CODIGO DEL CURSO:

Alumno(s) Nota

Alarcon Casanova Eduardo

Nina Aquino Luis Marco

Fecha de entrega

Seguridad Informática I

Nro. DD-106

Página 4/16

1. OBJETIVOS

Al finalizar el laboratorio el estudiante será capaz de:

▪ Utilizar diferentes sniffers según el tipo de red a analizar

▪ Analizar la entrada y salida de paquetes

2. EQUIPOS

● 3 Computadora.

● Software Sniffers de red.

3. Introducción:

Un analizador de paquetes es un tipo de programa que monitoriza cualquier bit de

información que entra o salida por la red. Es un tipo de dispositivo plug-and-play unido

a un equipo que escucha a escondidas el tráfico de red.

4. Seguridad

Advertencia:

No consumir alimentos ni bebidas durante el desarrollo de la sesión del laboratorio.

El equipo que esta por utilizar, es susceptible a daño eléctrico por mala manipulación y/o carga electroestática.

PROCEDIMIENTO:Basado en la información de CEH, realice un información sobre la utilización de los siguientes software

Seguridad Informática I

Nro. DD-106

Página 4/16

1. Colasoft Packet Builder

Básicamente, lo que hace es permitirnos establecer el protocolo con el que trabajaremos, crear paquetes de información específicos, y lanzarlos para comprobar la reacción.

Además, en la aplicación se incluyen distintas plantillas de paquetes predefinidos que podremos utilizar de forma genérica para testear distintos protocolos de conexión como Ethernet, ARP, IP, TCP y UDP

También estos paquetes son personalizables por el usuario a través de dos editores, un hexadecimal y otro ASCII, de manera que siempre pueden adaptarse a las necesidades del mismo.

Ilustración 1 Paquete UDP

Seguridad Informática I

Nro. DD-106

Página 4/16

Ilustración 2 Paquete ARP

Ilustración 3 Paquete IP

Seguridad Informática I

Nro. DD-106

Página 4/16

Ilustración 4 Paquete UDP

2. Sniffing de red usando Omnipeek

Primero que todo se debe instalar en Omnipeek, este programa nos facilitara ver que IP están dentro del rango.

Esta imagen es ya la instalacion del Omnipeek y vamos a tomar capturas para ello tendremos que ir a “Neew Capture”.

Seguridad Informática I

Nro. DD-106

Página 4/16

Podemos observar que las opciones de captura tienen varias pestañas como general para poder cambiar el nombre y tener un mayor rango de megabytes.

En la pestaña de “adapter” se encuentran las tarjetas de red que están en la maquina com solamente se tiene una tarjeta de red, en la imagen se ve que es la única y la selecionamos y damos OK.

Al seleccionar “Aceptar” nos saldrá esta ventana, esta ventana es para poder ver las capturas que están dentro de la red ya sea dirección IP o MAC Address. Y para realizar este paso vamos a dar Star Capture.

Seguridad Informática I

Nro. DD-106

Página 4/16

Ya dando “Start Capture” podemos observar en el recuadro que se están tomando las capturas en determinados tiempos y algunas tienen picos quiere decir que encuentran rápidamente a la maquina con una direcicion de IP que esta en la red.

Cuando vamos a seleccionar paquetes nos saldrá este cuadro, aquí es donde se registran las direcciones IP que están a al red ya sea local de un empresa o institución y al hacer doble clic en la red que queremos nos mostrara su información.

Como se mencionó anteriormente al hacer doble clic nos puede mostrar información de donde está viniendo el paquete origen y destino cuantos caracteres tiene la versión de protocolo en este caso IPV4 cuanto es la longitud del paquete y el tiempo transcurrido en ella.

3. Spoofing MAC address usando SMAC

Terminando de instalar el programa se podrá ver que nos saldrá esta imagen y ahí tenemos varias opciones entre ella esta el RANDOM, IPConfi, Update MAC,etc

Seguridad Informática I

Nro. DD-106

Página 4/16

Como se ve en la imagen hay su ID ”identificador de la maquina”, se puede ver si esta activo su dirección IP y su MAC que esta utilizando, con este programa se puede ver que podemos cambiar la dirección MAC a otra para recibir paquetes de otras pc sin que se den cuenta.

Para mas información podemos ir a IPConfig ahí nos puede mostrar todo sobre la maquina que estamos utilizando tanto si es dirección ip estatica o dirección ip con dhcp con su respectiva mascara y puerta de enlace.

Seguridad Informática I

Nro. DD-106

Página 4/16

Para ver que MAC Address tenemos disponibles vamoas a MACList con esta opción podemos ingresas a load list y nos aparece una lista con MACAddress y podemos elegir cualquiera de ella.

Imagen donde se ve el “ Sample_MAC_List” ahí podemos ver que adentro va haber una listado de mac address que podemos utilizar.

Seguridad Informática I

Nro. DD-106

Página 4/16

Estas son las listas de MAC Address que podemos cambiar por nuestra real para poder atarcar o que vengan hacia nosotros sin que se den cuenta que es una MAC Address falsa.

Ya al elegir una MAC Address que queremos apretamos Update MAC esta opción sirve para el cmbio respectivo de la MAC Addres que vamos a obtener.

Ya finalizado nos podemos dar cuenta que si cambio la MAC Address y esto podemos aplicar las veces que queramos.

Seguridad Informática I

Nro. DD-106

Página 4/16

Se puede ver en IPConf la información que se muestro anteriormente es igual lo único que esta cambiando es la conecesion obtenida y la MAC Address nueva.

4. WinArpAttacker Tool

Comenzaremos realizando un scan a la red

Seguridad Informática I

Nro. DD-106

Página 4/16

Un ARP-FLOOD es simplemente una denegación de servicio por envío de paquetes ARP. Enviamos direcciones MAC al azar asociadas a IPs de nuestra subred y el switch se vuelve loco, pudiendo hacer una de estas dos cosas:

1. Enviar todos los paquetes a todos los equipos de la subred, con lo cual basta generar tráfico abundante para hacer que la red no funcione.

2. Dejar de funcionar (objetivo cumplido).

Seguridad Informática I

Nro. DD-106

Página 4/16

Otro ataque de denegación muy sencillo consiste en enviar a todos los equipos de nuestra subred un paquete ARP diciendo que el gateway tiene una MAC, que obviamente no existirá.

Así, ninguno de los equipos de nuestra subred puede salir de ella, siendo un absoluto desastre.

Y podemos seguir con más ideas similares : odemos quitar el DNS declarando que tiene una MAC dada (por supuesto, incorrecta) ...

Actualmente, todos los equipos, tanto linux como windows, a no ser que estén protegidos contra arp-spoofing o que el switch tenga configurada alguna medida de seguridad como port-

security (cosa muy rara en la práctica), son víctimas fáciles de este tipo de ataque.

El ataque no deja rastro

La única información que serviría para identificarnos es nuestra propia MAC almacenada en la tabla ARP del switch cuando nos conectamos a la red. Esto puede evitarse fácilmente quitando el cable de red, para evitar envío de paquetes, cambiando la MAC a mano y, sólo entonces, conectando de nuevo el cable de red. No hay rastro de ningún tipo. Aparte de esto, podemos ponernos la MAC de otro equipo, con lo que lo tiraremos de la red.

Debido a que ninguno de los paquetes que emitimos tiene nuestra MAC, es imposible localizarnos.

5. Analice una red usando Colasoft Capsa Network Analyzer

Seleccionamos la tarjeta de red que vamos a usar

Podeos seleccionar un tipo de análisis

Seguridad Informática I

Nro. DD-106

Página 4/16

Escaneo de dns

Análisis de puertos

Además podemos ver los protocolos direcciones de red , mac de lared local activa

Seguridad Informática I

Nro. DD-106

Página 4/16

Observaciones

La instalación de los programas ya sean en cualquier servidor o máquina que pueda ser ejecutada y así poder ver el tráfico de las otras máquinas que están en la misma red que están conectadas.

El Winpcap no se puede realizar en cualquier maquina ni servidor, por eso se dio la obligación de trabajar en una maquina virtual que tena Windows 7 para que esta pueda reconocerlo, también se puede trabajar para Windows server 2012.

Fue posible ver el trafico y en un diagrama el omnikeep, asi como los paquetes que tienen, y dentro de esos paquete hay información que se puede ver.

SMAC es un buen programa para utilizar se vio que se puede cambiar a cualquier dirección MAC Address que queramos utilizar y así poder engañar a usuarios.

Dentro de los paquetes del omnikeep se puede observar la macaddres del destino y origen cuando esta haciendo ya sea un ping para la comunicación.

Es imporante poner la serial en el SMAC para poder realizar dicho laboratorio, para que el spoofed este activado y pueda hacerse el cambio de MAC correspondiente.

Seguridad Informática I

Nro. DD-106

Página 4/16

Conclusiones.

Un sniffer se sabe que es una herramienta de gran ayuda para una administración de red, pero también tiene su contra por el motivo que pueden atacar.

Se puede brindar mayorseguridad y funcionalidad para una red. Pero implica también que usuarios utilicen esa herramienta para fines inadecuados.

Los sniffing sirven para detectar y analizar fallos en los protocolos de red pero también es habitual para el uso de fines maliciosos como robar contraseñas, interceptar mensajes, espiar conversación, chat, etc.

Se puede detectar la presencia de un sniffer realizando un ping pero con una dirección MAC falsa ya que la ip del host estará sospechoso y no contestara por ese motivo es muy adecuado instalarse El SMAC para el cambio de MAC y una buena red segura.

Un sniffer residente puede resolver conexiones tcp inconscientes creada por un segmento de red.