Actividad 6 Análisis de capturas de red.

Tabla de contenido
Introducción.

En la actualidad el tráfico de nuestras redes aumenta cada día, debido a la gran

necesidad de acceso a la información por parte de los usuarios en los
establecimientos que laboramos. Es por ello que se nos presentan a diario
diversos problemas relacionados con el rendimiento y disponibilidad de este
recurso, además de que nosotros como responsables nos encarguemos de
mantener este recurso siempre disponible.

Por ello es necesario comenzar a utilizar herramientas que nos permitan identificar
como es el comportamiento de nuestra red, porcentaje de uso, disponibilidad y
sobre todo con un correcto funcionamiento.

Para esta actividad veremos las diferentes maneras de identificar y utilizar

correctamente dichas herramientas, además comprenderemos como podemos
aplicarlas en ambientes de producción para tener una ayuda más en la
identificación de diversos problemas en nuestra infraestructura y de esta manera
tener una visión más clara sobre como es el tránsito de los datos por nuestra red y
como identificarlos de una manera correcta.
Comprobación de los Hash:

  Ejercicio Original Cryptool

Ejercicio1. 6b0ff83b914bcfa121351e8524 6B 0F F8 3B 91 4B CF A1 21 35 1E 85 24 58
pcap 58896f 89 6F
Ejercicio2. 0c748543b9eb27617731a3a4 0C 74 85 43 B9 EB 27 61 77 31 A3 A4 88 8E
MD5 888eb5ba
pcap B5 BA
Ejercicio3. 55ec930a79fa0dc63cee4f46b1 55 EC 93 0A 79 FA 0D C6 3C EE 4F 46 B1 2E
pcap 2e8620 86 20
Ejercicio1. 139fa7ebc757c36628f7db3f45 13 9F A7 EB C7 57 C3 66 28 F7 DB 3F 45 D1
pcap d18dcb2c5dc5de 8D CB 2C 5D C5 DE
Ejercicio2. 6419a1941bddaebfc58389a8f 64 19 A1 94 1B DD AE BF C5 83 89 A8 F0 F4
SHA1
pcap 0f4741472975830 74 14 72 97 58 30
Ejercicio3. 93113262f55d288365abd9e0c 93 11 32 62 F5 5D 28 83 65 AB D9 E0 CB 39
pcap b39004d77bb8a19 00 4D 77 BB 8A 19

Hash Tiger y Whirlpool:

Ejercicio Hash Tiger Hash Whirlpool

72170ff72932dd70a bbcc4575df5de517f5164a5f7428c78674930f54feee94fa8
Ejercicio1.pcap 2c186340524829fc 31259d472d0b8e6845cc9f20ca064636a0464e7ea41694f
58aaf9a16990128 cb66f7d6f4735e694b73f92b041a5404
a1cafa83838b68e6 e4fc9430387fa6afa6a6003d5ece76485789efd89e750fd2
Ejercicio2.pcap e488e4392c71af99 5e2c86faf31e9593dcbd5036a216bb5bf2c91d20ed519e5
43d594ac503f2738 8015abd8e0b19565e3b6ae689b077b124
86e064148947e28b 8701ab3d528e402eef62612f5fef2865d7a039a5d7d6769
Ejercicio3.pcap f7fe6376133e1c8c4 b900a175567808d369d00d45b2f7340694419042e00825
ba92e9521413697 726ea3d0274bb28a52e21f64eadaa1ba734

Para general este tipo de hash u otros diferentes podemos ingresar al siguiente enlace:

http://www.fileformat.info/tool/hash.htm
Cantidad de paquetes de cada archivo:

Para visualizar la cantidad de paquetes ingresamos por la opción Portocol Hierarchy.

 Ejercicio Paquetes
Ejercicio1.pca
 622
p
Ejercicio2.pca
 1
p
Ejercicio3.pca
 208
p

Ejercicio1.pcap:

Ejercicio2.pcap:

Ejercicio3.pcap:
Identificar el peso y el formato de cada  archivo:

  Peso   Formato
Ejercicio1.pca
47.296 bytes Pcap
p
Ejercicio2.pca
100 bytes Pcap
p
Ejercicio3.pca
15.814 bytes Pcap
p

Responder las siguientes preguntas y sustentarlas con pantallazos que evidencien los hallazgos.

Ejercicio 1:

a. Identifique la MAC del intruso que intenta causar una negación de servicio en la red

El intruso tiene la dirección MAC 00:07:0D:AF:F4:54 y lo podemos identificar gracias a que

Wireshark posee una herramienta llamada

b. Que fabricante podemos asociar a la tarjeta de red del intruso?

La MAC del intruso se pueden asociar a el Fabricante Cisco, esto debido a su asignación para este
tipo de direcciones.

Cisco = 00:07:0d:xx:xx:xx

En la siguiente dirección podemos consultar los fabricantes de acuerdo a la dirección MAC:

http://www.base64online.com/mac_address.php

c. Explique en pocas palabras en que consiste el ataque identificado

d. Cuantas MAC diferentes se pueden encontrar en la captura?

Solo hay 1
En la parte de los filtros de Wireshark introducimos este filtro y nos listara las distintas MAC a la
entrada:

eth.src!=00:07:0d:af:f4:54

Como podemos observar no arroja resultados, esto quiere decir que no hay una dirección MAC
diferente a la 00:07:0D:AF:F4:54.

e. Que porcentaje de uso del ancho de banda tiene el protocolo ARP en la captura?

El consumo de ancho de banda del protocolo ARP es del 0,010%.

 Ejercicio 2:

a. Quien esta realizando la solicitud en esta captura?, identifique su MAC y asóciela con un
fabricante.

Solo es posible identificar la siguiente MAC: 00:00:A1:12:DD:88, cuyo fabricante es MARQUETTE

ELECTRIC CO.

b. Cuál es el objetivo de la solicitud?, explique.

Realizar una resolución inversa desde MAC hacia IP pero dicha petición la realiza el mismo que
responde.

c. Se completó la solicitud?, se obtuvo una respuesta?. Explique.

No, la solicitud no se respondió, o al menos no se capturo con el software.

d. Cuantos paquetes ARP se pueden identificar en la captura?}

Ninguno

e. Cuál es la hora exacta (GMT-5) en la que se realiza la primera solicitud?

2006-06-11 15:41:54.346457
 Ejercicio 3:

a. Consiga una imagen (PNG, JPG) del dispositivo que se encuentra haciendo peticiones en la
captura.
b. Explique el funcionamiento de este tipo de dispositivos.
c. Cuantas direcciones IP diferentes se pueden encontrar en la captura?.
d. Cual es la hora (GMT-5) exacta a la que se envio la última solicitud por parte del dispositivo
identificado en a. ?
e. Cuantos protocolos diferentes se pueden identificar en la captura?