ESPECIALIZACIÓN EN CIBERSEGURIDAD CIBERSEGURIDAD

EN REDES
TALLER EVALUATIVO 2 (15%). AMENAZAS Y ATAQUES.

OBJETIVO. Afianzar los conceptos básicos relacionados con los tipos de amenazas, ataques
y vulnerabilidades, en el marco de la gestión del riesgo, a partir del análisis de protocolos y
comportamiento del tráfico de la red.

GUÍA DE EJECUCIÓN.

1. Elementos evaluativos.

Debe entregarse un documento con el informe escrito.

2. Fecha y hora máximas de entrega:

17/03/2024 23:30 horas. (A través de la plataforma campusvirtual.itm.edu.co).

3. Trate de obtener la mayor parte de información relevante, debidamente analizada, que

le permita responder a las preguntas que se plantean en el enunciado. (15%)

4. Todas las respuestas deben estar debidamente justificadas y

sustentadas con imágenes de los análisis y resultados obtenidos. Las
imágenes deben estar numeradas y llevar un título según corresponda. (15%)

5. El informe debe incluir:

• Portada. (5%)
• Desarrollo de los puntos enumerados en las pautas, en el contexto del enunciado
planteado.
• Conclusiones Relevantes. (Mínimo 3) (15%)
• Referencias bibliográficas. (5%)

ENUNCIADO
Como consultor en Ciberseguridad de Redes, le han solicitado que analice el archivo PCAP
anexo (Taller2.pcapng), con el fin de determinar si se ha estado presentado alguna situación
anómala en una red corporativa.

Pautas. (Valor puntos 1 al 15: 15%)

1. ¿Cuáles son los paquetes que más se presentan en la captura?
¿Qué protocolo se observa como el más preponderante? Indique el origen y
destino de dichos paquetes.
R//. Los paquetes que mas se presentan en la captura son de protocolo:
-ICMP con 1016 paquetes.

-Protocolo ARP con 46 paquetes

-Protocolo NBNS con 9 paquetes

- Protocolo NTP con 8 paquetes

-Protocolo SSDP con 4 paquetes

-Protocolo DB-LSP-DISC con 4 paquetes

El protocolo que se observa como el más preponderante es el ICMP con 1016

Paquetes. Con ip de origen 192.168.153.130 y destino 192.168.153.129.
2. Agregue en Wireshark una columna que permita ver el campo “UTC Time date,
as YY-MM-DD, and time”.
R//. Para realizar este proceso:
1. Se da clic en la parte superior del programa y se le da clic en “Visualizar” en la
barra de Menú.
2. Se selecciona “Formato de visualización de fecha”
3. En el Submenú se selecciona “fecha y hora de día UTC (1970-01-01 01:02:03.
123456)
3. Diríjase a la pestaña “Statistics” y escoja la opción “Capture Files Properties”.
¿Qué detalles relacionados con el archivo de la captura podemos ver?
 Los detalles que se pueden encontrar con relación a la captura es que muestra el total del
numero de paquetes, el total de Bytes, tiempo transcurrido del primer y último paquete.

4. ¿Ahora escoja la opción “Endpoints” y determine qué le permite determinar

esta opción? Confronte lo que ha observado con la visualización que permite la
opción “conversations”. ¿Qué puede confirmar a través de esta opción?

R. La opción “Endpoints” permite determinar varios aspectos sobre la comunicación

de la captura, los cuales se pueden identificar:

-Direcciones IP´s que están siendo utilizadas en la comunicación en “Ethernet 2, en

este caso se encontró las siguientes direcciones (00:0c:29:1f:85:33 y 00:0c:29:
d8:3c:42) en IPv4 (192.168.153.129 y 192.168.153.130).

-Protocolos que están siendo utilizados en este caso son: Ethernet y IPv4.

-Porcentaje infiltrado, donde se puede notar que su porcentaje es muy alto con un
poco mas de 97% en ethernet y más 99% en Ipv4.

-Paquetes

Ethernet
IPv4

En la opción “conversaciones” es muy similar a la de “Endpoint” ya que

permite observa los mismos campos. Lo cual permite analizar las
conversaciones de red entre diferentes “Endpoints” de la captura.
5. ¿Qué nota de extraño en lo que ha logrado identificar? Tip: Use el filtro
icmp.type == 8
¿Puede mejorar su apreciación con el uso de este filtro?
¿Cuántos paquetes se muestran al aplicar este filtro?
R//.

Lo que se ha logrado observar es que un paquete del protocolo IPv4 con el ip de origen
192.168.153.129 y destino 192.168.153.130 tienen un alto porcentaje de infiltración.
6. De forma similar al punto anterior, aplique el filtro icmp.type == 0
Complemente sus hallazgos, con base en este filtro.
¿Cuántos paquetes se muestran al aplicar este filtro?
7. Recuerde que los paquetes echo-request y echo-reply que hacen parte del protocolo
ICMP, tienen como propósito fundamental verificar conectividad a nivel de red
comprobando que un destino (host) se encuentra “vivo” en la red. Cuando se envía un
paquete de petición echo-request se recibe un echo- reply que confirma que el destino
es alcanzable y se espera que por cada paquete de petición echo-request se debe
 recibir un paquete de respuesta echo-reply. Confirme de acuerdo con los resultados
de los puntos 5 y 6, si se observa este comportamiento esperado en cuánto a la
cantidad de paquetes echo-request y echo-reply contabilizados.
8. ¿La cantidad de paquetes encontrados, podría ser enviada con algún propósito? ¿Se
puede caracterizar hasta aquí algún tipo de ataque?
9. Consulte que es un “DOS Attack” y qué es un “ping de la muerte”.
10. Revisemos con mayor profundidad, ¿qué contienen los paquetes en el payload (carga
útil)? Contraste el resultado hallado en el payload de los
 paquetes anómalos respecto a lo que debe llevar el payload de paquetes ICMP que no
han sido manipulados.
11. Como pudo apreciarse en el punto anterior, debido a la cantidad de paquetes
registrados en la captura, no es muy práctico revisar el payload de manera manual
para cada uno de estos. Por lo cual se empleará la herramienta Tshark, que puede ser
instalada a través de Wireshark al tratarse del componente que permite emplear la
mayoría de las funcionalidades de la herramienta, pero a través de línea de comandos.
En este punto es útil consultar sobre la herramienta Tshark y cómo se emplea.
Registre la consulta realizada.

12. Aplique el siguiente filtro por medio de la herramienta Tshark el cual permite obtener
sólo el payload de todos los paquetes de la captura.
Sintaxis:
tshark.exe -Y data -r <path_capture_file> -T fields -e data Donde:
OPCIÓN PARÁMETRO DESCRIPCIÓN
-Y data (display filter) Tipo de filtro
-r <path_capture_file> (in file) Especifica la ruta de la captura
(format of text output) Indica el tipo de formato que se requiere
-T fields
imprimir en el resultado
(field to print if -T fields selected) Determina cuáles campos
-e data
serán impresos en el resultado

Ejemplo:
C:\Program Files\Wireshark>tshark.exe -Y data -r D:\captura.pcapng -T fields -e data

13. Lleve la salida del comando ejecutado en el punto anterior a un editor hexadecimal.
Se recomienda emplear Notepad++, el cuál puede descargarse desde:

https://notepad-plus-plus.org/downloads/
14. Realice la conversión de hexadecimal a ASCII. En Notepad++ se realiza a través de
las opciones Plug-ins -> Converter -> HEX—ASCII.
15. Analice los resultados.
16. Establezca la situación presentada para la cual fue contratado: (30%)
16.1. ¿Qué tipo de ataque fue llevado a cabo?
La respuesta debe alinearse con el Framewark de tácticas de ataque de MITRE
https://attack.mitre.org/ indicando la táctica del ataque, la técnica y la sub-técnica.

16.2. ¿Este ataque es del tipo pasivo o activo? Justifique su respuesta.

16.3. ¿A cuál amenaza está expuesta la red corporativa donde fue llevada a cabo la
captura del tráfico de red?
(Debe alinearse con las amenazas enumeradas en el documento “Cyber Threat Source
Descriptions CISA.pdf” que se encuentra como documento adjunto en la sección de
asignación del Taller #2 de la plataforma.

16.4. ¿Qué escenario de riesgo fue materializado?

16.5. Proponga dos medidas (controles) diferentes que pudieran implementarse en

dicha red corporativa con el propósito de evitar que una situación como la detectada
se vuelva a presentar.