Taller1 Sibanez

DETECCIÓN DE INTRUSOS
Especialización en Seguridad Octubre 4 de 2019

Informática
Integrantes:

Este taller debe ser desarrollado en grupos y enviado vía correo electrónico al docente al
finalizar la sesión.
AMBIENTE
Todo el taller será desarrollado desde la máquina Kali Linux y se usará como máquina
objetivo una máquina metasploitable que será desplegada por el profesor en la red del
laboratorio. (usted puede optar por desplegar su propia máquina metasploitable).
Usted deberá aportar evidencia de los resultados obtenidos (pantallazos)
TCPDUMP
Aporte la evidencia de los resultados de los comandos realizados (pantallazos)
1. Liste las interfaces disponibles para hacer tcpdump (tcpdump -D) y verifique que
las interfaces eth0 y eth1 están disponibles para tcpdump y están activas (up and
running).
Se ejecuta en la Kali linux el comando “tcpdum -D” y éste muestra las interfaces
disponibles, en la opción 1 vemos que solamente tenemos disponible la eth0 y su
estado es up and running.
Informática
2. Abra dos ventanas de líneas de comando, en la primer ventana ejecute un

tcpdump sobre la interfaz eth1 (tcpdump -i eth1) y en la segunda intente
conectarse por login o ssh hacia la máquina metaspoitable (rlogin msfadmi@<ip
de metasploitable>), copie las líneas que muestran el 3 way handshake.
Líneas copiadas:
09:56:43.252229 IP kali.upiloto.edu.59600 > 172.16.25.41.ssh: Flags [S], seq 4218673157, win 29200, options [mss
1460,sackOK,TS val 2068771 ecr 0,nop,wscale 7], length 0
09:56:43.253887 IP 172.16.25.41.ssh > kali.upiloto.edu.59600: Flags [S.], seq 1645313176, ack 4218673158, win 5792,
options [mss 1460,sackOK,TS val 88583 ecr 2068771,nop,wscale 5], length 0
09:56:43.253908 IP kali.upiloto.edu.59600 > 172.16.25.41.ssh: Flags [.], ack 1, win 229, options [nop,nop,TS val 2068772 ecr
88583], length 0
3. Repita el numeral 2 pero ahora usando los comandos tcpdump –i eth1 –v y

tcpdump –i eth1 –vv, qué diferencias ve en los tres modos de ejecución?
Se ejecuta el comando “tcpdump -i eth0 -v”

Informática
Se ejecuta el comando “tcpdump -i eth0 -vv”
4. Vuelva a ejecutar tcpdump –i eth1 (sin verbose).

Informática
5. En la ventana en donde ejecutó rlogin o ssh ingrese la contraseña de acceso y

valide que el ingreso es exitoso, ¿cómo cree que puede enviar una bandera FIN
para finalizar la comunicación?, hágalo y copie las líneas que lo demuestran.
Se realiza el logueo en la maquina
Se captura la traza con el tcpdump

Informática
Se ejecuta el comando exit desde la maquina logueada
Se puede apreciar en la traza las banderas fin al final del log
21:27:40.409102 IP 192.168.0.12.54272 > 192.168.0.11.22: Flags [FP.], seq 3201:3257, ack 3391, win 284, options
[nop,nop,TS val 554327 ecr 219399], length 56
21:27:40.409667 IP 192.168.0.11.22 > 192.168.0.12.54272: Flags [.], ack 3258, win 135, options [nop,nop,TS val
219399 ecr 554327], length 0
21:27:40.410898 IP 192.168.0.11.22 > 192.168.0.12.54272: Flags [F.], seq 3391, ack 3258, win 135, options
[nop,nop,TS val 219399 ecr 554327], length 0
21:27:40.410926 IP 192.168.0.12.54272 > 192.168.0.11.22: Flags [.], ack 3392, win 284, options [nop,nop,TS val
554327 ecr 219399], length 0
ESCANEO DE PUERTOS
6. Utilizando nmap ejecute un escaneo de puertos tipo tcp sobre la máquina
metasploitable y capture el tráfico con tcpdump, analice el tipo de conexiones que
se intentan enviar.
Informática
TRAZA
Nmap
7. Ahora ejecute un escaneo SYN y analice el tráfico, qué diferencias ve?

Informática
traza
Muestra más información cuando se ejecuta el comando nmap con el escaneo de TCP.
INSPECCIÓN DE TRÁFICO
Informática
Con TCPDUMP
8. Utilice tcpdump de tal manera que se capture el paquete completo, se vea su

contenido en formato Hexagesimal y ASCII y se grabe la captura en un archivo
(telnet.pcap) la autenticación a la máquina “metasploitable” por medio de telnet.
Luego de la autenticación ejecute los comandos ifconfig y hostname (tcpdump -
nnvvXSs 1514).
Informática
Informática
Informática
9. Repita el numeral 8 pero usando ssh y grabe el archivo ssh.pcap.

Informática
10. Cargue el archivo obtenido en el numeral 8 en wireshark, busque y documente

toda la información relevante posible en capa de aplicación.
Informática
11. Cargue el archivo obtenido en el numeral 9 en wireshark, busque y documente

toda la información relevante posible en capa de aplicación (¿hay alguna diferencia
relevante con respecto al numeral anterior?).
Existe diferencia en los comandos TELNET la información no está cifrada y se puede

realizar seguimiento a lo que una persona esté realizando en la sesión abierta por el
wireshark y SSH es más complejo ya que la información está cifrada.
12. Genere dos escaneos de puertos usando NMAP:

a. nmap –f –sS <dirección IP de metasploitable>
b. nmap –sS <dirección IP de metasploitable>
y capture el tráfico usando tcpdump, copie pantallazos de cada escaneo de tal manera
que pueda compararlos, analice las diferencias explíquelas. La idea es poder ver qué
sucede con el envío del SYN cuando se fragmenta el escaneo.
Informática
parte A.
Informática
Parte B.
Informática
En el punto 12 la diferencia de los comandos es que con -sS muestra las flags (banderas),
en cambio el -f -sS no muestra flags, excepto las de reset, adicional muestra como un la
version del protocolo ip.
Informática
13. Ejecute un Ping hacia la máquina Metasploitable y ejecute (en esa misma máquina)
un tcpdump de tal manera que pueda ver los echo request y echo reply. Copie los
pantallazos donde se vean claramente las peticiones y las respuestas.
Informática
14. Ejecute un ataque TEARDROP hacia el servidor metasploitable enviando el

“payload” más pequeño que pueda y usando el Script que encuentra en la url:
http://samsclass.info/123/proj10/tear , capture el tráfico con wireshark y analice la
captura (reconstruya gráficamente el paquete). JORGE C.
Con WireShark
15. Utilizando wireshark abra el paquete “Captura2.pcap” y analícelo (el objetivo es

poder exportar la imagen que fue transmitida por el protocolo) DANIEL P.
TIP: Los siguientes numerales pueden desarrollarse usando el programa hping3

que se encuentra en Kali.
16. Configure un ataque SMURF hacia la misma máquina y haga una captura de tráfico,
muestre los pantallazos (explicando el proceso) de lo que sucede. EDWIN/ SERGIO.
Informática
“La denominada técnica "smurf" se basa en el uso de servidores de difusión con el objetivo
de paralizar una red. Un servidor de este tipo tiene la capacidad de duplicar un mensaje y
enviarlo a todos los equipos de una misma red.”
Se realiza la conexión a la maquina metasploit.
Ya estando dentro, se ejecuta el comando tcpdump para capturar los paquetes
Luego se ejecuta el ataque
Y en la maquina remota, se evidencia el ataque por la cantidad de peticiones desde las

direcciones ip que se le envia por parámetro, en este caso va desde la 192.168.0.11 hasta
la 255.
Informática
Informática
17. Configure un ataque LAND attack y capture el tráfico en la máquina atacada de tal
manera que pueda verse lo que sucede. Compare antes y durante del ataque el
procesamiento de la máquina. EDWIN/ SERGIO
18. Configure un ataque Syn Flood y capture el tráfico en la máquina atacada de tal
manera que pueda verse lo que sucede. Compare antes y durante del ataque el
procesamiento de la máquina y las conexiones abiertas. EDWIN/ SERGIO

Taller1 Sibanez

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Taller1 Sibanez

Cargado por

Copyright:

Formatos disponibles

DETECCIÓN DE INTRUSOS

Especialización en Seguridad Octubre 4 de 2019

Usted deberá aportar evidencia de los resultados obtenidos (pantallazos)

2. Abra dos ventanas de líneas de comando, en la primer ventana ejecute un

3. Repita el numeral 2 pero ahora usando los comandos tcpdump –i eth1 –v y

Se ejecuta el comando “tcpdump -i eth0 -v”

Se ejecuta el comando “tcpdump -i eth0 -vv”

4. Vuelva a ejecutar tcpdump –i eth1 (sin verbose).

5. En la ventana en donde ejecutó rlogin o ssh ingrese la contraseña de acceso y

Se realiza el logueo en la maquina

Se captura la traza con el tcpdump

Se ejecuta el comando exit desde la maquina logueada

Se puede apreciar en la traza las banderas fin al final del log

7. Ahora ejecute un escaneo SYN y analice el tráfico, qué diferencias ve?

8. Utilice tcpdump de tal manera que se capture el paquete completo, se vea su

9. Repita el numeral 8 pero usando ssh y grabe el archivo ssh.pcap.

10. Cargue el archivo obtenido en el numeral 8 en wireshark, busque y documente

11. Cargue el archivo obtenido en el numeral 9 en wireshark, busque y documente

Existe diferencia en los comandos TELNET la información no está cifrada y se puede

12. Genere dos escaneos de puertos usando NMAP:

14. Ejecute un ataque TEARDROP hacia el servidor metasploitable enviando el

15. Utilizando wireshark abra el paquete “Captura2.pcap” y analícelo (el objetivo es

TIP: Los siguientes numerales pueden desarrollarse usando el programa hping3

Se realiza la conexión a la maquina metasploit.

Ya estando dentro, se ejecuta el comando tcpdump para capturar los paquetes

Luego se ejecuta el ataque

Y en la maquina remota, se evidencia el ataque por la cantidad de peticiones desde las

También podría gustarte