Cert Exercises - Handbook - Es

Para el segundo ejercicio, se utiliza el tráfico capturado en un sistema honeynet   real. Este tráfico contiene un ejemplo de un ataque del gusano Dabber . Usando estos logs, los estudiantes tendrían que demostrar sus habilidades a la hora de usar un analizador de red como Wireshark y aplicar sus filtros  para obtener las fases sucesivas del ataque. El formador debería representar el papel de guía, ayudando a los estudiantes y respondiendo a sus preguntas.

Escenario introductorio –  explotación falsa de una vulnerabilidad en un servidor web ‘paso a paso’

El objetivo principal es familiarizar a los estudiantes con un ejemplo de un ataque en un servidor HTTP vulnerable. El escenario presentado en este ejemplo es bastante común, especialmente cuando se trata de ataques que se realizan de forma automática, como pueden ser las infecciones por gusanos o botnets.

Notas preliminares El software preparado para el ejercicio le permitirá hacer una demostración de un ataque en tiempo real. El proceso de explotación en un servidor se puede dividir en tres fases: Conectarse al servidor y enviar datos que ejecutan un desbordamiento de búfer; Conectarse a la shell sobre el puerto 12345 y ejecutar comandos en el sistema comprometido;  Descargar software malicioso usando un cliente TFTP.  El proceso exacto del ataque se puede observar en los datos capturados por un  sniffer de red como Tcpdump o Wireshark . Las etapas pueden distinguirse unas de otras mediante el uso de filtros, que están incorporados en las dos herramientas mencionadas. 

La habilidad de seleccionar paquetes relevantes y rastrear las conexiones en las colecciones de datos  pcap es una destreza fundamental en el campo del análisis forense de redes. Los casos más frecuentes y básicos de reglas de filtrado utilizadas incluyen: Filtrar conexiones desde ciertos hosts Filtrar peticiones destinadas a servidores o servicios específicos en un período de tiempo  determinado Filtrar paquetes por protocolo, contenido y los valores de campos de protocolo específicos  El conocimiento acerca de cómo escribir filtros básicos es normalmente suficiente para recuperar la mayor parte de la información que se necesita. Es de esperar que los estudiantes se familiaricen con la sintaxis de las reglas. Esta destreza va a evaluarse principalmente en este ejercicio y en el siguiente. 

Se recomienda que este ejercicio se demuestre en tiempo real. Esto aumentará la concienciación entre los estudiantes en cuanto la facilidad que encuentran los “script kiddies” para lanzar ataques. Si, por alguna razón, una presentación en tiempo real del ataque resulta imposible, el LiveDVD contiene un archivo pcap que contiene un ataque capturado (/usr/share/exercises/07_NF/adds/). Se han elaborado dos programas para la demostración del ataque Un servidor HTTP vulnerable Un exploit  para el servidor HTTP  El servidor HTTP no es un software completamente funcional. Únicamente sirve a un sitio web y se comporta como lo haría un host comprometido siempre que recibe una petición POST de HTTP. No  puede configurarse para ser usado en ningún entorno de producción. 

55