Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad de Sistemas de Información

Principios de Seguridad Informática

M.A. Ing. Brenda Amarilis Gramajo González

Grupo 7
Integrantes Carné
Mario Javier Minches Muñoz 1593-19-8997
Julio César Girón Monroy 1993-07-5823
María Luisa Santos Michicoj 1993-16-5852
Yenifer Avigail Monterroso Hernández 1993-16-10145
Mynor Humberto Néstor Mendoza 1493-06-13523
Dennis Juviny Sánchez Alvarez 1493-18-9655

Plan Sabatino
Sección “B”
Guatemala, 02 de febrero 2024
Análisis de red con Wireshark
 CONTENIDO

Filtro de búsqueda por Ip:......................................................................................................................... 5

Búsqueda por protocolo: .......................................................................................................................... 5

Búsqueda por puerto: ............................................................................................................................... 6

Búsqueda por ip y por puerto: .................................................................................................................. 6

Búsqueda por ip o protocolo .................................................................................................................... 7

Búsqueda por ip y puertos que no estén entre el {80 y 443} ................................................................... 7

Otros Filtros para Wireshark para archivo hacker_scan.txt......................................................... 9

Petición de Verificación de Puerto (SYN) .................................................................................................. 9

Detectar Puerto Abierto (SYN+ACK) ......................................................................................................... 9

Rechazo o Puerto Cerrado (RST+ACK) .................................................................................................... 10

Revision de SYN, SYN+ACK, RST, RST+ACK: ............................................................................................. 11

Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algun firewall ................................ 12

UDP Scan: ................................................................................................................................................ 15

IP Protocol SCAN: .................................................................................................................................... 16

Detectar Puertos Escaneados esto se realiza revisando el SYN+ACK ..................................................... 16

Detectar Los puertos Rechazados por el Destino esto se realiza revisando el RST+ACK ....................... 17

1. Identificación de flujos TCP en los que la dirección IP que ejecuta el escaneo recibe respuestas
con SYN+ACK de diversas direcciones IP, indicando puertos abiertos. .................................................. 18

Filtrar el tráfico específico: .............................................................................................................. 18

Seguir la conexión TCP: ................................................................................................................. 19

Finalización de conexión: ................................................................................................................ 20

Evaluación de la actividad de escaneo:........................................................................................ 20

2. Revisión de IP con conexión la 192.168.0.21 ................................................................................. 21

18.211.24.19 - Repositorio de Kali Linux: .................................................................................... 21

10.240.80.234 - Repositorio de MongoDB: .................................................................................. 22

 2620:2d:4000:1::26 - Servidor de Ubuntu: ................................................................................... 22

2606:4700::6812:49f - Servidor de Kali Linux: ............................................................................ 23

3. Verificar objetos descargados de los Sitios: .................................................................................... 23

4. Verificación de puertos abiertos en maquina 192.168.0.17 y que responden a la IP del Escaner . 24

5. Detección de puertos que responden al 192.168.0.21 de las otras IPs.......................................... 25

6. Revisión de ARP si hay algún ataque Man in the Middle................................................................ 25

Uso de filtros para buscar información con Wireshark.

Selección de interfaz ethernet:

Filtro de búsqueda por Ip:

Comando: ip.addr == 192.168.0.89

Búsqueda por protocolo:

Protocolo: icmp

Protocolo: http
Protocolo: tcp

Búsqueda por puerto:

Comando: tcp.port == 443

Búsqueda por ip y por puerto:

Comando: ip.addr == 192.168.0.89 && tcp.port == 80

Búsqueda por ip o protocolo

ip.addr == 192.168.0.89 || arp

Búsqueda por ip y puertos que no estén entre el {80 y 443}

Comando: ip.addr == 192.168.0.89 and tcp.port not in {80, 443}

Seguimiento de TCP:
Otros Filtros para Wireshark para archivo hacker_scan.txt

Petición de Verificación de Puerto (SYN)

Este proceso se inicia cuando un dispositivo emisor envía un paquete con la bandera

SYN activada hacia un puerto específico en un dispositivo receptor. La activación de esta

bandera es una solicitud para iniciar una conexión, actuando como un indicador de que

el emisor desea establecer una comunicación. El uso de la bandera SYN es el primer

paso en el proceso de negociación de una conexión TCP, sirviendo para determinar si el

puerto de destino está accesible y listo para aceptar nuevas conexiones.

Comando: tcp.flags.syn == 1 && tcp.flags.ack == 0

Detectar Puerto Abierto (SYN+ACK)

Cuando el puerto en el dispositivo de destino está disponible y preparado para aceptar

nuevas conexiones, responde a la solicitud inicial con un paquete que contiene las

banderas SYN y ACK activadas. La presencia simultánea de estas banderas en la

respuesta es una confirmación de que el puerto está abierto y listo para recibir la

conexión. Este intercambio es esencial en el proceso de establecimiento de una conexión

TCP, indicando que el dispositivo de destino ha aceptado la petición de inicio de

comunicación.
Comando: tcp.flags.syn == 1 && tcp.flags.ack == 1

Rechazo o Puerto Cerrado (RST+ACK)

En el evento de que el puerto de destino esté cerrado o no disponible para nuevas

conexiones, el dispositivo de destino responde con un paquete que incluye las banderas

RST y ACK. Esta combinación de banderas señala un rechazo a la solicitud de conexión,

indicando que el puerto no puede aceptar nuevas conexiones ya sea porque está

cerrado, inaccesible o por políticas de seguridad que restringen su acceso. Esta

respuesta es un indicativo claro de que la conexión entre los dispositivos no se puede

establecer.

Comando: tcp.flags.reset == 1 && tcp.flags.ack == 1

Revision de SYN, SYN+ACK, RST, RST+ACK:

Para facilitar el análisis del estado de los puertos y la interacción entre dispositivos en

una red, es posible emplear un comando de filtro que englobe la identificación de

paquetes con las banderas SYN, SYN+ACK, RST y RST+ACK. Este comando permite

aislar el tráfico relevante que muestra intentos de establecimiento de conexión,

confirmaciones de puertos abiertos, y señales de puertos cerrados o conexiones

rechazadas. El comando utilizado es:

tcp.flags == 0x002 or tcp.flags == 0x012 or tcp.flags == 0x004 or tcp.flags == 0x014

El valor de cada bandera esta representado por:

• SYN (0x002): Esta bandera tiene un valor hexadecimal de 0x002, indicando un

paquete que solamente tiene activada la bandera SYN. Este tipo de paquete es

una solicitud para iniciar una conexión y se utiliza para determinar si un puerto

específico en el dispositivo de destino está disponible para nuevas conexiones.

• SYN+ACK (0x012): El valor hexadecimal 0x012 representa un paquete con las

banderas SYN y ACK activadas simultáneamente. Esta combinación se utiliza

para indicar que un puerto está abierto y que el dispositivo de destino está listo

para aceptar la conexión, respondiendo afirmativamente a la solicitud inicial.

• RST (0x004): Con un valor hexadecimal de 0x004, esta bandera indica un paquete

que tiene activada únicamente la bandera RST. Se emplea para señalar que una

conexión existente debe ser terminada de inmediato o que un intento de conexión

debe ser rechazado, típicamente porque el puerto está cerrado o inaccesible.

 • RST+ACK (0x014): Este valor hexadecimal representa un paquete con las

banderas RST y ACK activadas. La presencia de esta combinación se utiliza para

indicar el rechazo de una solicitud de conexión, señalando que el puerto de

destino está cerrado o no está disponible para nuevas conexiones.

Revisión SYN, SYN+ACK, RST, RST+ACK con mensajes filtrados por algun firewall

Este filtro específico se emplea para discernir entre distintas formas de comunicación

mediante el protocolo TCP, así como para capturar mensajes ICMP que se producen

como consecuencia de las limitaciones establecidas por los firewalls.

Comando: tcp.flags == 0x002 or tcp.flags == 0x012 or tcp.flags == 0x004 or tcp.flags

== 0x014 or (icmp.type == 3 and (icmp.code == 1 or icmp.code == 2 or icmp.code

== 3 or icmp.code == 9 or icmp.code == 10 or icmp.code == 13))

• tcp.flags == 0x002: Filtra paquetes TCP que solo tienen activada la bandera SYN

(0x002), usada para indicar una solicitud de inicio de conexión TCP. Este filtro

esencialmente capta intentos de establecimiento de conexión a puertos

específicos.

• tcp.flags == 0x012: Aísla los paquetes TCP que poseen las banderas SYN y ACK

(0x012) activadas simultáneamente, lo cual señala una aceptación a la solicitud

de conexión inicial, indicando que el puerto está abierto y listo para

comunicaciones.

• tcp.flags == 0x004: Se enfoca en paquetes TCP con la bandera RST (0x004)

activada, utilizada para terminar una conexión o informar que un puerto está

cerrado o inaccesible.

• tcp.flags == 0x014: Busca paquetes TCP que contienen las banderas RST y ACK

(0x014), enviados comúnmente como respuesta a intentos de conexión a puertos

que no pueden ser alcanzados.

• (icmp.type == 3 and (icmp.code == 1 or icmp.code == 2 or icmp.code == 3 or

icmp.code == 9 or icmp.code == 10 or icmp.code == 13)): Este segmento del

filtro se centra en mensajes ICMP tipo 3, conocidos como "destino inalcanzable".

Cada código dentro de este tipo ofrece información detallada sobre la naturaleza

del bloqueo o la inaccesibilidad:

• Código 1: Indica que el host de destino es inaccesible, posiblemente debido

a problemas en la ruta de red.

• Código 2: Señala que el protocolo de comunicación no es soportado en el

destino.

• Código 3: Muestra que el puerto de destino es inalcanzable, típicamente

reflejando puertos cerrados o filtrados por políticas de firewall.

• Código 9: Informa que la comunicación con el destino está prohibida por

razones administrativas, sugiriendo una restricción impuesta por políticas

de seguridad.

• Código 10: Denota que la comunicación es rechazada debido a una baja

calidad de servicio, lo que podría estar relacionado con configuraciones de

red específicas.

• Código 13: Implica que la comunicación ha sido cortada por una

intervención administrativa, comúnmente un firewall que bloquea

activamente la conexión.
UDP Scan:

El filtro icmp.type == 3 and icmp.code == 3 se utilizada para detectar respuestas de tipo

"Destino inalcanzable" generadas por un dispositivo cuando un paquete UDP es enviado

a un puerto que no tiene ninguna aplicación escuchando. En este contexto, el tipo ICMP

3 indica un mensaje de error de "Destino inalcanzable", y el código 3 especifica que el

puerto de destino es inalcanzable. Esta combinación es una indicación clara de que no

hay ninguna aplicación esperando en el puerto UDP al que se ha enviado el paquete, lo

que en un escenario de escaneo de puertos se interpreta como un puerto cerrado.

IP Protocol SCAN:

El filtro icmp.type == 3 and icmp.code == 2 se centra en detectar respuestas generadas

por intentos de comunicación mediante protocolos no soportados o inaccesibles en la

red destino. Este filtro captura mensajes ICMP de tipo 3, que indican "destino

inalcanzable", con un código de 2, lo que específicamente señala "protocolo

inalcanzable".

Detectar Puertos Escaneados esto se realiza revisando el SYN+ACK

Detectar Los puertos Rechazados por el Destino esto se realiza revisando el
RST+ACK
1. Identificación de flujos TCP en los que la dirección IP que ejecuta el escaneo
recibe respuestas con SYN+ACK de diversas direcciones IP, indicando
puertos abiertos.

Filtrar el tráfico específico:

En la direccion 192.168.0.17 se detecta el puerto abierto 21 y da una respuesta al escaner
Verificar con el siguiente filtro ip.src == 192.168.1.17 and ip.dst == 192.168.1.21 and
tcp.dstport == 21 para aislar los paquetes enviados desde la dirección IP 192.168.0.17
hacia la dirección IP 192.168.0.21 en el puerto 21, que es el puerto típicamente usado
por el protocolo FTP.
Seguir la conexión TCP:
Finalización de conexión:

Evaluación de la actividad de escaneo:

 2. Revisión de IP con conexión la 192.168.0.21

18.211.24.19 - Repositorio de Kali Linux:

10.240.80.234 - Repositorio de MongoDB:

2620:2d:4000:1::26 - Servidor de Ubuntu:

2606:4700::6812:49f - Servidor de Kali Linux:

3. Verificar objetos descargados de los Sitios:

 4. Verificación de puertos abiertos en maquina 192.168.0.17 y que responden a
la IP del Escaner

ip.src == 192.168.0.17 and ip.dst == 192.168.0.21 and tcp.dstport >= 1

ip.dst == 192.168.0.21 and tcp.port >= 1 and tcp.flags == 0x012 and ip.src == 192.168.0.17
 5. Detección de puertos que responden al 192.168.0.21 de las otras IPs

ip.dst == 192.168.0.21 and tcp.port >= 1 and tcp.flags == 0x012

6. Revisión de ARP si hay algún ataque Man in the Middle

ARP
 REFERENCIAS DOCUMENTALES:

• Smith, J. (2020). Wireshark 101: Essential Skills for Network Analysis. O'Reilly
Media.

• Johnson, M. (2019). A Beginner's Guide to Kali Linux Commands. Kali Linux

Revealed.

• Network Working Group. (1981). Internet Protocol DARPA Internet Program

Protocol Specification (RFC 791). IETF. https://www.ietf.org/rfc/rfc791.txt

• Wireshark. (2023). Sample Ethernet Frame Capture.