Parte 1: Preparar los hosts para capturar el tráfico

a. Inicie la VM CyberOps. Inicie sesión con el nombre de usuario analyst y la

contraseña cyberops.
b. Inicie Mininet.
[analyst@secOps ~]$ sudo lab.support.files/scripts/cyberops_topo.py

c. Inicien los hosts H1 y H4 en Mininet.

*** Starting CLI:
mininet> xterm H1
mininet> xterm H4
d. Inicie el servidor web en H4.
[root@secOps analyst]#
/home/analyst/lab.support.files/scripts/reg_server_start.sh
e. Por motivos de seguridad, no está admitido el uso de Firefox para la cuenta raíz. En el host
H1, utilice el comando "switch user" de cambiar del usuario raíz a la cuenta de usuario del
analista:
[root@secOps analyst]# su analista
f. Inicie el navegador web en H1. Esto demorará unos instantes.
[analyst@secOps ~]$ firefox &
g. Después de que se abra la ventana de Firefox, inicien una sesión de tcpdump en el
terminal Nodo: H1 y envíe la salida a un archivo de nombre capture.pcap. Con la opción -
v pueden ver el progreso. Esta captura se detendrá después de capturar 50 paquetes,
porque está configurada con la opción -c 50.
[analyst@secOps ~]$ sudo tcpdump -i H1-eth0 -v -c 50 -w
/home/analyst/capture.pcap
h. Después de que se inicie tcpdump, diríjase rápidamente a 172.16.0.40 en el
navegador web Firefox.
a. Presionar INTRO para ver el cursor Iniciar Wireshark en Node: H1. Hacer clic en OK
(Aceptar) cuando así se los solicite la advertencia relacionada con ejecutar Wireshark
como usuario avanzado.
[analyst@secOps ~]$ wireshark &
b. En Wireshark, haga clic en File > Open (Archivo > Abrir). Seleccionen el archivo pcap
guardado que se encuentra en /home/analyst/capture.pcap.
Aplique un filtro tcp a la captura. En este ejemplo las 3 primeras tramas son el tráfico que nos
interesa
¿Cuál es el número de puerto de origen de TCP?
El puerto es 58716
¿Cómo clasificarían el puerto de origen?
se pueden clasificar en dinámico o privado
¿Cuál es el número de puerto de destino de TCP?
Puerto 80
 ¿Cómo clasificarían el puerto de destino?
http o protocolo web
¿Qué marcadores están establecidos?
Bandera SINC
¿Qué número de secuencia relativo está establecido?
0
¿Cuáles son los valores de los puertos de origen y destino?
Origen: puerto 80 Destino: 58716
¿Qué marcadores están establecidos?
ACK Y SYN
¿En qué valores están definidos los números de secuencia relativa y confirmación?
Secuencia relativa es 0 y confirmación es 1
¿Qué marcadores están establecidos?
Marcador de reconocimiento ACK

Ver los paquetes con tcpdump

a. Abra una ventana de terminal nueva e introduzcan man tcpdump..
Nota: Es posible que tenga que presionar INTRO para ver el cursor.
Lea las páginas del manual disponibles con el sistema operativo Linux o busque opciones
para seleccionar la información que desee desde el archivo pcap.
[analyst@secOps ~]$ man tcpdump
¿Qué hace el switch -r?

Permite leer el paquete del archivo que se guardo usando la opción -w con tcpdump u otras
herramientas que escriben archivos pcap