Aplicación de Capturadora Base de datos/Formato de para la Captura de Trafico Almacenamiento Database / Traffic Dissectors Filters PCAP Format Libpcap Tcpdump Profiles MySQL Winpcap Windump PostgreSQL Airpcap Wireshark Stream Assembly -------------------------------------- Tshark CAP Format Snort PCAP Format Libpcap/Winpcap/Airpcap RAW Format Incoming Data Stream 101010001110101011111010101000111010101011101101
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Análisis  Componentes básicos para la realización de un análisis Conocimientos y habilidades Herramientas
Herramientas para el análisis del trafico - Wireshark
Herramientas para el análisis del trafico - Tshark
Herramientas para el análisis del trafico – Networkminer
Herramientas para el análisis del trafico – Xplico
Herramientas para el análisis del trafico – Netwitnet Investigator
Herramientas para el análisis del trafico – Snort
Herramientas para el análisis del trafico –Malzilla y Libemu
Herramientas para el análisis del trafico – Virustotal
¿Qué es un patrón de comportamiento?  Def. La forma esperada de comportamiento de un ente, este tiende a ser reiterativo en si mismo , en otros entes o en ambos. Wait Ready Go
Patrón de trafico  Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.  Se pueden clasificar en: – Patrones de trafico normales o típicos – Patrones de trafico anormales o maliciosos
Patrón de trafico – Huella o Firma  Firma Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa) Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
Patrón de Trafico - Filtro  Filtro Transcripción de la firma a un lenguaje lógico que permita depurar el trafico capturado Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG Filtro Filtro tcp.flags.fin == 1 and tcp.flags.psh == 1 tcp.flags.syn == 1 and tcp.dstport == 80 and tcp.flags.urg == 1
Algunas firmas asociadas a actividades anómalas Protocolo y puertos inusuales (P2P, IRC, 4444, …) PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON LA ANATOMIA DE UN ATAQUE Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..) Conexiones TCP entrantes inusuales (Bind) Conexiones TCP salientes inusuales (Reverse) Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…) Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
Trafico anómalo  Técnicas de reconocimiento  Malware Ping Sweep Nimda Arp Sweep Clientes infectados con un Bot Syn Scan  Explotación de vulnerabilidades Xmas Scan with Decoys Ataque de fuerza bruta  Ataques de red Ataque de diccionario ARP Poison SQL Injection y Path Traversal Syn Flooding
OS Fingerprinting pasivo TTL TOS MMS DF Bit Windows
OS Fingerprinting pasivo – Tablas de huellas
OS Fingerprinting pasivo – p0f
OS Fingerprinting pasivo – Satory
Aplicando datacarving a vaciados de trafico  TCPXtract tcpxtract --file ftp.pcap --output /root/output/  Foremost – ./foremost -v -t all -i ftp.pcap -o /root/output/
Graficando el trafico de red con Afterglow Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0... Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable? Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failed Jun 17 09:42:38 rmarty sendmail: sendmail shutdown succeeded Jun 17 09:42:38 rmarty sendmail: sm-client shutdown succeeded Jun 17 09:42:39 rmarty sendmail: sendmail startup succeeded Jun 17 09:42:39 rmarty sendmail: sm-client startup succeeded Jun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:45:42 rmarty last message repeated 2 times Jun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0) Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user root Jun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0) Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user root Jun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0) Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabench Jun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192
Graficando el trafico de red con Afterglow Archivo color.scan (Configuracion de la imagen)
Graficando el trafico de red con Afterglow
Geo-localización IP
Geo-localización IP– GeoEdge.py
Geo-localización IP– Wireshark y GeoIP
Geo-localización IP– Xplico y Google Earth
Detección y análisis rápido de shellcode en el trafico de red netcat bindshell port 6666 nc –l –t -p 6666 –e //bin/sh
Caso de Estudio  Posible compromiso y hurto de información de un servidor web corporativo webserver.pcap
Referencias • Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell • Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander • Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard • http://seguridadyredes.wordpress.com/ • http://www.jennylab.es/blog/ • http://conexioninversa.blogspot.com • http://www.honeynet.org

Recommended

Componentes de un cableado estructurado
Componentes de un cableado estructuradoComponentes de un cableado estructurado
Componentes de un cableado estructuradoJûän Êztêbânn R
 
Funciones del DBA, SA Y DA
Funciones del DBA, SA Y DAFunciones del DBA, SA Y DA
Funciones del DBA, SA Y DAStalin Eduardo Tusa Vitar
 
TABLA DE CARACTERISTICAS DE MEDIOS DE TRANSMISION by JAVIER DAVID LOBATO PARDO
TABLA DE CARACTERISTICAS DE MEDIOS DE TRANSMISION by JAVIER DAVID LOBATO PARDOTABLA DE CARACTERISTICAS DE MEDIOS DE TRANSMISION by JAVIER DAVID LOBATO PARDO
TABLA DE CARACTERISTICAS DE MEDIOS DE TRANSMISION by JAVIER DAVID LOBATO PARDOjavier david lobato pardo
 
4.2 ethernet
4.2 ethernet4.2 ethernet
4.2 ethernetarkade_ingenery
 
Servicios DHCP, DNS y TELNET
Servicios DHCP, DNS y TELNETServicios DHCP, DNS y TELNET
Servicios DHCP, DNS y TELNETÓscar Humberto Díaz Jurado
 
Herramientas De Control, Monitoreo Y Acceso A Base De Datos
Herramientas De Control, Monitoreo Y Acceso A Base De DatosHerramientas De Control, Monitoreo Y Acceso A Base De Datos
Herramientas De Control, Monitoreo Y Acceso A Base De DatosYazmin Ibarra
 
Transaccion
TransaccionTransaccion
TransaccionAlberto Torres
 
Grupo 3 tecnologias dsl
Grupo 3 tecnologias dslGrupo 3 tecnologias dsl
Grupo 3 tecnologias dslCarlos Ventura Luyo
 

Recommended

Componentes de un cableado estructurado
Componentes de un cableado estructuradoComponentes de un cableado estructurado
Componentes de un cableado estructuradoJûän Êztêbânn R
 
Funciones del DBA, SA Y DA
Funciones del DBA, SA Y DAFunciones del DBA, SA Y DA
Funciones del DBA, SA Y DAStalin Eduardo Tusa Vitar
 
TABLA DE CARACTERISTICAS DE MEDIOS DE TRANSMISION by JAVIER DAVID LOBATO PARDO
TABLA DE CARACTERISTICAS DE MEDIOS DE TRANSMISION by JAVIER DAVID LOBATO PARDOTABLA DE CARACTERISTICAS DE MEDIOS DE TRANSMISION by JAVIER DAVID LOBATO PARDO
TABLA DE CARACTERISTICAS DE MEDIOS DE TRANSMISION by JAVIER DAVID LOBATO PARDOjavier david lobato pardo
 
4.2 ethernet
4.2 ethernet4.2 ethernet
4.2 ethernetarkade_ingenery
 
Servicios DHCP, DNS y TELNET
Servicios DHCP, DNS y TELNETServicios DHCP, DNS y TELNET
Servicios DHCP, DNS y TELNETÓscar Humberto Díaz Jurado
 
Herramientas De Control, Monitoreo Y Acceso A Base De Datos
Herramientas De Control, Monitoreo Y Acceso A Base De DatosHerramientas De Control, Monitoreo Y Acceso A Base De Datos
Herramientas De Control, Monitoreo Y Acceso A Base De DatosYazmin Ibarra
 
Transaccion
TransaccionTransaccion
TransaccionAlberto Torres
 
Grupo 3 tecnologias dsl
Grupo 3 tecnologias dslGrupo 3 tecnologias dsl
Grupo 3 tecnologias dslCarlos Ventura Luyo
 
Modelo e r
Modelo e rModelo e r
Modelo e rgarci17
 
SGBD Postgresql
SGBD PostgresqlSGBD Postgresql
SGBD PostgresqlAlex Geovani
 
BASES DE DATOS RELACIONALES (ejercicios)
BASES DE DATOS RELACIONALES (ejercicios) BASES DE DATOS RELACIONALES (ejercicios)
BASES DE DATOS RELACIONALES (ejercicios) j3palacios
 
Fundamentos de telefonia ip
Fundamentos de telefonia ipFundamentos de telefonia ip
Fundamentos de telefonia ipJose Luis Chauca
 
Analisis lexico automatas i
Analisis lexico automatas iAnalisis lexico automatas i
Analisis lexico automatas irubiyanetvalenciavelazquez
 
Bootstrap
BootstrapBootstrap
BootstrapJesús Alberto Casero Gutiérrez
 
Qué es una canaleta
Qué es una canaleta Qué es una canaleta
Qué es una canaleta Hamid Rujana Quintero
 
Instalacion de un (SGBD)sistema gestor de base de datos.
Instalacion de un (SGBD)sistema gestor de base de datos.Instalacion de un (SGBD)sistema gestor de base de datos.
Instalacion de un (SGBD)sistema gestor de base de datos.SergioLopez467
 
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de Comunicación
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de ComunicaciónFundamentos de Telecomunicaciones Unidad 5 Dispositivos de Comunicación
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de ComunicaciónJosé Antonio Sandoval Acosta
 
El Microprocesador 8085
El Microprocesador 8085El Microprocesador 8085
El Microprocesador 8085Hector Miranda Lohse
 
Bus de datos, dirección y control
Bus de datos, dirección y controlBus de datos, dirección y control
Bus de datos, dirección y controlJulian1784
 
Estándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de RedesEstándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de RedesJose Adalberto Cardona Ortiz
 
Expocicion Enrutamiento Estatico
Expocicion Enrutamiento EstaticoExpocicion Enrutamiento Estatico
Expocicion Enrutamiento EstaticoJAIR STEFANO AGURTO ZAPATA
 
Cableado estructurado
Cableado estructuradoCableado estructurado
Cableado estructuradoRolly Jhon Vallejos Arias
 
Clase10 2-lenguaje ensamblador
Clase10 2-lenguaje ensambladorClase10 2-lenguaje ensamblador
Clase10 2-lenguaje ensambladorInfomania pro
 
Modelo de computacion distribuida
Modelo de computacion distribuidaModelo de computacion distribuida
Modelo de computacion distribuidaFabian Ortiz
 
Acl ejemplos
Acl ejemplosAcl ejemplos
Acl ejemplosestiven gallego castaño
 
TABLA DE SÍMBOLOS
TABLA DE SÍMBOLOSTABLA DE SÍMBOLOS
TABLA DE SÍMBOLOSInfomania pro
 
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...Frans Michel Barrenechea Arias
 
Funciones de la capa de enlace
Funciones de la capa de enlaceFunciones de la capa de enlace
Funciones de la capa de enlacecleiver_antonio
 
Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.JOSE ALFREDO RAMIREZ PRADA
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]RootedCON
 

More Related Content

What's hot

Modelo e r
Modelo e rModelo e r
Modelo e rgarci17
 
BASES DE DATOS RELACIONALES (ejercicios)
BASES DE DATOS RELACIONALES (ejercicios) BASES DE DATOS RELACIONALES (ejercicios)
BASES DE DATOS RELACIONALES (ejercicios) j3palacios
 
Fundamentos de telefonia ip
Fundamentos de telefonia ipFundamentos de telefonia ip
Fundamentos de telefonia ipJose Luis Chauca
 
Instalacion de un (SGBD)sistema gestor de base de datos.
Instalacion de un (SGBD)sistema gestor de base de datos.Instalacion de un (SGBD)sistema gestor de base de datos.
Instalacion de un (SGBD)sistema gestor de base de datos.SergioLopez467
 
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de Comunicación
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de ComunicaciónFundamentos de Telecomunicaciones Unidad 5 Dispositivos de Comunicación
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de ComunicaciónJosé Antonio Sandoval Acosta
 
Bus de datos, dirección y control
Bus de datos, dirección y controlBus de datos, dirección y control
Bus de datos, dirección y controlJulian1784
 
Estándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de RedesEstándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de RedesJose Adalberto Cardona Ortiz
 
Clase10 2-lenguaje ensamblador
Clase10 2-lenguaje ensambladorClase10 2-lenguaje ensamblador
Clase10 2-lenguaje ensambladorInfomania pro
 
Modelo de computacion distribuida
Modelo de computacion distribuidaModelo de computacion distribuida
Modelo de computacion distribuidaFabian Ortiz
 
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...Frans Michel Barrenechea Arias
 
Funciones de la capa de enlace
Funciones de la capa de enlaceFunciones de la capa de enlace
Funciones de la capa de enlacecleiver_antonio
 

What's hot (20)

Modelo e r
Modelo e rModelo e r
Modelo e r
 
SGBD Postgresql
SGBD PostgresqlSGBD Postgresql
SGBD Postgresql
 
BASES DE DATOS RELACIONALES (ejercicios)
BASES DE DATOS RELACIONALES (ejercicios) BASES DE DATOS RELACIONALES (ejercicios)
BASES DE DATOS RELACIONALES (ejercicios)
 
Fundamentos de telefonia ip
Fundamentos de telefonia ipFundamentos de telefonia ip
Fundamentos de telefonia ip
 
Analisis lexico automatas i
Analisis lexico automatas iAnalisis lexico automatas i
Analisis lexico automatas i
 
Bootstrap
BootstrapBootstrap
Bootstrap
 
Qué es una canaleta
Qué es una canaleta Qué es una canaleta
Qué es una canaleta
 
Instalacion de un (SGBD)sistema gestor de base de datos.
Instalacion de un (SGBD)sistema gestor de base de datos.Instalacion de un (SGBD)sistema gestor de base de datos.
Instalacion de un (SGBD)sistema gestor de base de datos.
 
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de Comunicación
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de ComunicaciónFundamentos de Telecomunicaciones Unidad 5 Dispositivos de Comunicación
Fundamentos de Telecomunicaciones Unidad 5 Dispositivos de Comunicación
 
El Microprocesador 8085
El Microprocesador 8085El Microprocesador 8085
El Microprocesador 8085
 
Bus de datos, dirección y control
Bus de datos, dirección y controlBus de datos, dirección y control
Bus de datos, dirección y control
 
Estándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de RedesEstándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de Redes
 
Expocicion Enrutamiento Estatico
Expocicion Enrutamiento EstaticoExpocicion Enrutamiento Estatico
Expocicion Enrutamiento Estatico
 
Cableado estructurado
Cableado estructuradoCableado estructurado
Cableado estructurado
 
Clase10 2-lenguaje ensamblador
Clase10 2-lenguaje ensambladorClase10 2-lenguaje ensamblador
Clase10 2-lenguaje ensamblador
 
Modelo de computacion distribuida
Modelo de computacion distribuidaModelo de computacion distribuida
Modelo de computacion distribuida
 
Acl ejemplos
Acl ejemplosAcl ejemplos
Acl ejemplos
 
TABLA DE SÍMBOLOS
TABLA DE SÍMBOLOSTABLA DE SÍMBOLOS
TABLA DE SÍMBOLOS
 
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
¿Qué SGBD (Sistema de Gestor de BD) y tecnologías utilizan: Facebook, Twitter...
 
Funciones de la capa de enlace
Funciones de la capa de enlaceFunciones de la capa de enlace
Funciones de la capa de enlace
 

Similar to Identificación y análisis de patrones de trafico malicioso en redes ip

Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]RootedCON
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Traficoguest99b32c
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion TraficoGuido Pineda
 
Gestion de-redes
Gestion de-redesGestion de-redes
Gestion de-redesInti Chico
 
D1 gestión de redes de datos
D1 gestión de redes de datosD1 gestión de redes de datos
D1 gestión de redes de datosmariopino129
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSIxoanGz
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion snifferalexleo69
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendnavajanegra
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeñomiss051
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaningVictorPazmio4
 
Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIMAlienVault
 

Similar to Identificación y análisis de patrones de trafico malicioso en redes ip (20)

Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
 
Campus party2011
Campus party2011Campus party2011
Campus party2011
 
Gestion de-redes
Gestion de-redesGestion de-redes
Gestion de-redes
 
D1 gestión de redes de datos
D1 gestión de redes de datosD1 gestión de redes de datos
D1 gestión de redes de datos
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
 
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriend
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
 
Mitigación de ataques DDoS en la Anella Científica
Mitigación de ataques DDoS en la Anella CientíficaMitigación de ataques DDoS en la Anella Científica
Mitigación de ataques DDoS en la Anella Científica
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicaciones
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaning
 
Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIM
 
Iba2008 Servicios
Iba2008 ServiciosIba2008 Servicios
Iba2008 Servicios
 

More from Jaime Restrepo

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarJaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxJaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conJaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarJaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursJaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysisJaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoJaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 

More from Jaime Restrepo (20)

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 

Recently uploaded

EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Recently uploaded (11)

EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Identificación y análisis de patrones de trafico malicioso en redes ip

  • 1. Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS Campus Party 2011
  • 2. Luis Eduardo Meléndez Campis @v3l3r0f0nt3 v3l3r0f0nt3@gmail.com
  • 3. Agenda Sesión I Sesión II (28 de Junio 5:30 pm – 7:00 pm) (30 de Junio 8:00 pm – 9:30 pm)  ¿Qué es trafico?  OS Fingerprinting pasivo  Estrategia para el análisis de trafico  Aplicando datacarving a vaciados de  Patrones de trafico trafico  Trafico anómalo  Graficando el trafico de red con Afterglow  Geo-localización IP  Detección y análisis rápido de shellcode en el trafico de red  Caso de estudio
  • 5. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 6. Estrategia para el análisis del trafico - Acceso  Concentradores o Hubs
  • 7. Estrategia para el análisis del trafico - Acceso  Puertos Span Puerto Span Estación de Monitoreo
  • 8. Estrategia para el análisis del trafico - Acceso  Tap’s GigabitEthernet Tap Estación de Monitoreo
  • 9. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 10. Estrategia para el análisis del trafico - Captura MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO  Componentes básicos de un sistema para la captura de trafico Protocol Analizer Librería de Procedimientos Aplicación de Capturadora Base de datos/Formato de para la Captura de Trafico Almacenamiento Database / Traffic Dissectors Filters PCAP Format Libpcap Tcpdump Profiles MySQL Winpcap Windump PostgreSQL Airpcap Wireshark Stream Assembly -------------------------------------- Tshark CAP Format Snort PCAP Format Libpcap/Winpcap/Airpcap RAW Format Incoming Data Stream 101010001110101011111010101000111010101011101101
  • 11. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 12. Estrategia para el análisis del trafico - Análisis  Componentes básicos para la realización de un análisis Conocimientos y habilidades Herramientas
  • 13. Herramientas para el análisis del trafico - Wireshark
  • 14. Herramientas para el análisis del trafico - Tshark
  • 15. Herramientas para el análisis del trafico – Networkminer
  • 16. Herramientas para el análisis del trafico – Xplico
  • 17. Herramientas para el análisis del trafico – Netwitnet Investigator
  • 18. Herramientas para el análisis del trafico – Snort
  • 19. Herramientas para el análisis del trafico –Malzilla y Libemu
  • 20. Herramientas para el análisis del trafico – Virustotal
  • 21. ¿Qué es un patrón de comportamiento?  Def. La forma esperada de comportamiento de un ente, este tiende a ser reiterativo en si mismo , en otros entes o en ambos. Wait Ready Go
  • 22. Patrón de trafico  Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.  Se pueden clasificar en: – Patrones de trafico normales o típicos – Patrones de trafico anormales o maliciosos
  • 23. Patrón de trafico – Huella o Firma  Firma Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa) Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
  • 24. Patrón de Trafico - Filtro  Filtro Transcripción de la firma a un lenguaje lógico que permita depurar el trafico capturado Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG Filtro Filtro tcp.flags.fin == 1 and tcp.flags.psh == 1 tcp.flags.syn == 1 and tcp.dstport == 80 and tcp.flags.urg == 1
  • 25. Algunas firmas asociadas a actividades anómalas Protocolo y puertos inusuales (P2P, IRC, 4444, …) PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON LA ANATOMIA DE UN ATAQUE Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..) Conexiones TCP entrantes inusuales (Bind) Conexiones TCP salientes inusuales (Reverse) Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…) Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
  • 26. Trafico anómalo  Técnicas de reconocimiento  Malware Ping Sweep Nimda Arp Sweep Clientes infectados con un Bot Syn Scan  Explotación de vulnerabilidades Xmas Scan with Decoys Ataque de fuerza bruta  Ataques de red Ataque de diccionario ARP Poison SQL Injection y Path Traversal Syn Flooding
  • 27. OS Fingerprinting pasivo TTL TOS MMS DF Bit Windows
  • 28. OS Fingerprinting pasivo – Tablas de huellas
  • 31. Aplicando datacarving a vaciados de trafico  TCPXtract tcpxtract --file ftp.pcap --output /root/output/  Foremost – ./foremost -v -t all -i ftp.pcap -o /root/output/
  • 32. Graficando el trafico de red con Afterglow Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0... Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable? Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failed Jun 17 09:42:38 rmarty sendmail: sendmail shutdown succeeded Jun 17 09:42:38 rmarty sendmail: sm-client shutdown succeeded Jun 17 09:42:39 rmarty sendmail: sendmail startup succeeded Jun 17 09:42:39 rmarty sendmail: sm-client startup succeeded Jun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:45:42 rmarty last message repeated 2 times Jun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0) Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user root Jun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0) Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user root Jun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0) Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabench Jun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192
  • 33. Graficando el trafico de red con Afterglow Archivo color.scan (Configuracion de la imagen)
  • 34. Graficando el trafico de red con Afterglow
  • 39. Detección y análisis rápido de shellcode en el trafico de red netcat bindshell port 6666 nc –l –t -p 6666 –e //bin/sh
  • 40. Caso de Estudio  Posible compromiso y hurto de información de un servidor web corporativo webserver.pcap
  • 41. Referencias • Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell • Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander • Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard • http://seguridadyredes.wordpress.com/ • http://www.jennylab.es/blog/ • http://conexioninversa.blogspot.com • http://www.honeynet.org