Ethical Hacking y Analisis Forense

LABORATORIO N 13

Anlisis Forence Network

CODIGO DEL CURSO:

Alumno(s) Nota

Paul Munive Solis

Grupo A
Ciclo VI
Fecha de entrega

REDES Y COMUNICACIONES DE DATOS

PROGRAMA DE FORMACIN REGULAR
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 2/27
Cdigo :
Tema : Anlisis Forence Network Semestre:
Grupo : G-H
Nota: Apellidos y Nombres: Lab. N : 13

1. Objetivos:
Anlisis el trfico de una red

2. Requerimientos:

PC Compatible

3. Seguridad

Advertencia:

No consumir alimentos ni bebidas durante el desarrollo de la

sesin del laboratorio.

El equipo que esta por utilizar, es susceptible a dao elctrico

por mala manipulacin y/o carga electroesttica.

4. Desarrollo
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 3/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 4/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 5/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 6/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 7/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 8/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 9/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 10/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 11/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 12/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 13/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 14/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 15/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 16/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 17/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 18/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 19/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 20/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 21/
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 22/

ANALIZAR Y DOCUMENTAR LOS PASOS DEL LABORATORIO

A travs de este ejemplo apicaremos uno delos filtro que nos permite e usar el WIRESHARK, dentro de
los paquetes registrados vemos que tenemos una conexin con WORDPRESS, a la cual tenemos los
mtodos GET y POST ambos pertenecientes a HTTP, que permite la obtencin de informacin asi
como el envo de la misma.

Figura 1: Para poder obtener informacin del usuario a travs de los paquetes enviados,
deberemos buscar el paquete que contenga POST ya que es el envo de formularios con
informacin hacia el servicio web.

Figura 2: a travs del comando http.request.method == POST filtraremos los paquetes que
contengan el mtodo post, para poder observar que informacin es la que se envi. (el mtodo
POST se encarga de enviar formularios con informacin del usuario para que esta sea validada.)
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 23/

Figura 3: en la seccin de abajo del mismo paquete, desplegamos la opcin HTML Form URL, y
podremos observar la informacin que fue enviada por el usuario a travs del mtodo POST
hacia el servidor para que valide sus datos.

ANOMALAS DEL DNS

Para este ejercicio verificaremos el uso del servicio a travs de un puerto desconocido en este caso
vemos que el puerto de origen 1396 se repite varias veces y se dirige al puerto 53, utilizaremos una
herramienta que nos permitir poder juntar todos los paquetes similares y armarnos una imagen del
paquete completo para saber qu tipo de anomala esta ocurriendo.

Figura 4: seleccionaremos uno de los paquetes y usaremos la funcin TCP Stream, el cual nos
permitir ver el paquete entero y verificar los datos de esta comunicacin.
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 24/

Figura 5: Lo que obtenemos es informacin desde otra mquina la cual pudo ingresar y revisar
nuestros directorios, esto a travs de un Shell remoto (esta es una versin anterior al SSH) ya
que podemos ver que se realiza desde un sistema operativo diferente al nuestro, y ver los
comandos ingresados (dir y exit)
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 25/

KIWI LOG VIEWER

A travs de esta herramienta trabajaremos a travs de los logs los que permiten ver las actividades de
las maquinas tanto las locales o si interactan con mquinas externas.

Usaremos los logs registrados de una comunicacin con un troyano y una maquina la cual es su
cliente.

Figura 6: el puerto 1177 que observamos constantemente es un puerto por defecto usado por el
njRat que es un troyano que se conecta como cliente a una mquina y establece comunicacin
y asi puede sacar informacin o guardarla en ese cliente.

Los logs pueden ser exportados en diferentes formatos, y a travs del kiwi podemos analizarlos y
verificar a travs de distintas herramientas, las cuales no se hallan dentro del sistema donde se
guardan estos registros.
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 26/

REGISTRO DE UN ATAQUE FTP

Un servicio FTP suele realizar respuestas a las validaciones de las credenciales de los usuarios o
clientes, estos estn denominados por los numero 530 230 o 331, al verificar el archivo de logs
obtenemos lo siguiente.

Figura 7: Al analizar los registros vemos que en una parte se repite response:331 lo que
requiere el ingreso del password, esta es una forma de distinguir los tipos de respuesta que
necesita.

Lo que haremos despus es diferenciar las diferentes respuestas que da nuestro servidor, ya que
seguimos viendo que son varios los que se repiten, veremos los ms notorios, a travs de un filtro se
separaran por colores, y asi saber que tipo de actividad se esta realizando.

Figura 8: El Response 530 nos indica que se est tratando de ingresar a travs de varios
intentos, lo cual da como respuesta user cannot log in esta da pie a que se pueda tratar de un
programa que est tratando de forzar la seguridad probando distintas contraseas.

Figura 9: Entre todos los intentos vemos un response 230 el cual lo filtramos de otro color, para
saber que se puede haber concretado un forcejeo en la seguridad habiendo ingresado a nuestro
servidor FTP.
 Nro. DD-106
Ethical Hacking y Analisis Forense Pgina 27/

Los logs asi como la examinacin de paquetes permiten verificar las actividades que se realizan
en nuestros servidores o en nuestros propios equipos, se debe tener en cuenta que cualquier
actividad por ms normal que parezca puede que el inicio de un ataque, lo cual ya estara
poniendo nuestra informacin en peligro, para lo cual se deben realizar registros
peridicamente para ver qu tipo de actividades se realiza entre los usuarios o clientes, si es un
servicio al pblico.

OBSERVACIONES Y CONCLUSIONES

Una plataforma simple es usada a travs de internet, utilizando todo a travs de un servidor de
un solo sistema

Una plataforma cruzada es cuando varios sistemas corriendo a la vez lo cual genera mayor
dificultad en la extraccin de logs

En los diferentes casos, un atacante puede haber ingresado a travs del mtodo de hombre
Enel medio, para poder captar la informacin necesaria.

Para poder diferenciar anomalas en nuestros servidores, es bueno como administradores

conocer nuestro sistema, saber qu tipo de informacin no debe cambiar.