PDF de programación - Lección 7 - Attack Analysis

LECCIÓN 7

ATTACK ANALYSIS

LECCIÓN 7 – ATTACK ANALYSIS

“License for Use” Information

The following lessons and workbooks are open and publicly available under the following
terms and conditions of ISECOM:

All works in the Hacker Highschool project are provided for non-commercial use with
elementary school students, junior high school students, and high school students whether in a
public institution, private institution, or a part of home-schooling. These materials may not be
reproduced for sale in any form. The provision of any class, course, training, or camp with
these materials for which a fee is charged is expressly forbidden without a license including
college classes, university classes, trade-school classes, summer or computer camps, and
similar. To purchase a license, visit the LICENSE section of the Hacker Highschool web page at
www.hackerhighschool.org/license.

The HHS Project is a learning tool and as with any learning tool, the instruction is the influence
of the instructor and not the tool. ISECOM cannot accept responsibility for how any
information herein is applied or abused.

The HHS Project is an open community effort and if you find value in this project, we do ask
you support us through the purchase of a license, a donation, or sponsorship.

All works copyright ISECOM, 2004.

Información sobre la “Licencia de Uso”
Las lecciones y cuadernos de trabajo siguientes son de acceso público y están disponibles
bajo las siguientes condiciones de ISECOM:
Todos los trabajos del proyecto “Hacker Highschool” son proporcionados para su uso no
comercial con estudiantes de escuelas primarias, secundarias, bachilleratos y ciclos
formativos dentro de las actividades académicas propias de la institución. Dichos materiales
no pueden ser reproducidos con fines comerciales de ningún tipo. La impartición con estos
materiales de cualquier clase, curso o actividad de formación para el que sea necesario
pagar un importe, queda totalmente prohibida sin la licencia correspondiente, incluyendo
cursos en escuelas y universidades, cursos comerciales o cualquier otro similar. Para la
compra de una licencia visite la sección “LICENSE” de la página web del proyecto “Hacker
Highschool” en www.hackerhighschool.org/license.
El proyecto HHS es una herramienta de aprendizaje y, como tal, la formación final debe
proceder realmente de la influencia del instructor y no basarse únicamente en el uso de la
herramienta.
ISECOM no puede aceptar bajo ningún concepto responsabilidad alguna sobre la forma de
aplicar, ni sus consecuencias, de cualquier información disponible dentro del proyecto. El
proyecto HHS es un esfuerzo de una comunidad abierta, por lo que si encuentra útil este
proyecto le invitamos a patrocinarlo a través de la compra de una licencia, una donación o
un patrocinio.
Todos los Derechos Reservados ISECOM, 2004.

2

LECCIÓN 7 – ATTACK ANALYSIS

Índice
“License for Use” Information............................................................................................................... 2
Información sobre la “Licencia de Uso”.............................................................................................. 2
Contribuciones........................................................................................................................................4
7.0 Introducción.......................................................................................................................................5
7.1 Netstat y Cortafuegos –firewall - de aplicaciones de hospedaje..............................................5
7.1.1 Netstat.........................................................................................................................................5
7.1.2 Cortafuegos (Firewalls)..............................................................................................................6
7.1.3 Ejercicios......................................................................................................................................7
7.2 Analizadores de paquetes...............................................................................................................8
7.2.1 Analizando..................................................................................................................................8
7.2.2 Decodificando el tráfico de red............................................................................................10
7.2.3 Analizando otras computadoras...........................................................................................12
7.2.4 Sistemas de Detección de Intrusos –IDS por sus siglas en inglés........................................12
7.2.5 Ejercicios....................................................................................................................................12
7.3 Redes y Sistemas Tipo Señuelo (Honeypots y Honeynets)......................................................... 13
7.3.1 Tipos de Sistemas Tipo Señuelo.............................................................................................. 13
7.3.2 Construyendo un Sistema Tipo Señuelo................................................................................14
7.3.3 Ejercicios....................................................................................................................................15
Lecturas Recomendadas.....................................................................................................................16

3

LECCIÓN 7 – ATTACK ANALYSIS

Contribuciones
Pete Herzog, ISECOM
Chuck Truett, ISECOM
Marta Barceló, ISECOM
Kim Truett, ISECOM
Rafael Acosta Serrano, T&E Solutions
José María Fernández Ardavín, T&E Solutions
Jaume Abella, La Salle, URL - ISECOM

4

LECCIÓN 7 – ATTACK ANALYSIS

7.0 Introducción
Existen muchos programas dentro de tu computadora que intentan abrir conexiones de red.
Algunos de estos programas tienen razones válidas para hacerlo (tu explorador de Internet
no funcionaría muy bien sin una conexión de red), pero otros son escritos por personas con
motivos que van desde lo cuestionable hasta lo criminal. Si deseas proteger tu computadora
necesitas aprender a como detectar accesos a la red e identificar el origen del acceso y el
motivo de éste. No todo intento de acceso a la red es un ataque, pero si no sabes
diferenciar a un amigo de un desconocido podrías fácilmente dejar la puerta abierta.

7.1 Netstat y Cortafuegos –firewall - de aplicaciones
de hospedaje
Para poder identificar un ataque necesitas conocer qué aplicaciones y qué procesos corren
normalmente en tu computadora. Con sólo mirar en un ambiente gráfico como Windows o
Linux no es posible conocer que procesos corren debajo de la superficie. Puedes utilizar
Netstat y un Cortafuegos para ayudarte a identificar aquellos programas que puedan
permitírseles conectar a la red.

7.1.1 Netstat
El comando “netstat” muestra el estado de las conexiones de red. Netstat puede
proporcionarte información sobre qué puertos están abiertos y qué direcciones IP los están
utilizando, qué puertos están siendo utilizados por un protocolo en particular, el estado de un
puerto, e información acerca de los procesos o programas que utilizan dicho puerto.

Escribe sobre la línea de comando:

netstat –aon (para Windows) ó
netstat –apn (para Linux)

netstat desplegará información similar a ésta:

Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:1134 0.0.0.0:0 LISTENING 3400
TCP 0.0.0.0:1243 0.0.0.0:0 LISTENING 3400
TCP 0.0.0.0:1252 0.0.0.0:0 LISTENING 2740
TCP 257.35.7.128:1243 64.257.167.99:80 ESTABLISHED 3400
TCP 257.35.7.128:1258 63.147.257.37:6667 ESTABLISHED 3838
TCP 127.0.0.1:1542 0.0.0.0:0 LISTENING 1516
TCP 127.0.0.1:1133 127.0.0.1:1134 ESTABLISHED 3400
TCP 127.0.0.1:1134 127.0.0.1:1133 ESTABLISHED 3400
TCP 127.0.0.1:1251 127.0.0.1:1252 ESTABLISHED 2740
TCP 127.0.0.1:1252 127.0.0.1:1251 ESTABLISHED 2740

5

LECCIÓN 7 – ATTACK ANALYSIS

Ahora necesitas relacionar el número en la columna “PID” - indicador del proceso - con los
nombres de los procesos que están corriendo. En Windows, debes abrir el Administrador de
Tareas presionando las teclas CTRL+ALT+DEL de manera simultánea (si no se muestra la
columna PID da un click sobre Ver, Seleccionar Columnas y selecciona PID.) En Linux ve al
intérprete de comandos y escribe “ps auxf” para ver el estado del procesador.

En el caso de nuestro ejemplo de resultados, listados en la figura anterior, encontramos que
el PID 3400 corresponde a nuestro explorador de Internet y el PID 2740 corresponde a nuestro
cliente de correo. Ambos sabemos que están siendo ejecutados y que tienen una razón
válida para establecer una conexión a Internet. Sin embargo, el PID 3838 corresponde a un
programa llamado 6r1n.exe, y el PID 1516 corresponde a un programa llamado buscanv.exe
con los cuales no estamos familiarizados.

Sin embargo, no por el hecho de que no reconozcas el nombre de un programa no quiere
decir que no tenga una razón válida para estarse ejecutando en el sistema. El siguiente paso
será averiguar en Internet en cualquier máquina de búsqueda qué hacen estos programas.

En nuestra búsqueda descubrimos que “buscanv.exe” debe estar corriendo para el
funcionamiento de nuestro programa de antivirus. Por otra parte encontramos que
“6r1n.exe” puede ser un troyano. Viendo otra vez la lista de resultados del netstat, podemos
ver que el puerto asociado con el programa “6r1n.exe” es el 6667