Capturando Trafico con Wireshark
Procedimiento a desciffrar las capturas de paquetes obtendios por Wireshark.
Lo primero que hacemos procedemos a colocar a Wireshark en nuestro repositorio de Ubuntu.
Luego actualizamos el sistemas y los repositorios con sudo apt-get update
Procedemos a instalar wireshark con sudo apt-get install wireshark
Luego procedemos para iniciar wireshark como usuario root con privilegios, y le ponemos la contraseña de nuestro ordenador o password como les sea mas facil entender sudo wireshark
A continuación se nos abrira la ventana del programa wireshark.
Luego procedemos a abrir nuestro archivo bajado que seria el telnet.raw.pcap apretamos en este link y lo bajamos y lo colocamos en el lugar que mejor nos convenga donde accederemos a ir a tal directorio para usralo en el momento de que lo necesitemos.
Precionamos Ctrl + o (Control + la letra O) Se nos abrira la ventana para abrir archivos que tengamos guardados en el ordenador, en este caso usaremos el archivo bajado que es telnet-raw.pcap
Luego elegimos el archivo que hemos bajado
Atencion
Ahí tenemos nuestro archivo ya cargado procederemos a descifrar los trozos de paquetes capturados con wireshark.
El trabajo que se hará a continuación consta de 3 puntos
1-¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
Busqueda de login
Podemos encontrar la palabra login que capturo wireshark
Se encontró la letra f
Se encontró la letra a
Se encontró la letra k
Se encontró la letra e
Conclusión:El login es la palabra f+a+k+e "fake".
Buscamos el password
Se observa la palabra password.
Primero encontramos en la búsqueda la letra u
Se observa la letra s
Se observa la letra e
Se descifro la letra r
Conclusión: Las palabras encontradas fueron u+s+e+r "user".
Se ha utilizado Login: "fake" y con Password "user"
2-¿Qué sistema operativo corre en la máquina?
Conclusión: El servidor posee un servidor Open BSD de Unix
3-¿Qué comandos se ejecutan en esta sesión?
Se encontró la letra l
Se encontró la letra s
Se encontró el signo menos -
Se encontró la letra a
Conclusión: Se encontró el comando "ls -a"
ls -a : Sirve para ver y listar en orden alfabético todos los contenidos tanto carpetas y archivos que esteen dentro de un directorio.
Y como dije que este comando ls -a ordena las carpetas podemos observar en la imagen como muestra las carpetas o archivos en forma ordenada , otra cuestión que se debe llevar en cuenta que el punto (.) que esta ante puesta a los archivos hace que una carpeta o un archivo se quede en forma oculta en linux, o sea que estos archivos encontrados no esta visible a los ojos sin que se vuelva a dar los permisos necesarios y sacarle el punto (.) de frente para que sea vista en forma existente.
Aquí podemos ver los archivos encontrados .c shrc .login .mailrc .profile .r hosts
Resumiendo: Los comandos encontrados fueron $/sbin/ping www.yahoo.com
al final se entro se vio dentro del servidor... y después se puso el comando exit para salir del servidor y fin
Conclusión: Se ha analizado trozo por trozo hasta llegar a los resultados, lleva en cuenta que los datos se encuentra en forma duplicado ya que uno va a destino y otro a origen, y se ha encontrado por ejemplo en el caso de login un por decir 2 (f) 2 (a) 2 (k) 2 (e), "fake" recuerda que solo debes usar una letra de las duplicadas para formar la palabra correcta de lo contrario no tendrá sentido si usamos los duplicados.
Segunda parte: analizando SSL
Continuación procederemos a analizar archivos con trafico SSL
descarga esta traza con tráfico SSL y abrela con Wireshark. SSL es un protocolo seguro que utilizan otros protocolos de aplicación como HTTP. Usa certificados digitales X.509 para asegurar la conexión.
Propuestas de analisis
1-¿Puedes identificar en qué paquete de la trama el servidor envía el certificado?
Analizando la petición del usuario el cual se comunica con el servidor el usuario pide acceso al servdior el certificado podeis observar que en el frame 2 en destinatario esta la ip del cliente el frame 2 vemos que el sevidor le envia el certificado al cliente Analizando la ip 65.54.179.198, resulta ser de Microsoft
2-¿El certificado va en claro o está cifrado?
Esta firmado y encryptado o sea cifrado como podéis ver en la imagen de abajo.
2.1 -¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?
La autoridad seria que emitio el certificado fue www.verisigen.com
3-¿Qué asegura el certificado, la identidad del servidor o del cliente?
Asegura varios puntos observe en la siguiente figura de abajo.
Tercera parte: analizando SSH.
En la primera parte de este ejercicio hemos visto un protocolo no seguro, como Telnet. Una alternativa a usar Telnet a la hora de conectarnos a máquinas remotas es SSH, que realiza una negociación previa al intercambio de datos de usuario. A partir de esta negociación, el tráfico viaja cifrado. Descarga esta traza con tráfico SSH y abrela con Wireshark..
1-¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?
Ejercicios
1-¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?
Como podéis ver a partir del frame 13 comienza el envío de paquetes encrryptados .
2-¿Qué protocolos viajan cifrados, todos (IP, TCP...) o alguno en particular?
Podéis ver que el Protocolo SSHv 2 es la que esta encryptada así como lo especifique en el trazo de abajo SSH Version .2
3-¿Es posible ver alguna información de usuario como contraseñas de acceso?
No es posible devido a que el protocolo SSH esta encryptado, y no se puede acceder a ellos