Posted by q3it on sábado, septiembre 04, 2021 in Ciberseguridad
Análisis de tráfico mediante WIRESHARK
Wireshark es una herramienta multiplataforma utilizada para capturar paquetes dentro de una red y ofrecer información detallada de los mismos. Existen diferentes usos para los cuales puede aplicarse Wireshark, dentro del análisis dinámico de códigos maliciosos se la utiliza para detectar conexiones ocultas del propio malware con direcciones remotas para obtener otros archivos, para reportarse a un panel de control en caso de una botnet, entre otras variantes.
Para poner en práctica Wireshark se utilizarán dos máquinas: Klinux y Lmint, se le captura el tráfico de red a Lmint para analizar los resultados.
En la máquina Klinux se abre la consola y se arranca la herramienta, desde la máquina Lmint se genera tráfico para que Klinux lo pueda capturar, hay que tener en cuenta que Klinux tiene la ip 10.1.1.23 y Lmint tiene la ip 10.1.1.17 (esto para identificar cada dispositivo).
En la figura se ve el resultado después de haber ejecutado la instrucción en la barra de filtros de wireshark !(ip.addr == 10.1.1.23) esto le dice a la aplicación que filtre todo el tráfico, pero que no tenga en cuenta la ip 10.1.1.23 que es la dirección de la maquina Klinux.
En la siguiente figura se puede observar las conversaciones que ha tenido la máquina Lmint 10.1.1.17 con otras máquinas.
Es importante saber que el escaneo con Wireshark es pasivo porque no se está interactuando con el sistema, solo se está utilizando nuestra tarjeta en modo monitor de tal forma que sea capaz de escuchar todos los paquetes que hay en la red, y por lo tanto tratar de identificar que otros sistemas hay en ella.
Uso de herramientas de escaneo NMAP:
Nmap es una herramienta de código abierto para exploración de red y auditoría de seguridad, permite realizar escaneos de redes y puertos, pudiendo escanear un único destino, un rango, una lista de IPs… se basa en peticiones TCP, UDP, ICMP, SCTP, etc.
Incorpora diversas técnicas de escaneo, determina qué equipos se encuentran disponibles en una red, qué servicios ofrecen, qué sistemas operativos ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando, así como docenas de otras características.
Es importante saber que nmap es una herramienta compleja y completa, con una enorme cantidad de opciones, parámetros, etc. Por eso se hará una pequeña introducción a las instrucciones que se utilizan con más frecuencia para entender la identificación de servicios como fase enumeración activa, paso previo a la detección de vulnerabilidades.
Instrucciones:
- nmap -sn 10.1.1.17
Ping swit.
- nmap -Pn 10.1.1.17
Responde independientemente si están habilitados o no.
- nmap -sP 10.1.1.0/24
Saber que sistemas están habilitados en la red de forma activa.
- nmap -sT 10.1.1.17
Escaneo de servicios de ese equipo por TCP.
- nmap -sT -p445 10.1.1.17
Escanea el puerto 445
- nmap -sT -p 139-445 10.1.1.17 -n
Escanea entre los rangos de puertos descritos sin mostrar resolución DNS.
- nmap -sT -p- 10.1.1.17 -n
Escanea todos los puertos TCP.
- nmap -sT -p- 10.1.1.17 -n -T5
Escaneo según el número que le pongamos en la T vaya más rápido o más lento (1 el más lento, 5 más rápido).
- nmap -sT -F 10.1.1.17 -n -T5
La letra F agrega más rapidez “fast”.
- nmap -sT --top-port=10 10.1.1.17 -n T5
Escanea el top 10 de los puertos que se quiere escanear.
- nmap -sT --top-ports=20 10.1.1.17 -n -T5 --open
Esta instrucción muestra el top 20 de los puertos abiertos.
- nmap -sT --top-ports=20 10.1.1.17 10.1.1.23 -n -T5 --open
Muestra los puertos abiertos entre estas dos ip´s.
- nmap -sT --top-ports=100 10.1.1.0/24 -n -T5 --open
Esto escanea la red entera.
- nmap -iL fichero -T5 --open -sT -n -Pn --top-ports=10 -oA prueba
Esto lo que hace es leer el archivo “fichero” y enviarnos el resultado en formato xml, nmap y gnmap a el archivo prueba.
- oX=xml, oG=grepable format, oS=script kiddi, oA=todos los formatos.
- nmap -iL fichero -T5 --open -sT -n -Pn -p- -v
Esto se aplicaría cuando se necesita escanear muchos equipos y la V va mostrando cada que encuentra un puerto abierto.
- nmap -iL fichero -T5 --open -sT -n -Pn --top-ports=10 -sV
Cuando contiene la sV devuelve la versión del software que se utiliza y otros datos relevantes.
- nmap 10.1.1.17 --top-ports=10 -T5 --open -Pn -n -O
Con la O lo que está pidiendo a nmap es que saque el sistema operativo de esa ip.
- nmap 10.1.1.17 --top-ports=10 -T5 --open -Pn -n -sC
La sC lo que hace es habilitar el lanzamiento de script para interactuar con el software y sacar información importante.
