Laboratorio Seguridad Informática Avanzada 2021-2

Reporte de la Práctica 3

Sección 1: Introducción
1. A nivel de infraestructura de la red organizacional, ¿dónde debemos colocar un sensor de
análisis de tráfico y que acciones hay que realizar para habilitarlo?
Una ubicación estratégica sería colocarlo en un lugar donde se puede monitorear todo el tráfico
de la red, esto significa que debemos de colocarlo donde la mayoría de las conexiones de los
dispositivos convergen, y el lugar indicado para esto sería en el switch central o en el router
principal. Además, se debe de configurar un equipo para que este pueda analizar el tráfico de
manera óptima.
2. Describa qué es un archivo PCAP

En este tipo de archivos se puede guardar y capturar datos de paquetes de red, estos archivos
suelen ser generados por programa de captura de paquetes de red como Wireshark y tcpdump.
Este tipo de archivos contienen toda la información necesaria para reconstruir los paquetes de
datos capturados, y esto incluye: Direcciones IP de origen y destino, protocolo utilizado, datos de
carga útil entre otros detalles. Los archivos PCAP también suelen servir en el análisis forense de
rede, depuración de problemas de red y para realizar pruebas de seguridad de la red.

Sección 2: Informe de la práctica

El o los alumnos, deben generar un reporte detallado y formal de las actividades realizadas
durante la práctica, esta deberá dar respuesta justificada a las siguientes preguntas:

Archivo conceptos.pcap

1. ¿Cuántos registros se despliegan al analizar el archivo?

R= tcpdump -r conceptos.pcap | wc-l (22 registros)

1
2. ¿Cuál es la opción en tcpdump para que no resuelva el DNS?

R= tcpdump -nn -r conceptos.pcap, esto es debido a que -n le indica a tcpdump que no

resuelva direcciones IP a nombres DNS
3. ¿Con qué opción se despliegan los valores en hexadecimal del paquete?

R= tcpdump -nnx -r conceptos.pcap, esto también puede solicitarse con -x, debido a que
esa instrucciones le dice a tcpdump que muestre los datos en hexadecimal.
4. En el registro 1, ¿qué protocolo está embebido en la cabecera IP?

R= tcpdump -nnx -c1 -r conceptos.pcap , es en el registro UDP.

5. En el registro 1, ¿cuál es el valor en decimal del TTL?

2
 R= El time t olive es 255 o puede aparecer como un ff
6. ¿Qué opción de tcpdump permite ver las direcciones MAC origen y destino?

R= tcpdump -nnx -e -c 1 -r conceptos.pcap., es con -e

7. En el registro 2, ¿Qué aplicación se está analizando?

R= tcpdump -nnx -e -c 2 -r conceptos.pcap, respuesta DNS(url).

8. En el último registro, ¿cuál es el protocolo embebido en la cabecera IP?

R= tcpdump -nvvxX -e -c 22 -r conceptos.pcap |tail (Permite ver el último registro)

Archivo wireshark.pcap

3
9. ¿Cuáles 3 protocolos en capa de aplicación son observables?

R= MySQl, ssh y chat.

10. ¿Cuántas y cuáles direcciones IP distintas se identifican en las comunicaciones de este
pcap?

R=3 direcciones distintas: IP 192.168.88.46, IP 192.168.88.56 y IP 192.168.88.78

11. ¿Cuál es la conversación más grande en bytes intercambiada bajo IPv4?

entre la .46 y la .78, tuvieron intercambio de 30.3430KiB

12. ¿Cuántas conversaciones diferentes TCP hay en este pcap?

4
 Son 4, como se puede ver en la pantalla

13. En el registro 1 ¿cuál es el valor hexadecimal en el Ethernet Type?

Es 0x0800.

5
 14. En el registro 1 ¿cuál es el valor en decimal del TTL?

R=40 en hexadecimal y 64 en decimal.

15. ¿Cuál es el protocolo embebido en IP header?
R= TCP (número 6).
16. ¿Cómo ubicar el número de registro del inicio de la conversación de MySQL?
17. El servicio de MySQL ¿sobre qué versión de Ubuntu está corriendo?
R= Gutsy Gibbon.
18. ¿Cuáles son el nombre de usuario y contraseña, insertados en la tabla auth_users?

19. ¿En cuántos registros aparece la palabra pass?

R=6.
Archivo enlace.pcap

20. En el registro 1 ¿Qué acción se está realizando y por qué?

R= El anfitrión con la dirección IP 192.168.11.11 quiere enviar algunos datos. Sabe que
debe enviar estos datos a 192.168.11.11, pero no sabe la dirección MAC a la que enviarlos,
por lo que envió una solicitud de Protocolo de resolución de direcciones (ARP) para
averiguar esa información.
21. En el registro 2 ¿Cuál es la dirección MAC devuelta, como respuesta del registro anterior?
R= 00:0c:29:03:23:19

6
 22. Examine los registros 3, 4 y 5 ¿Qué está pasando en esta conversación? ¿Puede ser un
ataque? En caso afirmativo ¿qué intenta el atacante?
R=

El equipo 192.168.11.44 vuelve a preguntar por una dirección MAC; pero obtiene 2
respuestas, si puede ser un ataque, intenta hacerse pasar por un equipo conocido, que
sería el 192.168.11.111.
23. De los registros 6 al 55 ¿Cuál es la dirección MAC origen para estas solicitudes?
R= 00:07:0d:af:f4:54
24. ¿Cuál será el propósito de estas peticiones?
R= Identificar direcciones IP duplicadas.
25. En los últimos tres registros 56 al 58, ¿Qué está ocurriendo? El archivo arpwatch.txt
muestra una bitácora asociada a esta actividad.
R= Se pregunta por la dirección MAC de la ip 192.168.11.13 y es 00:0c:29:03:23:19 y
después cambia la dirección MAC a 11:22:33:44:55:66. Es decir el usuario cambio su
dirección MAC; aunque esta es una tarea compleja, no es imposible.
26. En el último registro, en la capa de ARP ¿Qué significa Gratuitous ARP?

R= Este tipo de ARP es una solicitud de ARP que por lo general viene realizada por el host
de un equipo y que normalmente se utiliza para la identificación de direcciones IP
duplicadas.

En otras palabras, lo que hace el ARP gratuito es actualizar la tabla ARP de otros
dispositivos de red y al mismo tiempo lo que hace es verificar si el host del equipo está
utilizando tu dirección IP original o si por el contrario está utilizando una dirección IP que
se encuentra duplicada.

Archivo ipv4.pcap

27. En el primer registro ¿Cuál es el valor del offset de fragmentación que está en la IP
header?

R= 20 = 00100000 +04 =04

[] Flags
[] Últimos 5 bits del byte 6.
28. En el registro 2 ¿Identifique al menos dos errores?

7
 1. La dirección IP de destino es un nombre y no una dirección IP.
2. La versión del protocolo Ip es incorrecta.
29. En el registro 3 ¿Identifique el o los errores que se presentan?
30. Los registros 5, 6 y 7 son fragmentos relacionados. ¿Qué anormalidad identifica?

Archivo fragment.pcap

31. Los dos primeros registros son fragmentos relacionados (mismas direcciones origen y
destino, mismo protocolo, mismos puertos y mismo ID). ¿Qué fragmento o fragmentos
faltan?
32. ¿Identificas algún registro que refleje la condición de error del reactivo 31? Si fuera el caso
¿qué registro sería y por qué?
33. ¿Qué error identificas en el registro 5?
34. Los registros 8 al 13 parecen anormales ¿Cuáles serían las razones?
35. ¿Cuántos registros asociados a ICMP echo request hay en el pcap?

R= 4.

Archivo wireshark-df.pcap

36. ¿Cuáles son los registros donde la consulta de nombres a DNS contiene la cadena:
glenhighland?

R=El 101.
37. ¿Cuántos registros son ARP request?
R= 16.

8
 38. ¿Cuántos registros son ARP Gratuitous?
R= 1 (El número 14).
39. Crea un nuevo archivo llamado pcap, que contenga solo paquetes asociados con el servicio
dns, llamado dns.pcap ¿Cuántos registros tiene el nuevo archivo?
R= 10

En mi caso capture del puerto 5353 ya que mi red local esta configurada con Mdns.
40. ¿Cuál es el número de registros en donde existen opciones adicionales en la IP header y
que además tiene encendido los valores “Copy into all fragments” + “Datagram control” +
“Loose source route”? Utilice la siguiente imagen como apoyo.

Sección 3: Escenario de uso reales, de las tecnologías y/o procesos usados

en la práctica.

El o los alumnos, deberán identificar y desarrollar un escenario de uso real aplicado a las
organizaciones modernas, teniendo como base tecnológica o procedimental lo utilizado en la
práctica. Se espera en esta sección, una descripción clara, factible y detallada del escenario
propuesto.

Bibliografía

9
10