Taller 1: Network Forensics

Nombre: David_______________________________

Nombre: Mauricio Gualtero

28137_______________________________

Nombre: _______________________________

I. Ejercicio 1: Analizar con wireshark la siguiente captura:

Archivo: telnet-cooked.pcap
1. ¿Cuáles son las direcciones IP de las máquinas que realizan el telnet?
192.168.0.1
192.168.0.2

2. ¿Cuál es la dirección del servidor?

192.168.0.1

3. ¿Qué sistema operativo maneja el servidor remoto?

UNIX

4. ¿Cuál fue la fecha del último logueo?

Sat Nov 27 20:11:43

5. ¿Cuál es el usuario y la contraseña del usuario que realiza el logueo?

Login:fake password:user

II. Ejercicio 2: Analizar con wireshark la siguiente captura:

Archivo: FTPv6-1.cap
1. ¿Cuáles son las direcciones IPv6 de las máquinas que realizan el FTP?
 Internet Protocol Version 6, Src: 2002:5183:4383::5183:4383, Dst:
2001:638:902:1:201:2ff:fee2:7596

 Internet Protocol Version 6, Src:

2001:638:902:1:201:2ff:fee2:7596, Dst:
2002:5183:4383::5183:4383

2. ¿Cuál es la dirección del servidor?

Src Port 21. Internet Protocol Version 6, Src:
2001:638:902:1:201:2ff:fee2:7596, Dst: 2002:5183:4383::5183:4383

3. ¿Cuál es la URL del servidor FTP?

6bone.informatik.uni-leipzig.de
 4. ¿Cuál es el usuario y la contraseña del usuario que realiza el logueo?
USER anonymous
PASS IEUser@

5. ¿Cuál es el nombre de la aplicación que ejecuta el servidor?

NetBSD-ftpd

6. ¿A qué hora se capturó el paquete donde viaja el usuario y contraseña?

(hasta milisegundos) ¿En qué paquetes de la captura viaja dicha
información?

First packet: 2005-07-16 10:29:29

Last packet: 2005-07-16 10:29:55

III. Descargue el archivo forense_redes.pcap del Aula Virtual.

Caso:
Ann y el Sr. X, sospechosos de un delito contra la propiedad intelectual,
han establecido su base de operaciones.

Mientras espera que se complete la documentación de extradición, usted y

su equipo de investigadores monitorean secretamente su actividad.
Recientemente, Ann obtuvo un AppleTV nuevo y lo configuró con la
dirección IP estática 192.168.1.10. Se cuenta con la captura de su actividad
en la red.

Eres el investigador forense. Tu misión es descubrir lo que Ann buscó, crear

un perfil de sus intereses y recuperar evidencia que incluya:

1. ¿Cuál es la dirección MAC de Apple TV de Ann?

Ethernet II, Src: Apple_fe:07:c4 (00:25:00:fe:07:c4), Dst: Cisco-
Li_ad:57:7b (00:23:69:ad:57:7b)

2. ¿Qué cadena de Usuario-Agente usó AppleTV de Ann en las solicitudes

HTTP?
AppleTV/2.4

3. ¿Cuáles fueron los primeros cuatro términos de búsqueda de Ann en

AppleTV (todas las búsquedas incrementales cuentan)?
43 H
180 Ha
230 Hac
276 Hack

4. ¿Cuál fue el título de la primera película en la que Ann hizo clic?

 307 Hackers

5. ¿Cuál fue la URL completa del avance de la película (definido por

"preview-url")?
307
http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.p
lqacyqb..640x278.h264lc.d2.p.m4v

6. ¿Cuál fue el título de la segunda película en la que Ann hizo clic?

1181 Sneakers

7. ¿Cuál fue el precio para comprarlo (definido por "visualización de

precios")?
1181 $9.99

8. ¿Cuál fue el último término completo que buscó Ann?

1766 iknowyourewatchingme

FIRMA MD5: (forense_redes.pcap): f8a01fbe84ef960d7cbd793e0c52a6c9

IV. Resuelva el siguiente caso:

Id del caso: 0001 Fecha: Equipo investigador Forense:

Descripción del delito
La empresa Anarchy-R-Us, Inc. sospecha que uno de sus empleados, Ann Dercover,
realmente es una agente secreta que trabaja para su competidor. Ann tiene acceso
al activo del premio de la compañía, la receta secreta. El personal de seguridad está
preocupado de que Ann intente filtrar la receta secreta de la compañía.

El personal de seguridad ha estado monitoreando la actividad de Ann por algún

tiempo, pero hasta ahora no ha encontrado nada sospechoso. Hoy, una
computadora portátil inesperada apareció brevemente en la red inalámbrica de la
compañía. El personal cree que podría haber sido alguien en el estacionamiento,
porque no se vio a extraños en el edificio. La computadora de Ann (192.168.1.158)
envió mensajes instantáneos a través de la red inalámbrica a esta computadora. El
portátil falso desapareció poco después del monitoreo de la red.

"Tenemos una captura de paquetes de la actividad", dijo el personal de seguridad,

"pero no podemos averiguar qué está pasando. ¿Puede usted ayudar?"
Usted es el investigador forense. Su misión es averiguar quién fue la mensajería
instantánea de Ann, lo que envió y recuperar pruebas que incluyen:

Objetivos de la investigación
Contestar las siguientes preguntas:
1. ¿Cuál es el nombre de la amiga de Ann?

2. ¿Cuál fue el primer comentario en la conversación de IM capturada?

3. ¿Cuál es el nombre del archivo que Ann transfirió?

4. ¿Cuál es el número mágico del archivo que desea extraer (primeros cuatro bytes)?

5. ¿Cuál fue la suma MD5 del archivo?

6. ¿Cuál es la receta secreta?

Evidencia
Se logró capturar una trama que se cree es fundamental en la investigación. Favor
descargarlo del Aula Virtual. Es la captura evidencia1.pcap

MD5 (evidencia1.pcap): d187d77e18c84f6d72f5845edca833f5

Análisis forense

Conclusiones