Monografias.com > Computación > Redes
Descargar Imprimir Comentar Ver trabajos relacionados

Análisis de tráfico de red




Enviado por Pablo Turmero



Partes: 1, 2

    Monografias.com

    1
    Agenda
    Introducción
    Conceptos básicos de TCP/IP
    Paquete IP
    Paquete TCP
    Breves ideas sobre fragmentación
    Introducción a TCPDump/Windump
    Sniffers
    Convenciones para analizar resultados
    Patrones
    Normales
    Anormales – Ataques

    Monografias.com

    2
    Agenda
    Firmas y filtros
    Conceptos
    IDS – Intrusion Detection Systems
    Limitaciones de las firmas
    Falsos Positivos
    Falsos Negativos
    Ejercicios de análisis
    Reflexiones
    Referencias

    Monografias.com

    3
    Introducción
    La evolución de los ataques a las infraestructuras computacionales cada vez más son más sofisticados.
    Se requiere un entendimiento más detallado de los ataques y sus consecuencias.
    Los analistas de seguridad no tienen tiempo para desarrollar habilidades sobre análisis de tráfico de red. Sistemas IDS
    La ventana de exposición se hace cada vez mayor: Descubrimiento de la falla Vs. Generación del parche.
    Desarrollo de estrategias para análisis de registros de log.
    Entrenamiento especializado que detalle las características técnicas de los protocolos de comunicaciones, particularmente TCP/IP.

    Monografias.com

    Conceptos básicos de TCP/IP

    Monografias.com

    5
    Conceptos básicos de TCP/IP
    Aplicación
    Presentación
    Sesión
    Transporte
    Red
    Enlace de datos
    Físico
    Aplicación
    Presentación
    Sesión
    Transporte
    Red
    Enlace de datos
    Físico
    Servicios de aplicación
    Servicios de Red
    TCP UDP
    IP ICMP
    ARP RARP

    APLICACIÓN
    DE
    RED

    Monografias.com

    6
    Conceptos básicos de TCP/IPProtocolo IP
    (Gp:) Version
    (Gp:) Tamaño
    Cabecera
    (Gp:) Precedencia
    Tipo de Servicio
    (Gp:) Tamaño del
    Datagrama
    (Gp:) Identificación
    (Gp:) Banderas
    (Gp:) Desplazamiento
    del segmento
    (Gp:) Tiempo de vida
    (Gp:) Protocolo
    (Gp:) Suma de control
    de la cabecera
    (Gp:) Dirección ORIGEN
    (Gp:) Dirección DESTINO
    (Gp:) OPCIONES

    Ruta de origen estricta
    Marcas de tiempo
    Seguridad
    Rellenos
    (Gp:) DATOS

    Monografias.com

    7
    Conceptos básicos de TCP/IPProtocolo IP
    TRÁFICO TOMADO CON HOPPA ANALYZER

    — Packet received: 22:26:43.16 — Length: 0062 — Assigned number: 00000 —
    MAC destination: 01:00:5E:00:00:02 MAC source: 00:B0:C2:F5:4B:E4
    Frametype: Ethernet II, Protocol field: 0800h

    Protocol: IP
    IP 4 bits IP version: 4h IP 4 bits Header length: 5h
    IP 8 bits Type of service: C0h IP 16 bits Total length: 0048d
    IP 16 bits Identification: 0000h IP 3 bits Flags: 0h
    IP 13 bits Fragment Offset: 0000h IP 8 bits TTL: 02h
    IP 8 bits Protocol type: UDP = 11h IP 16 bits Header Checksum: 2801h
    IP source address: XX.YY.17.253 IP destination address: ZZZ.0.0.2

    HEX data: ASCII data:
    07 C1 07 C1 00 1C 5F 06 00 00 08 01 03 64 01 00 63 69 73 63 ……_……d..cisc
    6F 00 00 00 9D FD 11 01 o…….
    ——————————————————————————–

    Monografias.com

    8
    Conceptos básicos de TCP/IPProtocolo TCP
    Banderas
    Puntero Urgente
    Número de Secuencia
    Suma de control
    Puerto ORIGEN
    Puerto DESTINO
    OPCIONES
    DATOS
    Número de confirmación
    Reservado
    Tamaño Cabecera
    Ventana

    Monografias.com

    9
    Conceptos básicos de TCP/IPProtocolo TCP
    TRÁFICO TOMADO CON WINDUMP

    attacker.23616 > target.53: S 4076745461:4076745461(0) win 8760 < mss 1460>
    target.53 > attacker.23616: S 2085251122:2085251122(0) ack 4076745462 win 1024 < mss 1460> (DF)
    attacker.23616 > target.53: . ack 1 win 8760 (DF)

    attacker.23616: Puerto ORIGEN
    target.53: Puerto DESTINO
    S: Bandera de SYN
    4076745461:4076745461 Número de secuencia. Se utiliza para ordenar los datos recibidos.
    (0): Número de bytes enviados en el paquete.
    win 8760: Ventana. Buffer que se esta recibiendo en bytes de attacker
    mss 1460: Maximun Segment Size (Campo OPCIONES) Indicar el tamaño del mayor trozo de datos que se puede recibir (y reensamblar) en un flujo.
    Informa que la red física en la que esta attacker no debería recibir más de 1460 bytes de TCP (20 bytes encabezado IP + 20 bytes de encabezado TCP+1460 bytes = 1500 Bytes, que es la MTU de Ethernet.
    ack 4076745462 Acusa recibo de la conexión. 4076745461+ 1= 4076745462
    . ack 1 ACK final e independiente a target.
    (DF) No fragmentado.

    Monografias.com

    10
    Conceptos básicos de TCP/IPFragmentación
    Cuándo?
    Se produce cuando un datagrama IP que viaja por una red tiene que atravesar una red con una unidad de transmisión máxima (MTU) que es menor que el tamaño del datagrama.
    EJEMPLO:
    MTU de un datagrama IP para Ethernet es 1500 bytes
    Si un datagrama es mayor de 1500 bytes y necesita atravesar una red Ethernet, necesita ser framentado por medio de un enrutador que se dirija a la red Ethernet.
    Qué información se necesita para reconstruir el paquete?
    No. identificación del fragmento.
    Información del lugar dentro del paquete inicial
    Información sobre longitud de datos transportados por el fragmento.
    Indicador sobre si existen mas fragmentos.

    Monografias.com

    11
    Conceptos básicos de TCP/IPFragmentación
    TRÁFICO TOMADO CON WINDUMP

    attack.org > mynet.com: icmp: echo request (frag 21233:1480@+)
    attack.org > mynet.com: (frag 21233:1480@1480+)
    attack.org > mynet.com: (frag 21233:1480@2960)

    icmp: echo request Petición de echo request a mynet.com

    (frag 21233:1480@+) Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos (0 pues es el primer fragmento, más el signo +, que indica la presencia de más fragmentos.

    (frag 21233:1480@1480+) Note que se omite la identificación del paquete. El indicador sigue encendido en el paquete IP, pero no se presenta en windump.
    El signo + advierte que vienen más fragmentos.

    (frag 21233:1480@2960) Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos:2960. No aparece signo +, lo que sugiere que no hay más fragmentos.

    Monografias.com

    Introducción a TCPDump/Windump

    Partes: 1, 2

    Página siguiente 

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter