BlogNmap

Hackear como un forense digital profesional para el aspirante a hacker, Parte 10 (Identificación de firmas de un escaneo de puertos y un ataque DoS)

¡Bienvenidos de nuevo, mis hackers en ciernes!

Como he mencionado muchas veces a lo largo de esta serie, saber un poco de análisis forense digital puede evitarle muchos problemas. Además, la ciencia forense digital es una carrera floreciente y bien remunerada. Es probable que algunos conocimientos y certificaciones en este campo lo ayuden a conseguir un puesto de ingeniero de seguridad o lo coloquen en el equipo de respuesta a incidentes de su empleador.

A lo largo de la serie Hack Like a Pro, hemos lanzado numerosos ataques contra nuestros objetivos. En los próximos artículos de nuestra serie Digital Forensics, me gustaría mostrarles cómo se ven algunos de esos ataques desde la perspectiva de la víctima y cómo los identificaría como investigador forense digital.

Por qué Wireshark es una buena herramienta forense

Aunque Wireshark se utiliza en gran medida como una herramienta de análisis de redes, también es una excelente herramienta forense de redes. Si podemos capturar los paquetes con Wireshark mientras somos atacados, o si podemos trabajar mientras el ataque está en progreso (como en un equipo de respuesta a incidentes), podemos aprender mucho sobre el ataque y el atacante.

Paso 1: obtenga los conocimientos básicos

Existen numerosos tutoriales sobre cómo usar Wireshark en la web e incluso algunos en Byte nulo (incluida una guía anterior de esta serie sobre análisis forense de redes), por lo que antes de comenzar, le pido que dedique unos minutos a esos tutoriales para familiarizarse con esta herramienta esencial.

Además, si no está familiarizado con la estructura de los paquetes TCP / IP, lea más sobre eso. He encerrado en un círculo los campos de TCP / IP a los que prestaremos mucha atención aquí. Si no está familiarizado con esos campos en la IP y el encabezado TCP, deberá estudiarlos también.

Paso 2: Abra Wireshark en Kali

Antes de comenzar, quiero que personalice Wireshark para mostrar el puerto de destino en la salida. Así que abre Wireshark en Kali y ve a Preferencias -> Columnas, luego agregue una columna “Dest Port (sin resolver)” con el título “Dest Port”. Haga clic en Aplicar, luego OK.

Paso 3: Firma de escaneo de Nmap

Comencemos haciendo un escaneo de Nmap en el objetivo. Casi todos los hackers / atacantes realizan un escaneo de Nmap en su objetivo antes de atacar. De esta manera, pueden recopilar información sobre servicios, puertos, SO y aplicaciones que se ejecutan en el sistema de destino. Las grandes corporaciones, agencias gubernamentales y otros sitios web grandes reciben miles de escaneos por día. Veamos cómo se vería eso desde la perspectiva del objetivo usando Wireshark.

En este caso, supongamos que el atacante está siendo un poco cauteloso al escanear. En lugar de usar un escaneo TCP que registraría su dirección IP, están siendo un poco sigilosos al usar un escaneo SYN que no registrará automáticamente su IP ya que no se establece una conexión TCP (estos a menudo se denominan escaneos sigilosos o medio abiertos) . Este comando de escaneo desde la perspectiva del atacante podría verse así:

kali> nmap -sS -P0 192.168.1.103 -p0-1521

Cuando este escaneo llegue al destino, probablemente se verá así en Wireshark:

Observe que tenemos paquetes repetidos yendo y viniendo desde la IP del atacante de 192.168.1.123 a nuestro sistema de destino en 192.168.1.103. También tenga en cuenta que cada escaneo llega a un puerto diferente, pero no en serie. Nmap está diseñado para escanear los puertos en orden pseudoaleatorio.

Si quisiéramos ver solo el tráfico proveniente del sistema del atacante, podemos construir un filtro que muestre solo los paquetes provenientes del atacante potencial.

ip.src == 192.168.1.123

Podemos colocar este filtro en el cuadro “Filtro” en Wireshark, como se ve a continuación, luego hacer clic en Aplicar.

Ahora solo vemos el tráfico procedente del escáner. Tenga en cuenta que cada paquete tiene como destino un puerto diferente.

Si navegamos al panel central y expandimos el encabezado TCP, notaremos que todos tienen el indicador SYN configurado. Los paquetes con la bandera SYN configurada que provienen todos de la misma IP en rápida sucesión a diferentes puertos es la firma reveladora de un escaneo de puertos. Guarde esa dirección IP, ya que es probable que sea la IP de su futuro atacante.

Paso 4: Firma DoS Syn Flood

A continuación, intentemos un ataque DoS contra el objetivo. En este caso, usaremos nuestra herramienta Hping3 para inundarlo con paquetes SYN. Dado que no necesitamos una conexión TCP a DoS, podemos falsificar nuestra dirección IP, lo que dificulta que un investigador rastree el origen del ataque.

Además, muchos firewalls, sistemas de detección de intrusos y otros dispositivos de seguridad están diseñados para incluir en la lista negra las direcciones IP que envían demasiados paquetes en un lapso de tiempo. Al cambiar aleatoriamente nuestras direcciones IP para cada paquete, derrotará en gran medida dicha medida de seguridad.

La inundación SYN se utiliza para crear muchas medias conexiones incompletas al servidor. La idea aquí es utilizar todas las conexiones en la cola de conexión para que otros usuarios legítimos no puedan conectarse al servidor. Hping3 hace esta tarea admirablemente.

El comando que podría usar el atacante se parece a esto:

kali> hping3 –rand-source -f -S 192.168.1.103 -p80 –flood

Analicemos un poco este comando:

  • –rand-source envía direcciones IP de origen aleatorias al destino.
  • -F fragmenta los paquetes, lo que hace que sea más probable que pasen los dispositivos de seguridad.
  • -S envía paquetes SYN para crear conexiones semiabiertas.
  • 192.168.1.103 es la dirección IP de destino.
  • –inundación envía paquetes lo más rápido posible.

Cuando esos paquetes lleguen al destino, se verán así en Wireshark.

Como puede ver en la captura de pantalla anterior, cada paquete proviene de una dirección IP diferente y todos los puertos de destino 80. Este es un ataque DoS típico contra un sitio web.

Además, eche un vistazo a la columna “Hora”. Observe el poco tiempo que transcurre entre cada paquete, solo miles de segundos. Esta es otra firma de un ataque DoS y una que muchos dispositivos de seguridad monitorean cuando alertan o actúan ante un presunto ataque DoS.

Cuando navega al panel central, podemos diseccionar los encabezados de los paquetes. Primero, expandamos el encabezado de la IP haciendo clic en el signo más al lado de la IP. Cuando nos desplazamos un poco hacia abajo, veremos las banderas. Estos no son los indicadores del encabezado TCP (S, T, U, P, F, R), sino más bien el indicador de fragmentar o no fragmentar. Esta bandera le dice al sistema receptor si el paquete está fragmentado o no. Normalmente se establece en “No fragmentar”, excepto cuando un paquete está fragmentado (luego se establece en “Más fragmentos”). En nuestro caso, no se establece ninguna bandera. Esta es una señal reveladora de tráfico malicioso, ya que el tráfico normal tendría cualquiera de estos indicadores configurados, pero nunca ninguno.

Una vez más, en el panel central de Wireshark, podemos analizar el encabezado TCP y ver que el puerto de destino es 80 y la bandera TCP para todos los paquetes está configurada en SYN. Sin ACK, sin RST, sin FIN, lo que sería normal, pero solo todos los SYN.

Wireshark es una excelente herramienta para realizar análisis forenses digitales de red si tenemos los paquetes capturados o el ataque está en curso. Aquí hemos examinado e identificado las firmas de dos ataques simples, el escaneo de puertos y el Ataque de DOS.

En futuros tutoriales forenses de redes, examinaremos ataques más complejos para que los identifique, ¡así que sigan regresando, por piratas informáticos en ciernes!

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Mira también
Cerrar
Botón volver arriba
Cerrar