Análisis de tráfico de red (página 2)

Partes: 1, 2

13
Introducción a TCPDump/WindumpSniffers – Escuchas electrónicas
Definición
Sniffer es un método de ataque pasivo por medio del cual un equipo captura información que circula de un medio físico, independientemente de si ésta se encuentra destinada a su MAC. Tomado de: www.hackersinc.com/hacking/sniffers.html
Objetivos
Observar los patrones del tráfico de la red.
Identificar las direcciones IP origen y destino de los paquetes IP.
Determinar relaciones entre máquinas y servicios.
Capturar información crítica que permita el acceso a otros recursos de la red.
Capturar información confidencial que circula a través de la red.
Obtener información sin generar rastros.

14
Introducción a TCPDump/WindumpWindump
Consideraciones
Sniffer para Windows, creado en el Instituto Politécnico de Torino en Italia. Http://netgroup-serv.polito.it/windump
Captura:
UDP, ICMP, ARP, TCP
http, snmp, nntp, pop, ftp, imap (internet message access protocol)
Requisitos de instalación
Packet Driver – Según si es NT o 2000
Ejecutable: windump.exe
Sintáxis
windump -n -S -v
-n Mostar la dirección IP en lugar del nombre del equipo
-S Mostrar número de secuencia
-v Verbose
windump host < nombre_equipo>
Sólo revisa el tráfico desde y hacia el host descrito.

15
Introducción a TCPDump/WindumpWindump
Convenciones

13:50:13.205539 ATTACK01-093695.1363 > gserv.zdnet.com.80: F 27982697:27982697(0) ack 1496615818 win 8553 (DF)

Estampilla de tiempo: 13:50:13.205539
IP y Puerto fuente: ATTACK01-093695.1363
IP y puerto destino: gserv.zdnet.com.80
F 27982697:27982697(0) ack 1496615818
F Flag de fin de transmisión
27982697:27982697(0) Número de secuencia.(0) No datos
ack 1496615818: Acuse en sincronización esperado

win 8553: Tamaño de la ventana.
Don't Fragment Bit Presente?: (DF)

Patrones de tráfico de Red

17
Patrones de tráficoNormales
FTP

1. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: S 1884312222:1884312222(0)
2. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: S 3113925437: 3113925437 (0)
ack 1884312223
3. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 1

4. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: P 1:24 (23) ack 1
5. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 24

Conexión FTP
Sincronización de tres sentidos – (1,2,3)
Transmisión de mensaje de bienvenida – (4, 5)

18
Patrones de tráficoNormales
DNS

– Solicitud de resolución de la dirección www.sans.org

1. host.my.com.1716 > dns.my.com.53: 1+ (35)
2. dns.my.com.53 > h.root-servers.net.53: 12420 (30) (DF)
3. h.root-servers.net.53>dns.my.com.53: 12420 – 0/3/3 (153) (DF)
4. dns.my.com.53>server1.sans.org.53 12421+ (30) (DF)
5. server1.sans.org.53> dns.my.com.53:12421* 1/3/3 (172)
6. dns.my.com.53>host.my.com.1716: 1* 1/3/3
Tráfico tomado de: Northcutt y Novak (2001) Pág. 100.

1. Host.my.com efectúa petición para resolver la dirección www.sans.org. UDP de 35 bytes
2. Dns.my.com intenta conexión por el puerto 53 con h.root-servers.net por el puerto 53. UDP de 30 bytes. No. petición 12420
3. h.root-servers.net no obtiene respuesta a la petición (0/3/3) 0 registros de respuesta, tres registros autorizados y otros tres adiconales.
4. Se obtiene referencia a otro servidor DNS (server1.sans.org) que tiene la respuesta. No. petición:12421. Solicita recursión (signo +)
5. server1.sans.org es el servidor autorizado que tiene la respuesta. El (* ) Significa que es una respuesta autorizada.
6. dns.my.com responde a host.my.com, con la dirección IP de www.sans.org (no se ve aqui) mas los tres registros autorizados y los adicionales.

19
Patrones de tráficoNormales
PING – ICMP

13:50:14.056364 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:14.060145 otro.victim.net > otro0304.victim.net: icmp: echo reply
13:50:15.066611 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:15.153021 otro.victim.net > otro0304.victim.net: icmp: echo reply
13:50:16.040259 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:16.043643 otro.victim.net > otro0304.victim.net: icmp: echo reply

Máquina arriba
Ejecución del comando ping otro.victim.net

20
Patrones de tráficoNormales
TELNET

1. maq1.net.39904 > victim.com.23: S 733381829: 733381829 (0) win 8760 < mss 1460> (DF)
2. victim.com.23 > maq1.net.39904: S 1192930639: 1192930639 (0) ack 733381830 win 1024 < mss 1460> (DF)
3. maq1.net.39904 > victim.com.23: . ack 1win 8760 (DF)
4. maq1.net.39904 > victim.com.23 : P 1:28(27) ack 1 win 8760 (DF)
5. victim.com.23 > maq1.net.39904 : P 1:14(13) ack 1 win 1024
6. victim.com.23 > maq1.net.39904 : P 14:23(9) ack 28 win 1024

1, 2, 3 Sincronización de tres sentidos
4. La máquina maq1.net enviando 27 bytes de datos a victim.com.23. 28 representa el siguiente byte que se espera.
5. La máquina victim.com.23 envia 13 bytes y acuse de recibo de los primeros datos.
6. Envío de la máquina victim.com.23 envía 9 bytes adicionales y se efectúa un ACK 28 ya que el byte 28 es el que se espera.

21
Patrones de tráficoNormales
ARP

13:50:17.384288 arp who-has LK01-112322 tell otra.victim.net
13:50:17.406848 arp who-has LK01-112322 tell info.victim.net
13:50:17.410944 arp who-has COLASRV tell xxx.victim.net
13:50:17.436873 arp who-has LK01-112297 tell LK01-112322
13:50:17.530452 arp who-has 172.23.1.1 tell 172.23.1.6
13:50:17.547320 arp who-has INFOGER tell info.victim.net
13:50:17.700603 arp who-has 172.16.103.10 tell DCO-01084202
13:50:18.017876 arp who-has LP01-10213 tell info.victim.net

Preguntas de reconocimiento de máquinas en una red LAN. Particularmente en una red NT.

22
Patrones de tráficoAnormales (An) – Ataques (At)
At – Land Attack

13:50:17.384288 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.406848 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.410944 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.436873 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.530452 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46

Efecto
Negación de servicio sobre Microsoft NT 4.0 SP.4
Explicación:
Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que aparece como si un RPC server envía datos erróneos a otro RPC server. El segundo servidor rechaza (REJECT) el paquete y el primer servidor responde con otro REJECT, creando un loop infinito que compromete la red.

23
Patrones de tráficoAnormales (An) – Ataques (At)
At – Smurf Attack

13:50:17.384288 179.135.168.43 > 256.256.30.255: icmp echo request (DF)
13:50:17.406848 68.90.226.250 > 256.256.30.255: icmp echo request (DF)
13:50:17.410944 138.98.10.247 > 256.256.30.255: icmp echo request (DF)
13:50:17.436873 130.113.202.100 > 256.256.30.255: icmp echo request (DF)
13:50:17.530452 171.1.55.45 > 256.256.30.255: icmp echo request (DF)
13:50:17.550424 174.30.0.46 > 256.256.30.255: icmp echo request (DF)

Efecto
Negación de servicio sobre una red. Generalmente la dirección destino de los paquetes es una dirección broadcast.
Explicación:
Los atacantes crean paquetes donde no utilizan su dirección IP, sino que crean paquetes con direcciones suplantadas. Cuando las máquinas en el sitio intermediario respondan al ICMP echo request, ellos responden al computador víctima. Se presenta congestión en la red y el computador víctima se degrada.

24
Patrones de tráficoAnormales (An) – Ataques (At)
At – Predicción de secuencia

13:50:17.384288 apollo.it.luc.edu.1000 > x-terminal.shell: S 1382726990: 1382726990(0) win 4096
13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.1000: S 2021824000: 2021824000(0) ack 1382726991 win 4096
13:50:17.410944 apollo.it.luc.edu.1000 > x-terminal.shell: R 1382726991: 1382726991(0) win 0

13:50:17.414288 apollo.it.luc.edu.999 > x-terminal.shell: S 1382726991: 1382726991(0) win 4096
13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.999: S 2021952000: 2021952000(0) ack 1382726992 win 4096
13:50:17.410944 apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992: 1382726992(0) win 0
Efecto
Si efectuamos la resta entre 2021824000 – 2021952000, tenemos como resultado 128.000. Con esto podemos predicir la respuesta de una conexión y la capacidad de silenciar un lado, podemos invadir una sesión entre dos máquinas
Explicación:
Esta es la fase preliminar de un ataque. Mientras se efectúa un SYN Flood, el servidor se congestiona, se utiliza la relación de confianza que se tenga para efectuar la conexión.

25
Patrones de tráficoAnormales (An) – Ataques (At)
An – Exploración Web extraña

x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440
x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440
x.y.y.7395 > 172.20.3.0.80: S 1059077568: 1059077568(0) win 61440
x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440

Efecto
Esta exploración busca identificar servidores WEB.
Explicación:
El envío de paquetes a la dirección 0 para tratar de difundir el paquete en ese segmento. Sin embargo, la difusión de paquetes se aplica a protocolos UDP. Por tanto, el envio de paquetes SYN a las direcciones .0 y .255 se interpreta como una dirección única y ningún host responderá esta petición.

Firmas y Filtros

27
Firmas y Filtros
Conceptos
Firma
Define o describe un patrón de tráfico de interés. Está presente en el tráfico y la idea es encontrarlas y entenderlas.
Filtros
Si podemos entender los patrones, podemos crear filtros. El filtro transcribe la descripción de la firma, bien en código legible por una máquina o en las tablas de consulta para que un sensor pueda identificar el tráfico.
Intrusion Detection Systems
Tipos de software de acuerdo con el Tipo de análisis
Basados en firmas
Basados en estadísticas
Basados en análisis de integridad.
Base de datos de firmas
http://whitehats.com, http://www.snort.org

28
Limitaciones de las firmas

Falsos positivos Vs. Falsos negativos
Falso Positivo
Tráfico de red que aparentemente parece malicioso cuando realmente no lo es.
Falso Negativo
Tráfico de red que aparentemente parece normal cuando realmente se está materializando un ataque.
Implicaciones
Requieren correlación de otras fuentes para verificar si el tráfico normal o no.
Actualización permanente de nuevos patrones.
Personal especializado y entrenado en análisis de tráfico.
Aumentan sustancialmente la ventana de exposición.
Las firmas son susceptibles de ser manipuladas y falseadas, para confundir al IDS.

Ejercicios de Análisis

30
Ejercicios

El siguiente tráfico corresponde a una fragmentación patológica de paquetes. Cuando se reemsamblan los paquetes cuál es tamaño total del paquete?

08:22:49.388906 thumper > 192.168.38.5: icmp echo request (frag 4321:1480@0+)
08:22:49.389005 thumper > 192.168.38.5: (frag 4321:1480@1480+)
08:22:49.389050 thumper > 192.168.38.5: (frag 4321:1480@2960+)
..
08:22:49.425543 thumper > 192.168.38.5: (frag 4321:1480@63640+)
08:22:49.425753 thumper > 192.168.38.5: (frag 4321:1480@65120)

a. 65120
b. 1480
c. 4321
d. 66600
e. Ninguno de los anteriores

31
Ejercicios

Considere el siguiente tráfico de red. Este tráfico corresponde a:

13:10:33.281198 attack.ip.one.0 > 192.168.26.203.143: SF 374079488: 374079488(0) win 512
13:10:33.334983 attack.ip.one.0>192.168.24.209.143: SF 374079488: 374079488(0) win 512
13:10:33.357565 attack.ip.one.0>192.168.17.197.143: SF 374079488: 374079488(0) win 512
13:10:33.378115 attack.ip.one.0>192.168.16.181.143: SF 374079488: 374079488(0) win 512
13:10:33.474966 attack.ip.one.0>192.168.24.194.143: SF 374079488: 374079488(0) win 512

a. Posible manera de eludir la detección de un IDS
b. Posible manera para penetrar un Firewall
c. Combinación sospechosa de Flags
d. Posible manera de eludir sistemas de filtrado
e. Todas las anteriores

32
Reflexiones

Técnicas
Los analistas de tráfico de red, son personal altemente entrenado y especializado en protocolos de red, particularmente TCP/IP
Se requiere software especializado. Recuerde que esta tecnología es naciente y aún tiene que madurar.
Organizacionales
Personal técnico que conoce perfectamente las vulnerabilidades de su red. Alto sentido de la responsabilidad con la información.
Se requiere una disposición de la gerencia para que esta función de análisis de tráfico se de dentro de la función de seguridad informática como factor complementario a las actividades de dicha función.
Legales
El tráfico de red es información digital de la organización. Se está teniendo acceso vía medios alternos. Debe estar normada esta actividad y sus alcances para no incurrir en violación de confidencialidad de los datos.
El análisis de tráfico puede ser parte de la evidencia en el proceso de análisis forense de un incidente de seguridad, como un apoyo al esclarecimiento del incidentes mismo.