13 Introducción a TCPDump/WindumpSniffers – Escuchas electrónicas Definición Sniffer es un método de ataque pasivo por medio del cual un equipo captura información que circula de un medio físico, independientemente de si ésta se encuentra destinada a su MAC. Tomado de: www.hackersinc.com/hacking/sniffers.html Objetivos Observar los patrones del tráfico de la red. Identificar las direcciones IP origen y destino de los paquetes IP. Determinar relaciones entre máquinas y servicios. Capturar información crítica que permita el acceso a otros recursos de la red. Capturar información confidencial que circula a través de la red. Obtener información sin generar rastros.
14 Introducción a TCPDump/WindumpWindump Consideraciones Sniffer para Windows, creado en el Instituto Politécnico de Torino en Italia. Http://netgroup-serv.polito.it/windump Captura: UDP, ICMP, ARP, TCP http, snmp, nntp, pop, ftp, imap (internet message access protocol) Requisitos de instalación Packet Driver – Según si es NT o 2000 Ejecutable: windump.exe Sintáxis windump -n -S -v -n Mostar la dirección IP en lugar del nombre del equipo -S Mostrar número de secuencia -v Verbose windump host < nombre_equipo> Sólo revisa el tráfico desde y hacia el host descrito.
15 Introducción a TCPDump/WindumpWindump Convenciones
13:50:13.205539 ATTACK01-093695.1363 > gserv.zdnet.com.80: F 27982697:27982697(0) ack 1496615818 win 8553 (DF)
Estampilla de tiempo: 13:50:13.205539 IP y Puerto fuente: ATTACK01-093695.1363 IP y puerto destino: gserv.zdnet.com.80 F 27982697:27982697(0) ack 1496615818 F Flag de fin de transmisión 27982697:27982697(0) Número de secuencia.(0) No datos ack 1496615818: Acuse en sincronización esperado
win 8553: Tamaño de la ventana. Don't Fragment Bit Presente?: (DF)
Patrones de tráfico de Red
17 Patrones de tráficoNormales FTP
1. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: S 1884312222:1884312222(0) 2. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: S 3113925437: 3113925437 (0) ack 1884312223 3. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 1
4. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: P 1:24 (23) ack 1 5. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 24
Conexión FTP Sincronización de tres sentidos – (1,2,3) Transmisión de mensaje de bienvenida – (4, 5)
18 Patrones de tráficoNormales DNS
– Solicitud de resolución de la dirección www.sans.org
1. host.my.com.1716 > dns.my.com.53: 1+ (35) 2. dns.my.com.53 > h.root-servers.net.53: 12420 (30) (DF) 3. h.root-servers.net.53>dns.my.com.53: 12420 – 0/3/3 (153) (DF) 4. dns.my.com.53>server1.sans.org.53 12421+ (30) (DF) 5. server1.sans.org.53> dns.my.com.53:12421* 1/3/3 (172) 6. dns.my.com.53>host.my.com.1716: 1* 1/3/3 Tráfico tomado de: Northcutt y Novak (2001) Pág. 100.
1. Host.my.com efectúa petición para resolver la dirección www.sans.org. UDP de 35 bytes 2. Dns.my.com intenta conexión por el puerto 53 con h.root-servers.net por el puerto 53. UDP de 30 bytes. No. petición 12420 3. h.root-servers.net no obtiene respuesta a la petición (0/3/3) 0 registros de respuesta, tres registros autorizados y otros tres adiconales. 4. Se obtiene referencia a otro servidor DNS (server1.sans.org) que tiene la respuesta. No. petición:12421. Solicita recursión (signo +) 5. server1.sans.org es el servidor autorizado que tiene la respuesta. El (* ) Significa que es una respuesta autorizada. 6. dns.my.com responde a host.my.com, con la dirección IP de www.sans.org (no se ve aqui) mas los tres registros autorizados y los adicionales.
19 Patrones de tráficoNormales PING – ICMP
13:50:14.056364 otro0304.victim.net > otro.victim.net: icmp: echo request 13:50:14.060145 otro.victim.net > otro0304.victim.net: icmp: echo reply 13:50:15.066611 otro0304.victim.net > otro.victim.net: icmp: echo request 13:50:15.153021 otro.victim.net > otro0304.victim.net: icmp: echo reply 13:50:16.040259 otro0304.victim.net > otro.victim.net: icmp: echo request 13:50:16.043643 otro.victim.net > otro0304.victim.net: icmp: echo reply
Máquina arriba Ejecución del comando ping otro.victim.net
20 Patrones de tráficoNormales TELNET
1. maq1.net.39904 > victim.com.23: S 733381829: 733381829 (0) win 8760 < mss 1460> (DF) 2. victim.com.23 > maq1.net.39904: S 1192930639: 1192930639 (0) ack 733381830 win 1024 < mss 1460> (DF) 3. maq1.net.39904 > victim.com.23: . ack 1win 8760 (DF) 4. maq1.net.39904 > victim.com.23 : P 1:28(27) ack 1 win 8760 (DF) 5. victim.com.23 > maq1.net.39904 : P 1:14(13) ack 1 win 1024 6. victim.com.23 > maq1.net.39904 : P 14:23(9) ack 28 win 1024
1, 2, 3 Sincronización de tres sentidos 4. La máquina maq1.net enviando 27 bytes de datos a victim.com.23. 28 representa el siguiente byte que se espera. 5. La máquina victim.com.23 envia 13 bytes y acuse de recibo de los primeros datos. 6. Envío de la máquina victim.com.23 envía 9 bytes adicionales y se efectúa un ACK 28 ya que el byte 28 es el que se espera.
21 Patrones de tráficoNormales ARP
13:50:17.384288 arp who-has LK01-112322 tell otra.victim.net 13:50:17.406848 arp who-has LK01-112322 tell info.victim.net 13:50:17.410944 arp who-has COLASRV tell xxx.victim.net 13:50:17.436873 arp who-has LK01-112297 tell LK01-112322 13:50:17.530452 arp who-has 172.23.1.1 tell 172.23.1.6 13:50:17.547320 arp who-has INFOGER tell info.victim.net 13:50:17.700603 arp who-has 172.16.103.10 tell DCO-01084202 13:50:18.017876 arp who-has LP01-10213 tell info.victim.net
Preguntas de reconocimiento de máquinas en una red LAN. Particularmente en una red NT.
22 Patrones de tráficoAnormales (An) – Ataques (At) At – Land Attack
13:50:17.384288 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50:17.406848 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50:17.410944 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50:17.436873 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50:17.530452 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
Efecto Negación de servicio sobre Microsoft NT 4.0 SP.4 Explicación: Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que aparece como si un RPC server envía datos erróneos a otro RPC server. El segundo servidor rechaza (REJECT) el paquete y el primer servidor responde con otro REJECT, creando un loop infinito que compromete la red.
23 Patrones de tráficoAnormales (An) – Ataques (At) At – Smurf Attack
13:50:17.384288 179.135.168.43 > 256.256.30.255: icmp echo request (DF) 13:50:17.406848 68.90.226.250 > 256.256.30.255: icmp echo request (DF) 13:50:17.410944 138.98.10.247 > 256.256.30.255: icmp echo request (DF) 13:50:17.436873 130.113.202.100 > 256.256.30.255: icmp echo request (DF) 13:50:17.530452 171.1.55.45 > 256.256.30.255: icmp echo request (DF) 13:50:17.550424 174.30.0.46 > 256.256.30.255: icmp echo request (DF)
Efecto Negación de servicio sobre una red. Generalmente la dirección destino de los paquetes es una dirección broadcast. Explicación: Los atacantes crean paquetes donde no utilizan su dirección IP, sino que crean paquetes con direcciones suplantadas. Cuando las máquinas en el sitio intermediario respondan al ICMP echo request, ellos responden al computador víctima. Se presenta congestión en la red y el computador víctima se degrada.
24 Patrones de tráficoAnormales (An) – Ataques (At) At – Predicción de secuencia
13:50:17.384288 apollo.it.luc.edu.1000 > x-terminal.shell: S 1382726990: 1382726990(0) win 4096 13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.1000: S 2021824000: 2021824000(0) ack 1382726991 win 4096 13:50:17.410944 apollo.it.luc.edu.1000 > x-terminal.shell: R 1382726991: 1382726991(0) win 0
13:50:17.414288 apollo.it.luc.edu.999 > x-terminal.shell: S 1382726991: 1382726991(0) win 4096 13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.999: S 2021952000: 2021952000(0) ack 1382726992 win 4096 13:50:17.410944 apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992: 1382726992(0) win 0 Efecto Si efectuamos la resta entre 2021824000 – 2021952000, tenemos como resultado 128.000. Con esto podemos predicir la respuesta de una conexión y la capacidad de silenciar un lado, podemos invadir una sesión entre dos máquinas Explicación: Esta es la fase preliminar de un ataque. Mientras se efectúa un SYN Flood, el servidor se congestiona, se utiliza la relación de confianza que se tenga para efectuar la conexión.
25 Patrones de tráficoAnormales (An) – Ataques (At) An – Exploración Web extraña
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440 x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440 x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440 x.y.y.7395 > 172.20.3.0.80: S 1059077568: 1059077568(0) win 61440 x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440
Efecto Esta exploración busca identificar servidores WEB. Explicación: El envío de paquetes a la dirección 0 para tratar de difundir el paquete en ese segmento. Sin embargo, la difusión de paquetes se aplica a protocolos UDP. Por tanto, el envio de paquetes SYN a las direcciones .0 y .255 se interpreta como una dirección única y ningún host responderá esta petición.
Firmas y Filtros
27 Firmas y Filtros Conceptos Firma Define o describe un patrón de tráfico de interés. Está presente en el tráfico y la idea es encontrarlas y entenderlas. Filtros Si podemos entender los patrones, podemos crear filtros. El filtro transcribe la descripción de la firma, bien en código legible por una máquina o en las tablas de consulta para que un sensor pueda identificar el tráfico. Intrusion Detection Systems Tipos de software de acuerdo con el Tipo de análisis Basados en firmas Basados en estadísticas Basados en análisis de integridad. Base de datos de firmas http://whitehats.com, http://www.snort.org
28 Limitaciones de las firmas
Falsos positivos Vs. Falsos negativos Falso Positivo Tráfico de red que aparentemente parece malicioso cuando realmente no lo es. Falso Negativo Tráfico de red que aparentemente parece normal cuando realmente se está materializando un ataque. Implicaciones Requieren correlación de otras fuentes para verificar si el tráfico normal o no. Actualización permanente de nuevos patrones. Personal especializado y entrenado en análisis de tráfico. Aumentan sustancialmente la ventana de exposición. Las firmas son susceptibles de ser manipuladas y falseadas, para confundir al IDS.
Ejercicios de Análisis
30 Ejercicios
El siguiente tráfico corresponde a una fragmentación patológica de paquetes. Cuando se reemsamblan los paquetes cuál es tamaño total del paquete?
08:22:49.388906 thumper > 192.168.38.5: icmp echo request (frag 4321:1480@0+) 08:22:49.389005 thumper > 192.168.38.5: (frag 4321:1480@1480+) 08:22:49.389050 thumper > 192.168.38.5: (frag 4321:1480@2960+) .. 08:22:49.425543 thumper > 192.168.38.5: (frag 4321:1480@63640+) 08:22:49.425753 thumper > 192.168.38.5: (frag 4321:1480@65120)
a. 65120 b. 1480 c. 4321 d. 66600 e. Ninguno de los anteriores
31 Ejercicios
Considere el siguiente tráfico de red. Este tráfico corresponde a:
13:10:33.281198 attack.ip.one.0 > 192.168.26.203.143: SF 374079488: 374079488(0) win 512 13:10:33.334983 attack.ip.one.0>192.168.24.209.143: SF 374079488: 374079488(0) win 512 13:10:33.357565 attack.ip.one.0>192.168.17.197.143: SF 374079488: 374079488(0) win 512 13:10:33.378115 attack.ip.one.0>192.168.16.181.143: SF 374079488: 374079488(0) win 512 13:10:33.474966 attack.ip.one.0>192.168.24.194.143: SF 374079488: 374079488(0) win 512
a. Posible manera de eludir la detección de un IDS b. Posible manera para penetrar un Firewall c. Combinación sospechosa de Flags d. Posible manera de eludir sistemas de filtrado e. Todas las anteriores
32 Reflexiones
Técnicas Los analistas de tráfico de red, son personal altemente entrenado y especializado en protocolos de red, particularmente TCP/IP Se requiere software especializado. Recuerde que esta tecnología es naciente y aún tiene que madurar. Organizacionales Personal técnico que conoce perfectamente las vulnerabilidades de su red. Alto sentido de la responsabilidad con la información. Se requiere una disposición de la gerencia para que esta función de análisis de tráfico se de dentro de la función de seguridad informática como factor complementario a las actividades de dicha función. Legales El tráfico de red es información digital de la organización. Se está teniendo acceso vía medios alternos. Debe estar normada esta actividad y sus alcances para no incurrir en violación de confidencialidad de los datos. El análisis de tráfico puede ser parte de la evidencia en el proceso de análisis forense de un incidente de seguridad, como un apoyo al esclarecimiento del incidentes mismo.
Página anterior | Volver al principio del trabajo | Página siguiente |