Etica
Páginas: 30 (7386 palabras)
Publicado: 17 de marzo de 2011
ANÁLISIS DE TRÁFICO CON WIRESHARK
INTECO-CERT
Febrero 2011
Autor: Borja Merino Febrero El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece a los siguientes colaboradores su ayuda en la realización del informe. Manuel Belda, del CSIRT de la Generalitat Valenciana y Eduardo Carozo Blumsztein, del CSIRT de ANTEL de Uruguay.
La presente publicaciónpertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendoreferencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene quedejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc-sa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (PortableDocument Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Análisis de tráficocon Wireshark
2
ÍNDICE
1. 2. 3. ANÁLISIS DE TRÁFICO ¿POR QUÉ WIRESHARK? DÓNDE REALIZAR LA CAPTURA DE DATOS 3.1. Utilizando un Hub 3.2. Port Mirroring o VACL (VLAN-based ACLs) 3.3. Modo Bridge 3.4. ARP Spoof 3.5. Remote Packet Capture ATAQUES EN REDES DE ÁREA LOCAL 4.1. ARP Spoof 4.1.1. Ejemplo práctico 4.1.2. Mitigación 4.2. Port Flooding 4.2.1. Descripción 4.2.2. Mitigación 4.3. DDoSAttacks 4.3.1. Descripción 4.3.2. Mitigación 4.4. DHCP Spoof 4.4.1. Descripción 4.4.2. Mitigación 4.5. VLAN Hopping 4.5.1. Ataque de suplantación del switch 4.5.2. Ataque de etiquetado doble 4.5.3. Mitigación 4.6. Análisis de malware 4.6.1. Ejemplo práctico 4.6.2. Mitigación FILTROS FOLLOW TCP STREAM EXPERT INFOS 7.1. Introducción 7.2. Interfaz de usuario 7.2.1. Ejecución USO DE HERRAMIENTAS EXTERNAS8.1. Snort 8.1.1. Mitigación 8.1.2. Conversión de formatos 8.2. Scripts GRÁFICAS CONCLUSIONES FUENTES DE INFORMACIÓN 4 5 6 6 7 8 8 9 12 12 12 14 16 16 17 18 18 20 23 23 26 28 28 29 30 30 30 33 34 39 41 41 41 41 43 43 44 44 45 46 49 50
4.
5. 6. 7.
8.
9. 10. 11.
Análisis de tráfico con Wireshark
3
1.
ANÁLISIS DE TRÁFICO
Seguramente todo administrador de redes ha tenido queenfrentarse alguna vez a una pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones, incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente.En la mayoría de ocasiones, las causas de estos problemas tienen un origen no premeditado y se deben a una mala configuración de la red como puede ser tormentas broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero, en otras ocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuera de servicio un servidor web mediante un ataque DoS, husmear tráfico...
INTECO-CERT
Febrero 2011
Autor: Borja Merino Febrero El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece a los siguientes colaboradores su ayuda en la realización del informe. Manuel Belda, del CSIRT de la Generalitat Valenciana y Eduardo Carozo Blumsztein, del CSIRT de ANTEL de Uruguay.
La presente publicaciónpertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendoreferencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene quedejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc-sa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (PortableDocument Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Análisis de tráficocon Wireshark
2
ÍNDICE
1. 2. 3. ANÁLISIS DE TRÁFICO ¿POR QUÉ WIRESHARK? DÓNDE REALIZAR LA CAPTURA DE DATOS 3.1. Utilizando un Hub 3.2. Port Mirroring o VACL (VLAN-based ACLs) 3.3. Modo Bridge 3.4. ARP Spoof 3.5. Remote Packet Capture ATAQUES EN REDES DE ÁREA LOCAL 4.1. ARP Spoof 4.1.1. Ejemplo práctico 4.1.2. Mitigación 4.2. Port Flooding 4.2.1. Descripción 4.2.2. Mitigación 4.3. DDoSAttacks 4.3.1. Descripción 4.3.2. Mitigación 4.4. DHCP Spoof 4.4.1. Descripción 4.4.2. Mitigación 4.5. VLAN Hopping 4.5.1. Ataque de suplantación del switch 4.5.2. Ataque de etiquetado doble 4.5.3. Mitigación 4.6. Análisis de malware 4.6.1. Ejemplo práctico 4.6.2. Mitigación FILTROS FOLLOW TCP STREAM EXPERT INFOS 7.1. Introducción 7.2. Interfaz de usuario 7.2.1. Ejecución USO DE HERRAMIENTAS EXTERNAS8.1. Snort 8.1.1. Mitigación 8.1.2. Conversión de formatos 8.2. Scripts GRÁFICAS CONCLUSIONES FUENTES DE INFORMACIÓN 4 5 6 6 7 8 8 9 12 12 12 14 16 16 17 18 18 20 23 23 26 28 28 29 30 30 30 33 34 39 41 41 41 41 43 43 44 44 45 46 49 50
4.
5. 6. 7.
8.
9. 10. 11.
Análisis de tráfico con Wireshark
3
1.
ANÁLISIS DE TRÁFICO
Seguramente todo administrador de redes ha tenido queenfrentarse alguna vez a una pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones, incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente.En la mayoría de ocasiones, las causas de estos problemas tienen un origen no premeditado y se deben a una mala configuración de la red como puede ser tormentas broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero, en otras ocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuera de servicio un servidor web mediante un ataque DoS, husmear tráfico...
Leer documento completo
Regístrate para leer el documento completo.