1.- Analizar, en términos del tráfico generado, las siguientes opciones de rastreo de puertos de NMAP: scanning TCP Null (-sN), FIN (-sF) y Xmas (-sX). Use un sniffer (como Wireshark, o bien TCPDump) para realizar el análisis de tráfico pedido. Presente diagramas de interacción entre emisores y receptores para explicar el funcionamiento y resultados de las opciones antes mencionadas. R:
- TCP FIN SCAN (-sF): Este scan puede decirnos si un puerto está cerrado, pero no puede distinguir entre puertos abiertos y filtrados porque no debería recibir una respuesta de cualquier modo.
- TCP XMAS SCAN (-sX): Este es lo mismo que el FIN Scan, a excepción de que usa FIN, URG y PHG en vez de solo FIN.
- TCP NULL SCAN (-Sn): Esto es como el FIN Scan y el XMAS Scan, excepto porque no enciende ningún indicador para nada.
2.- NMAP 2.- NMAP es una herramienta herramienta del del tipo “scanner de puertos”, la cual es utilizada utilizada para determinar el estado de un puerto lógico. a) ¿Cuáles son los estados posibles de un puerto según NMAP?, explique brevemente brevemente la diferencia entre ellos. b) ¿Cómo puedo determinar determinar si hay un firewall en la red escaneada? escaneada?
R: a) open (abierto): la máquina destino se encuentra esperando conexiones o paquetes en ese puerto. filtered (filtrado): un cortafuegos, filtro o algún obstáculo en la red está bloqueando el acceso a ese puerto y nmap no puede saber si se está abierto o cerrado. closed (cerrado): son puertos que no tienen ninguna aplicación escuchando en ellos, aunque podrían abrirse en cualquier momento. unfiltered (no filtrado): son puertos que responden a la exploración de nmap, pero para ellos nmap no puede determinar si se están abiertos o cerrados. Nmap, cuando no puede determinar en cual de dos estados está un puerto, informa indicando una combinación de estados, como open|filtered y closed|filtered.
b) Si aparece estado “Filtered” se podría deducir si es que firewall firewall, pero pueden ser filtros
u otros obstáculos.
3.- a)¿Cómo puedo ver con tcpdump los archivos de log creados por SNORT? B)¿Cómo puedo ver con Wireshark los archivos de log creados con tcpdump y viceversa?
R: a) tcpdump -vvv -w /var/log/snort.log.1620352302
b) CAPTURA DE PAQUETES = tcpdump – i eth0 – w tcpdum.log SE INGRESA A WIRESHARK
-
Se busca la captura en Wireshark la cual obtuvimos con tcpdump a través de la red.
Al ingresar las capturas estas las muestra atreves de Wireshark .
Viceversa:
4.- Explique brevemente el funcionamiento del scanning UDP (-sU) de NMAP. Use un sniffer para realizar el análisis de tráfico de este tipo de scanning. Presente diagramas de interacción para explicar el funcionamiento y resultados del tipo de scanning antes mencionado. R: Esta opción sirve para escanear puertos UDP. Con este tipo de análisis, Nmap envía
0-byte paquetes UDP para cada puerto de destino de la víctima. La recepción de un mensaje de Puerto inaccesible ICMP significa el puerto está cerrado, de lo contrario se asume abierto.
5.- Para filtros de captura de tráfico Wireshark depende de los mecanismos de filtrado provistos en las librerías pcap, por lo que cualquier programa que utilice estas librerías utilizarán el mismo tipo de filtros, uno de los programas más famosos en utilizar estas librerías, es tcpdump, así que como referencia para profundizar sobre los filtros de captura, se puede visitar la página del manual de tcpdump o la documentación de la versión para Windows winpcap. También es posible en Wireshark definir filtros de visualización del tráfico.
a) Especificar y ejemplificar los filtros de captura de tráfico en Wireshark. b) Especificar y ejemplificar los filtros de visualización del tráfico en Wireshark. 6.- Traceroute en UNIX/LINUX y tracert en Windows sirven para hacer un seguimiento del camino seguido por los datagramas a través de la red hasta llegar a su destino. Usando traceroute/tracert responder lo siguiente: ¿Con qué otras redes está conectada su red? ¿A través de qué enrutadores (routers) se pasa a esas otras redes? ¿Por qué enrutadores (routers) pasa un datagrama hasta alcanzar su destino? 7.- Situarse en la URL http://www.slac.stanford.edu/comp/net/wan-mon/traceroute- srv.html y analizar a partir de las facilidades que en ella se ofrecen, los caminos que siguen los datagramas provenientes de distintas partes del mundo para llegar hasta la red de la Sede Antonio Varas de DUOC UC. Estudiar y explicar breve y justificadamente cuáles son los puntos críticos en esos caminos.
