Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TALLER 2
Por:
Profesor:
FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN EN CIBERSEGURIDAD
MEDELLIN
2024
TALLER EVALUATIVO 2
Tabla de Contenido
OBJETIVO ........................................................................................................................................ 3
ENUNCIADO .................................................................................................................................... 4
PAUTAS Y DESARROLLO ................................................................................................................. 5
CONCLUSIONES ............................................................................................................................ 20
REFERENCIAS BIBLIOGRÁFICAS .................................................................................................... 21
2|Página
TALLER EVALUATIVO 2
OBJETIVO
Afianzar los conceptos básicos relacionados con los tipos de amenazas, ataques y vulnerabilidades,
en el marco de la gestión del riesgo, a partir del análisis de protocolos y comportamiento del tráfico
de la red.
3|Página
TALLER EVALUATIVO 2
ENUNCIADO
Como consultor en Ciberseguridad de Redes, le han solicitado que analice el archivo PCAP anexo
(Taller2.pcapng), con el fin de determinar si se ha estado presentado alguna situación anómala en
una red corporativa.
4|Página
TALLER EVALUATIVO 2
PAUTAS Y DESARROLLO
1. ¿Cuáles son los paquetes que más se presentan en la captura? ¿Qué protocolo se observa
como el más preponderante? Indique el origen y destino de dichos paquetes.
De los 1087 paquetes que componen la totalidad de la traza, la mayor cantidad de paquetes
presentes, son los denominados “Echo request”.
El protocolo más preponderante es: ICMP
El origen de los paquetes es un equipo con IP: 192.168.153.129, ya que se visualiza es quien
envía primero la solicitud de “request”.
El destino de los paquetes es un equipo con IP: 192.168.153.130, es quien responde con un
“reply”
2. Agregue en Wireshark una columna que permita ver el campo “UTC Time date, as YY-MM-
DD, and time”.
Para realizar este proceso:
1. Se da clic en la parte superior del programa y se le da clic en “Visualizar” en la barra de
Menú.
2. Se selecciona “Formato de visualización de fecha”
3. En el Submenú se selecciona “fecha y hora de día UTC (1970-01-01 01:02:03. 123456)
5|Página
TALLER EVALUATIVO 2
3. Diríjase a la pestaña “Statistics” y escoja la opción “Capture Files Properties”. ¿Qué detalles
relacionados con el archivo de la captura podemos ver?
6|Página
TALLER EVALUATIVO 2
Detalles:
Archivo:
Nombre: Podemos observar la ubicación del archivo, su nombre y extensión.
Tamaño del archivo para el caso es: 94 Kb
Hashes: Son las llaves únicas asignadas para este archivo, en sus dos versiones SHA1 y
SHA256, los cuales cumplen su función de identificador único en el sistema.
Formato: Se repute la información de la extensión del archivo que para el caso es: pcapng,
un archivo para lectura desde wireshark.
Encapsulado: Ethernet – protocolo de capa de enlace.
Intervalo:
Podemos encontrar información la fecha y la hora en la que se ejecuto la captura de
paquetes y el tiempo que tomo; para este caso nos indica que la captura fue realizada el 18
de enero del año 2019 entre las 12:58:34 y las 13:01:29, con una duración de 00h 01m y
55s.
Captura:
En este apartado, encontramos información propia del hardware donde se ejecutó la
captura, también el sistema operativo instalado y desde que herramienta fue hecha la toma;
para el caso, se confirma que se trata de un procesador Inter core i7 con un SO Windows 10
de 64bits y la captura se realiza desde Dumpcap (Wireshark 2.6.6)
Interfaces:
Encontramos información de la interfaz de red utilizada en la captura, muestra que no se
presentó perdida de paquetes, que no se utilizó ningún filtro, que el tipo de enlace entre los
dispositivos conectados es Ethernet y por último el tamaño máximo de paquetes aceptado:
65535 bytes.
Estadísticas:
Dividido en columnas de Medida, Capturado, Mostrado y Marcado.
Encontramos detalles de los paquetes capturados: 1087, los mismos son mostrados en la
captura, con un espacio de tiempo de 115.365 y un promedio de paquetes por segundo de
9.4, con un tamaño promedio de 53 bytes para un total de 58049 bytes, finalmente nos
muestra el promedio de bytes y bits por segundo, que para el caso fueron: 503 y 4025
respectivamente.
Sin comentarios registrados en el archivo de captura.
7|Página
TALLER EVALUATIVO 2
4. ¿Ahora escoja la opción “Endpoints” y determine qué le permite determinar esta opción?
Confronte lo que ha observado con la visualización que permite la opción “conversations”.
¿Qué puede confirmar a través de esta opción?
Desde “Endpoints” podemos visualizar los equipos finales que presentaron registros en los
diferentes tipos de protocolos encontrados en la captura de paquetes; para el caso, en la pestaña
Ethernet, encontramos direcciones MAC de los equipos que hicieron uso de dicho protocolo,
igualmente para la pestaña de IPv4 que nos muestra las IP, protocolo UDP con sus respectivos
puertos empleados, entre otros y en cada uno nos muestra el numero de paquetes y btes enviados
y recibidos.
A sí vez, desde la pestaña “conversations” podemos visualizar de forma mas textual la secuencia de
comunicación empleada en la captura, como los equipos están estableciendo una comunicación a
través de los diferentes protocolos; muy similar a lo observado desde “Endpoints” pero con un grado
de detalle mayor ya que ilustra un origen un destino y la dirección en la que se hace la comunicación,
además de la información de paquetes y bytes enviados y recibidos.
5. ¿Qué nota de extraño en lo que ha logrado identificar? Tip: Use el filtro icmp.type == 8
¿Puede mejorar su apreciación con el uso de este filtro? ¿Cuántos paquetes se muestran al
aplicar este filtro?
8|Página
TALLER EVALUATIVO 2
Luego de identificar que el protocolo preponderante es ICMP y que se está ejecutando desde un
dispositivo con SO Windows, salta a la vista la primer anomalía en la captura que se está analizando;
estos paquetes no tienen “Payload” o viene con “00”, algo que no es usual ya que al replicar un envío
de paquetes bajo este protocolo en dispositivos Windows con un “Ping” se determina que el
“Payload” viene con cargado con las letras del abecedario.
Además, podemos identificar que una sección de la captura presenta error de que el destino no fue
encontrado pero el tamaño de los paquetes es aun mayor al resto, así también se identifica que en
dichas tramas, si hay presencia de data en el “Payload”.
Al ejecutar el filtro icmp.type == 8, identificamos que hay 510 paquetes echo-request enviados entre
la dirección IP 198.168.153.129 hacia el equipo 198.168.153.130.
9|Página
TALLER EVALUATIVO 2
7. Recuerde que los paquetes echo-request y echo-reply que hacen parte del protocolo ICMP,
tienen como propósito fundamental verificar conectividad a nivel de red comprobando que
un destino (host) se encuentra “vivo” en la red. Cuando se envía un paquete de petición
echo-request se recibe un echo- reply que confirma que el destino es alcanzable y se espera
que por cada paquete de petición echo-request se debe recibir un paquete de respuesta
echo-reply. Confirme de acuerdo con los resultados de los puntos 5 y 6, si se observa este
comportamiento esperado en cuánto a la cantidad de paquetes echo-request y echo-reply
contabilizados.
8. ¿La cantidad de paquetes encontrados, podría ser enviada con algún propósito?
¿Se puede caracterizar hasta aquí algún tipo de ataque?
10 | P á g i n a
TALLER EVALUATIVO 2
Mientras se consideran las técnicas de mitigación contra estos ataques, es útil agruparlos en
ataques a capas de infraestructura (Capas 3 y 4) y capas de aplicación (Capas 6 y 7).
Los ataques a las capas 3 y 4, en general, están clasificados como ataques a las capas de
infraestructura. Además, son los ataques DDoS más comunes e incluyen vectores como
inundaciones sincronizadas (SYN) y otros ataques como inundaciones de paquetes de datagramas
de usuario (UDP). Estos ataques, en general, tienen gran volumen y apuntan a sobrecargar la
capacidad del servidor de la red o de la aplicación. Pero, afortunadamente, son un tipo de ataque
que contiene firmas claras y son fáciles de detectar.
Los ataques a las capas 6 y 7 se clasifican como ataques a las capas de aplicación. Mientras que
estos ataques son menos comunes, tienden a ser más sofisticados. Estos ataques son, en general,
más pequeños en volumen en comparación con los ataques a las capas de infraestructura, pero
tienden a focalizarse en partes específicas y costosas de la aplicación e impiden que esté disponible
a los usuarios reales. Por ejemplo, una inundación de requerimientos de HTTP a una página de
inicio de sesión o a una búsqueda costosa de una API o incluso inundaciones Wordpress XML-RPC
(también conocidas como ataques pingback Wordpress). (Amazon Web Services, s.f.)
PING DE LA MUERTE, El ataque ping de la muerte (en inglés, ping of death attack), uno de los
ataques más antiguos de Internet, producía la caída inmediata de los sistemas vulnerables.
Afortunadamente, dejó de tener efecto en la mayoría de los dispositivos alrededor del año 1998.
El ataque ping of death utiliza el protocolo de mensajes de control de Internet (ICMP), aunque, en
principio, también puede emplear otros protocolos basados en IP. Puesto que los sistemas
modernos están protegidos contra el ping de la muerte, los piratas informáticos de hoy en día
tienden a utilizar, en su lugar, el emparentado ping flood para perpetrar sus ataques. (S.L.U., s.f.)
11 | P á g i n a
TALLER EVALUATIVO 2
10. Revisemos con mayor profundidad, ¿Qué contienen los paquetes en el payload (carga
útil)? Contraste el resultado hallado en el payload de los paquetes anómalos respecto a lo
que debe llevar el payload de paquetes ICMP que no han sido manipulados.
Como se había anotado en numerales anteriores, se detecta que los paquetes enviados bajo el
protocolo ICMP llegan con un “payload” sin información, pero para los paquetes enviados que se
catalogan como anómalos, es posible evidenciar que si cuentan con una data en su carga útil; el
contraste que se pudo encontrar es que en un paquete anómalo tiene el payload más grande que
los normales.
11. Como pudo apreciarse en el punto anterior, debido a la cantidad de paquetes registrados en
la captura, no es muy práctico revisar el payload de manera manual para cada uno de estos.
Por lo cual se empleará la herramienta Tshark, que puede ser instalada a través de Wireshark
al tratarse del componente que permite emplear la mayoría de las funcionalidades de la
12 | P á g i n a
TALLER EVALUATIVO 2
herramienta, pero a través de línea de comandos. En este punto es útil consultar sobre la
herramienta Tshark y cómo se emplea. Registre la consulta realizada.
https://www.wireshark.org/docs/man-pages/tshark.html
TShark, es un analizador de tráfico de red de línea de comando que permite capturar datos
de paquetes desde una red activa o paquetes de lectura de un archivo de capturas guardado
anteriormente, mediante la impresión de un formulario decodificado de dichos paquetes a
la salida estándar o mediante la escritura de los paquetes en un archivo. Sin otras opciones,
TShark funciona de forma similar al comando tcpdump y también utiliza el mismo formato
de archivo de captura activa, libpcap. Además, TShark es capaz de detectar, leer y escribir
los mismos archivos de captura que los que son compatibles con Wireshark. (oracle, 2014)
Formas de emplearlas:
- Captura de paquetes: TShark puede utilizarse para capturar paquetes de red en tiempo
real. Por ejemplo, para capturar paquetes de la interfaz de red “eth0”, usando el siguiente
comando: tshark -i eth0
- Filtrado de paquetes: TShark permite filtrar los paquetes capturados en función de varios
criterios, como protocolo, dirección IP, puerto, etc. Por ejemplo, para capturar solo los
paquetes ICMP, puedes usar el siguiente comando: tshark -i eth0 icmp
-Estadística de captura: TShark puede generar estadísticas sobre el tráfico capturado, como
el número total de paquetes, los protocolos utilizados, etc. Por ejemplo, para mostrar
estadísticas generales sobre el tráfico capturado en tiempo real en la interfaz “eth0”,
puedes usar el siguiente comando: tshark -i eth0 -qz io,stat,0,"COUNT()"
13 | P á g i n a
TALLER EVALUATIVO 2
Instalación TShark
14 | P á g i n a
TALLER EVALUATIVO 2
12. Aplique el siguiente filtro por medio de la herramienta Tshark e l cual permite obtener sólo
el payload de todos los paquetes de la captura.
Sintaxis:
Donde:
Ejemplo:
C:\Program Files\Wireshark>tshark.exe -Y data -r D:\captura.pcapng -T fields -e data
Esta imagen (Figura 8.) muestra la estadística detallada y agrupada entre el origen y el
destino ya identificados, pero se hace especial énfasis en aquellas tramas que cuenta con
data.
13. Lleve la salida del comando ejecutado en el punto anterior a un editor hexadecimal.
15 | P á g i n a
TALLER EVALUATIVO 2
16 | P á g i n a
TALLER EVALUATIVO 2
Luego del análisis realizado en los anteriores numerales y la información recolectada hasta el
momento, se confirma que en la captura de paquetes hay evidencia suficiente para determinar que
se trata de un ataque, el cual utiliza un método aparentemente inofensivo como es el ICMP, pero
que a través de paquetes debidamente manipulas es posible extraer información de la víctima; como
se ve en la (Figura 10.) a través de estos paquetes se esta enviando información como dirección IP y
las diferentes interfaces activas del equipo víctima, finalmente el nombre del usuario que se
encuentra logueado en el momento. El grupo 10, no satisfecho con lo que se puede apreciar a simple
vista con las herramientas wire shark y tshark, en medio de una labor investigativa, llega a una
17 | P á g i n a
TALLER EVALUATIVO 2
conclusión para describir el tipo de vulnerabilidad explotada, este ataque conocido como ICMP
Tunneling, utiliza la manipulación de paquetes para transmitir y receptar datos en cubierto,
aplicando pequeños cambios en la cabecera del protocolo en cuestión, haciendo que sea difícil su
detección por parte de los dispositivos de perímetro e IDS.
También, luego de la información obtenida del payload, se llega a la conclusión de que, quien inicia
la comunicación entre los equipos, no es propiamente el atacante, por el contrario, se trata de la
víctima, esto se puede entender ya que el equipo que responde a los comandos de “ipconfig” y
“whoami” es el equipo con IP 192.168.153.129, mismo quien inicia la comunicación por el protocolo
ICMP.
Luego del análisis profundo, realizado por el grupo 10 a la captura de paquetes, se concluye que hay
evidencia suficiente para demostrar el intento y ejecución exitosa de un ataque real, donde un
equipo ejecuta comandos de reconocimiento de forma remota sobre su víctima, utilizando
inicialmente una técnica conocida como “Shell reverse” la cual permite que la máquina de la víctima
que se encuentra en una red “segura”, sea quien busca la conexión al equipo del atacante en la red
externa, evadiendo de esta forma la gran mayoría de controles perimetrales y de identificación de
amenazas implementados, ya que no se efectúa una intrusión a la red; posteriormente el atacante
emplea una técnica llamada “ICMP Tunneling”, la cual permite enviar comandos e información de
manera oculta por medio de paquetes echo-request y echo-reply, haciendo una breve modificación
a la cabecera del protocolo y de esta forma lograr obtener información suficiente que le seria de
utilidad a un ente malintencionado para ejecutar un ataque dirigido con un impacto mayor, así como:
IP, sistema operativo, adaptadores de red activos, usuario y protocolo activo.
Por medio de un protocolo aparentemente inofensivo como lo es ICMP, utilizado comúnmente para
hacer “ping” e identificar si el destino implicado esta activo y tiene comunicación con el origen,
también es posible llevar a cabo ejecución de código malicioso en el dispositivo de destino.
Comando y control es una técnica utilizada para por entes maliciosos para hacerse del control del
equipo objetivo o destino sin ser detectados por el usuario o los dispositivos de seguridad que
protegen el dispositivo final, dicha técnica se puede ejecutar de múltiples formas, obteniendo
diferentes niveles de sigilo dependiendo de la estructura de la res y sus defensas.
Técnica: Tunelización.
18 | P á g i n a
TALLER EVALUATIVO 2
Se confirma que se trata de un ataque de tipo activo, ya que se aprovecha una vulnerabilidad luego
de ejecutar múltiples peticiones a la víctima, logrando así, hacerse con el acceso y control de un
sistema objetivo.
16.3 ¿A cuál amenaza está expuesta la red corporativa donde fue llevada a cabo la captura del
tráfico de red?
Con base a “Cyber Threat Source Descriptions CISA.pdf”, el grupo de analistas 10, llega a la
conclusión de que se trata de un atacante interno, conocido técnicamente como un “incider”, dicho
ente puede llegar a ser el eslabón más débil y delicado de la cadena, ya que no necesariamente
puede ser con intensión explicita ya que en la mayoría de casos en los que se evidencia que el error
cometido es humano y ejecutado de manera interna se ha comprobado que se ejecuta por
desconocimiento del implicado, también por otros motivos como descontento, fraude o espionaje
comercial. Por esta razón optamos por pensar que se trata de un “incider” el responsable del ataque
descrito en la captura de paquetes, también tomando como referencia que los equipos implicados,
se encuentran en la misma red. Nota: Cabe aclarar que esto ultimo puede estar relacionado con que
se trata de un ejercicio netamente académico.
Para el caso se puede concluir que se vulnero el escenario de confidencialidad ya que se confirma
una intrusión al equipo de la victima ejecutando diferentes comandos que revelan información
confidencial de la red y el dispositivo final.
Se sugiere deshabilitar o bloquear todos aquellos servicios propios de los sistemas operativos que
no son verdaderamente necesarios, una política de mínimo privilegio, se ajusta propiamente a este
control, en donde, si no es estrictamente necesario contar con la habilitación de un puerto es
mejor optar por la des habilitación del mismo o estudiar la posibilidad e modificarlo por medio de
dispositivos externos como un firewall para que este sea accedido por un puerto efímero, alejado
de los puertos conocidos.
También sugerimos como control al ataque identificado en la captura, que se fomente de manera
activa la educación en ciberseguridad para los empleados de la organización, acorde a los
diferentes niveles, roles y privilegios en los diferentes cargos, con la finalidad de reducir riesgo de
materialización de un ataque de ingeniería social.
19 | P á g i n a
TALLER EVALUATIVO 2
CONCLUSIONES
20 | P á g i n a
TALLER EVALUATIVO 2
REFERENCIAS BIBLIOGRÁFICAS
Carlos, L.(2023). ”Guía Rápida de Wireshark: todos los comandos, filtros y sintaxis”.
https://achirou.com/guia-rapida-de-wireshark-todos-los-comandos-filtros-y-sintaxis/.
”. https://www.cloudflare.com/es-es/learning/ddos/glossary/denial-of-service/
21 | P á g i n a
TALLER EVALUATIVO 2
ORACLE. (2014).” Análisis del tráfico de red con analizadores TShark y Wireshar”.
https://docs.oracle.com/cd/E56339_01/html/E53800/gncns.html
Busindre.(2020)“guia_del_sniffer_tshark_wireshark_en_modo_texto.txt ”.
https://www.busindre.com/guia_del_sniffer_tshark_wireshark_en_modo_texto.
22 | P á g i n a