Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 42 vistas

    WIRESHARK

    Cargado por

    Jhonatan Ramirez Granados
    Este documento presenta un plan para analizar archivos de captura de red usando Wireshark. Incluye instrucciones para filtrar paquetes por protocolo, IP, puertos y flags TCP. El objetivo es identificar escaneos de puertos, detecciones de puertos abiertos, y posibles ataques Man-in-the-Middle.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    WIRESHARK

    Cargado por

    Jhonatan Ramirez Granados
    42 vistas26 páginas
    Este documento presenta un plan para analizar archivos de captura de red usando Wireshark. Incluye instrucciones para filtrar paquetes por protocolo, IP, puertos y flags TCP. El objetivo es identificar escaneos de puertos, detecciones de puertos abiertos, y posibles ataques Man-in-the-Middle.

    Descripción original:

    Pruebas y monitoreo de la red usando WIRESHARK

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta un plan para analizar archivos de captura de red usando Wireshark. Incluye instrucciones para filtrar paquetes por protocolo, IP, puertos y flags TCP. El objetivo es identificar escaneos de puertos, detecciones de puertos abiertos, y posibles ataques Man-in-the-Middle.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    42 vistas26 páginas

    WIRESHARK

    Cargado por

    Jhonatan Ramirez Granados
    Este documento presenta un plan para analizar archivos de captura de red usando Wireshark. Incluye instrucciones para filtrar paquetes por protocolo, IP, puertos y flags TCP. El objetivo es identificar escaneos de puertos, detecciones de puertos abiertos, y posibles ataques Man-in-the-Middle.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 26

    Universidad Mariano Gálvez de Guatemala

    Facultad de Ingeniería en Sistemas De Información

    Maestría en Seguridad Informática

    Principios de Seguridad informática

    MSc. Juan Manuel Lemus

    Caso de estudio – Semana 2

    Jhonatan Ramirez Granados 1493-13-10704

    Ludvin Figueroa Dávila 1493-11-7729

    Plan Sábado

    Sección “A”

    3 de Febrero de 2023

    Contenido
    Introducción...................................................................................................................................3
    Filtros para buscar información.................................................................................................4
    Captura Eth..................................................................................................................................5
    Búsqueda por IP y puertos que no estén entre 21 y 23.........................................................8
    WIFI.........................................................................................................................................10
    ICMP.......................................................................................................................................11
    Búsqueda por Ip y Puerto (&&)............................................................................................12
    Búsqueda por IP ó Protocolo (||).........................................................................................12
    Seguimiento de TCP.................................................................................................................13
    Revision de SYN, SYN+ACK, RST, RST+ACK.....................................................................14
    Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algún firewall. . .14
    UDP Scan...................................................................................................................................15
    ARCHIVO HTTP_WITP_JPEGS.CAP....................................................................................15
    Revisión de ARP si hay algún ataque Man in the Middle arp..............................................20
    ARCHIVO MYSQL....................................................................................................................21
    ARCHIVO TELNET.......................................................................................................................23
    Revision de SYN, SYN+ACK, RST, RST+ACK.....................................................................23
    Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algun firewall. . .23
    Introducción

    En el ámbito de la administración y análisis de redes, la capacidad de


    examinar el tráfico de datos es esencial para comprender el comportamiento de
    los protocolos y aplicaciones que operan en una red. Wireshark, una herramienta
    de código abierto líder en este campo, proporciona una interfaz poderosa para la
    captura y análisis de paquetes de red. Este software permite a los profesionales
    de redes y seguridad obtener una visión profunda de la comunicación entre
    dispositivos, identificar posibles problemas y asegurarse de que las transmisiones
    de datos se realicen de manera eficiente y segura. En esta guía, exploraremos
    cómo utilizar Wireshark para analizar capturas de tráfico de protocolos específicos,
    como Telnet, FTP y HTTPS, brindando insights valiosos para optimizar el
    rendimiento y garantizar la seguridad en entornos de red.
    Filtros para buscar información
    Captura Eth
    La captura de tráfico Ethernet (Eth) con Wireshark es una tarea fundamental para
    analizar y diagnosticar problemas de red, así como para entender la comunicación
    entre dispositivos en una red local. Wireshark es una poderosa herramienta de
    análisis de protocolos que permite examinar paquetes de datos en tiempo real.
    Búsqueda por IP y puertos que no estén entre 21 y 23

    Nota: El comando and not tcp.port in {21 23} no me funciono por lo que busque
    otra alternativa
    Escucha de secuencia TCP
    WIFI

    Realizar filtro de búsqueda por medio de IP: ip.address 192.168.1.7


    ICMP
    A través de mensajes de control y error, ICMP permite a los dispositivos informar sobre
    condiciones de red, notificar errores y, en general, mejorar la eficiencia de la transmisión de datos.
    Búsqueda por Ip y Puerto (&&)

    La búsqueda en Wireshark por dirección IP y puerto se puede realizar


    mediante un filtro que combine ambas condiciones. Aquí te proporciono un
    ejemplo de cómo puedes realizar una búsqueda utilizando la lógica "AND" (&&)
    para especificar tanto la dirección IP de origen/destino como el número de puerto:

    Búsqueda por IP ó Protocolo (||)


    Para buscar paquetes que cumplan con la condición de tener una dirección
    IP de origen específica (por ejemplo, 192.168.1.2) o que utilicen un protocolo
    específico (por ejemplo, ICMP)
    Búsqueda por IP y puertos que no estén entre 21 y 23

    Seguimiento de TCP
    Seleccionar el mensaje TCP y presionar click del derecho del mouse para
    seleccionar “Follow” ---> TCP Stream para revisar todo el mensaje con el
    contenido que se esta enviando
    Revision de SYN, SYN+ACK, RST, RST+ACK

    tcp.flags == 0x002 or tcp.flags == 0x012 or tcp.flags == 0x004 or tcp.flags ==


    0x014
    Revisión SYN,

    Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algún
    firewall
    tcp.flags == 0x002 or tcp.flags == 0x012 or tcp.flags == 0x004 or tcp.flags ==
    0x014 or (icmp.type == 3
    and (icmp.code == 1 or icmp.code == 2 or icmp.code == 3 or icmp.code == 9 or
    icmp.code == 10 or icmp.code == 13))
    UDP Scan
    ==============
    icmp.type == 3 and icmp.code == 3

    ARCHIVO HTTP_WITP_JPEGS.CAP
    Revisar Quien está enviando el escáner a los puertos:
    menú Statistics --> Flow Graph. Se detecta el flujo a nivel de TCP Flows de que IP
    realiza el escáner y cual puerto responde abierto con el SYN_ACK a las diferentes
    IP que realiza el escáner
    tcp.stream eq 0
    En la direccion 192.168.1.104 se detecta el puerto abierto 21 y da una respuesta
    al escaner Verificar con el siguiente filtro ip.src == 10.1.1.101 and ip.dst ==
    209.225.11.237 and tcp.dstport

    Revisar que otras IP tiene conexion la == 10.1.1.101 (IP del Escaneo)


    ip.src == 10.1.1.101 and !(ip.dst == 209.225.11.237/24)
    ip.dst==10.1.1.101 and tcp.port >= 1 and tcp.flags == 0x012

    ip.src == 10.1.1.101 and !(ip.dst==209.225.11.237)


    ip.dst==10.1.1.101 and tcp.dstport == 80

    ip.src == 10.1.1.101 and ip.dst == 209.225.11.237 and tcp.dstport >= 1


    Verificacion de Puertos abiertos en maquina 192.168.1.104 y que responden a la
    IP del Escaner
    ip.dst == 10.1.1.101 and tcp.port >= 1 and tcp.flags == 0x012 and ip.src ==
    209.225.11.237
    Revisión de ARP si hay algún ataque Man in the Middle arp
    Revisar en la comunicación de ARP si hay alguna dirección duplicada
    puede ser un indicio de una suplantacion en el cache del ARP del host
    También se puede visualizar Menu el Analyze --> Expert Information
    Revisar --> Menu el Analyze --> Expert Information
    ================================================
    +) Detectar Puertos Escaneados esto se realiza revisando el SYN+ACK
    +) Detectar Los puertos Rechazados por el Destino esto se realiza revisando el
    RST+ACK

    Revisar que otras IP tiene conexion la 192.168.1.107 (IP del Escaneo)


    ARCHIVO MYSQL
    Menu Statistics --> Flow Graph. Se detecta el flujo a nivel de TCP Flows de
    que IP realiza el escaner y cual puerto responde abierto con el SYN_ACK a las
    diferentes IP que realiza el escaner

    En la direccion 192.168.0.254 se detecta el puerto abierto 21 y da una respuesta


    al escaner
    Verificar con el siguiente filtro
    ip.src == 192.168.0.254 and ip.dst == 192.168.0.254 and tcp.dstport
    Detección de puertos que responden al 192.168.1.107 de las otras IPs
    ip.dst == 192.168.1.107 and tcp.port >= 1 and tcp.flags == 0x012

    Revisión de ARP si hay algún ataque Man in the Middle arp


    Revisar en la comunicación de ARP si hay alguna dirección duplicada puede ser
    un indicio de una suplantación en el cache del ARP del host
    También se puede visualizar Menu el Analyze --> Expert Information
    ARCHIVO TELNET
    Revision de SYN, SYN+ACK, RST, RST+ACK
    tcp.flags == 0x002 or tcp.flags == 0x012 or tcp.flags == 0x004 or tcp.flags ==
    0x014

    Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algun
    firewall
    tcp.flags == 0x002 or tcp.flags == 0x012 or tcp.flags == 0x004 or tcp.flags ==
    0x014 or (icmp.type == 3
    and (icmp.code == 1 or icmp.code == 2 or icmp.code == 3 or icmp.code == 9 or
    icmp.code == 10 or icmp.code == 13))

    Revisar --> Menu el Analyze --> Expert Information


    ================================================
    +) Detectar Puertos Escaneados esto se realiza revisando el SYN+ACK
    +) Detectar Los puertos Rechazados por el Destino esto se realiza revisando el
    RST+ACK

    Menu Statistics --> Flow Graph. Se detecta el flujo a nivel de TCP Flows de
    que IP realiza el escaner y cual puerto responde abierto con el SYN_ACK a las
    diferentes IP que realiza el escáner
    verificación de Puertos abiertos en maquina 192.168.1.104 y que responden a la
    IP del escáner
    ip.src == 192.168.0.1 and ip.dst == 192.168.0.2 and tcp.dstport >= 1

    ip.dst == 192.168.0.1 and tcp.port >= 1 and tcp.flags == 0x012

    También podría gustarte