SlideShare una empresa de Scribd logo

Identificación y análisis de patrones de trafico malicioso en redes ip

Descargar como PPTX, PDF
Jaime Restrepo
Jaime Restrepo

Este documento presenta una sesión de capacitación sobre la identificación y análisis de patrones de tráfico malicioso en redes IP. La sesión cubre temas como estrategias para el análisis de tráfico, patrones de tráfico normales y anormales, herramientas para el análisis de tráfico como Wireshark y Snort, y técnicas como fingerprinting de sistema operativo, geolocalización IP y detección de shellcode. También incluye un caso de estudio sobre un posible compromiso de servidor

Tecnología
1 de 41
Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS Campus Party 2011
Luis Eduardo Meléndez Campis @v3l3r0f0nt3 v3l3r0f0nt3@gmail.com
Agenda Sesión I Sesión II (28 de Junio 5:30 pm – 7:00 pm) (30 de Junio 8:00 pm – 9:30 pm)  ¿Qué es trafico?  OS Fingerprinting pasivo  Estrategia para el análisis de trafico  Aplicando datacarving a vaciados de  Patrones de trafico trafico  Trafico anómalo  Graficando el trafico de red con Afterglow  Geo-localización IP  Detección y análisis rápido de shellcode en el trafico de red  Caso de estudio
¿Qué es trafico?
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Acceso  Concentradores o Hubs
Estrategia para el análisis del trafico - Acceso  Puertos Span Puerto Span Estación de Monitoreo
Estrategia para el análisis del trafico - Acceso  Tap’s GigabitEthernet Tap Estación de Monitoreo
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Captura MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO  Componentes básicos de un sistema para la captura de trafico Protocol Analizer Librería de Procedimientos Aplicación de Capturadora Base de datos/Formato de para la Captura de Trafico Almacenamiento Database / Traffic Dissectors Filters PCAP Format Libpcap Tcpdump Profiles MySQL Winpcap Windump PostgreSQL Airpcap Wireshark Stream Assembly -------------------------------------- Tshark CAP Format Snort PCAP Format Libpcap/Winpcap/Airpcap RAW Format Incoming Data Stream 101010001110101011111010101000111010101011101101
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Análisis  Componentes básicos para la realización de un análisis Conocimientos y habilidades Herramientas
Herramientas para el análisis del trafico - Wireshark
Herramientas para el análisis del trafico - Tshark
Herramientas para el análisis del trafico – Networkminer
Herramientas para el análisis del trafico – Xplico
Herramientas para el análisis del trafico – Netwitnet Investigator
Herramientas para el análisis del trafico – Snort
Herramientas para el análisis del trafico –Malzilla y Libemu
Herramientas para el análisis del trafico – Virustotal
¿Qué es un patrón de comportamiento?  Def. La forma esperada de comportamiento de un ente, este tiende a ser reiterativo en si mismo , en otros entes o en ambos. Wait Ready Go
Patrón de trafico  Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.  Se pueden clasificar en: – Patrones de trafico normales o típicos – Patrones de trafico anormales o maliciosos
Patrón de trafico – Huella o Firma  Firma Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa) Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
Patrón de Trafico - Filtro  Filtro Transcripción de la firma a un lenguaje lógico que permita depurar el trafico capturado Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG Filtro Filtro tcp.flags.fin == 1 and tcp.flags.psh == 1 tcp.flags.syn == 1 and tcp.dstport == 80 and tcp.flags.urg == 1
Algunas firmas asociadas a actividades anómalas Protocolo y puertos inusuales (P2P, IRC, 4444, …) PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON LA ANATOMIA DE UN ATAQUE Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..) Conexiones TCP entrantes inusuales (Bind) Conexiones TCP salientes inusuales (Reverse) Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…) Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
Trafico anómalo  Técnicas de reconocimiento  Malware Ping Sweep Nimda Arp Sweep Clientes infectados con un Bot Syn Scan  Explotación de vulnerabilidades Xmas Scan with Decoys Ataque de fuerza bruta  Ataques de red Ataque de diccionario ARP Poison SQL Injection y Path Traversal Syn Flooding
OS Fingerprinting pasivo TTL TOS MMS DF Bit Windows
OS Fingerprinting pasivo – Tablas de huellas
OS Fingerprinting pasivo – p0f
OS Fingerprinting pasivo – Satory
Aplicando datacarving a vaciados de trafico  TCPXtract tcpxtract --file ftp.pcap --output /root/output/  Foremost – ./foremost -v -t all -i ftp.pcap -o /root/output/
Graficando el trafico de red con Afterglow Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0... Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable? Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failed Jun 17 09:42:38 rmarty sendmail: sendmail shutdown succeeded Jun 17 09:42:38 rmarty sendmail: sm-client shutdown succeeded Jun 17 09:42:39 rmarty sendmail: sendmail startup succeeded Jun 17 09:42:39 rmarty sendmail: sm-client startup succeeded Jun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:45:42 rmarty last message repeated 2 times Jun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0) Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user root Jun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0) Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user root Jun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0) Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabench Jun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192
Graficando el trafico de red con Afterglow Archivo color.scan (Configuracion de la imagen)
Graficando el trafico de red con Afterglow
Geo-localización IP
Geo-localización IP– GeoEdge.py
Geo-localización IP– Wireshark y GeoIP
Geo-localización IP– Xplico y Google Earth
Detección y análisis rápido de shellcode en el trafico de red netcat bindshell port 6666 nc –l –t -p 6666 –e //bin/sh
Caso de Estudio  Posible compromiso y hurto de información de un servidor web corporativo webserver.pcap
Referencias • Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell • Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander • Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard • http://seguridadyredes.wordpress.com/ • http://www.jennylab.es/blog/ • http://conexioninversa.blogspot.com • http://www.honeynet.org

Recomendados

Cuadro sinóptico sistema de información
Cuadro sinóptico sistema de informaciónCuadro sinóptico sistema de información
Cuadro sinóptico sistema de informaciónAnyeline Rodriguez
 
Introduccion al software
Introduccion al softwareIntroduccion al software
Introduccion al softwarediegocuestas01
 
Unidad 1
Unidad 1Unidad 1
Unidad 1Mary Martínez Morales
 
cuadro comparativo jerarquico vs democratico
cuadro comparativo jerarquico vs democraticocuadro comparativo jerarquico vs democratico
cuadro comparativo jerarquico vs democraticoitzelcamas
 
59563233 algoritmo-bresenham
59563233 algoritmo-bresenham59563233 algoritmo-bresenham
59563233 algoritmo-bresenhamSimar Leaño Prieto
 
Razonamiento monotono
Razonamiento monotonoRazonamiento monotono
Razonamiento monotonojoosbeen garcia solano
 
04 j flex
04 j flex04 j flex
04 j flexKaryamel Ml
 
Metodos de-ordenamiento
Metodos de-ordenamientoMetodos de-ordenamiento
Metodos de-ordenamientodeff000001
 

Recomendados

Cuadro sinóptico sistema de información
Cuadro sinóptico sistema de informaciónCuadro sinóptico sistema de información
Cuadro sinóptico sistema de informaciónAnyeline Rodriguez
 
Introduccion al software
Introduccion al softwareIntroduccion al software
Introduccion al softwarediegocuestas01
 
Unidad 1
Unidad 1Unidad 1
Unidad 1Mary Martínez Morales
 
cuadro comparativo jerarquico vs democratico
cuadro comparativo jerarquico vs democraticocuadro comparativo jerarquico vs democratico
cuadro comparativo jerarquico vs democraticoitzelcamas
 
59563233 algoritmo-bresenham
59563233 algoritmo-bresenham59563233 algoritmo-bresenham
59563233 algoritmo-bresenhamSimar Leaño Prieto
 
Razonamiento monotono
Razonamiento monotonoRazonamiento monotono
Razonamiento monotonojoosbeen garcia solano
 
04 j flex
04 j flex04 j flex
04 j flexKaryamel Ml
 
Metodos de-ordenamiento
Metodos de-ordenamientoMetodos de-ordenamiento
Metodos de-ordenamientodeff000001
 
Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)
Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)
Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)Neomar Nava
 
Recursividad
RecursividadRecursividad
RecursividadTAtiizz Villalobos
 
REDES NEURONALES De Hopfield
REDES NEURONALES De HopfieldREDES NEURONALES De Hopfield
REDES NEURONALES De HopfieldESCOM
 
Indices en oracle
Indices en oracleIndices en oracle
Indices en oracleJesús Armand Calejero Román
 
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...msurface
 
Practica#1 - Semáforo
Practica#1 - Semáforo Practica#1 - Semáforo
Practica#1 - Semáforo luceroirg
 
Desarrollo de sistemas en tiempo real
Desarrollo de sistemas en tiempo realDesarrollo de sistemas en tiempo real
Desarrollo de sistemas en tiempo realLuis Palacios Tafur
 
Busqueda por profundidad iterativa
Busqueda por profundidad iterativaBusqueda por profundidad iterativa
Busqueda por profundidad iterativaIsrael Calderón de la Cruz
 
Hash mitad al cuadrado pdf
Hash mitad al cuadrado pdfHash mitad al cuadrado pdf
Hash mitad al cuadrado pdfHéctor Riquelme Burgos
 
Clase 2 Semana 3
Clase 2 Semana 3Clase 2 Semana 3
Clase 2 Semana 3Darmara Silva de Campos
 
Estructuras de datos fundamentales
Estructuras de datos fundamentalesEstructuras de datos fundamentales
Estructuras de datos fundamentalesYessenia I. Martínez M.
 
Función Hash: metodos de división y de medio Cuadrado.
Función Hash: metodos de división y de medio Cuadrado.Función Hash: metodos de división y de medio Cuadrado.
Función Hash: metodos de división y de medio Cuadrado.Ana Castro
 
Registros de control y estados de la CPU
Registros de control y estados de la CPURegistros de control y estados de la CPU
Registros de control y estados de la CPUIvan Porras
 
Cuadro comparativo tipos de busquedas en IA
Cuadro comparativo tipos de busquedas en IACuadro comparativo tipos de busquedas en IA
Cuadro comparativo tipos de busquedas en IAluisilva18
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLFrancisco Medina
 
Compiladores, Analisis Lexico
Compiladores, Analisis LexicoCompiladores, Analisis Lexico
Compiladores, Analisis LexicoPedro Antonio Villalta (Pavillalta)
 
Guiones o scripts en la representación del conocimiento
Guiones o scripts en la representación del conocimientoGuiones o scripts en la representación del conocimiento
Guiones o scripts en la representación del conocimientoFacultad de Ciencias y Sistemas
 
Grafos 0
Grafos 0Grafos 0
Grafos 0brisarosales
 
Agentes reactivos basados en modelos
Agentes reactivos basados en modelosAgentes reactivos basados en modelos
Agentes reactivos basados en modelosSaúl Hulse
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Facultad de Informática UCM
 
Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.JOSE ALFREDO RAMIREZ PRADA
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]RootedCON
 

Más contenido relacionado

La actualidad más candente

Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)
Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)
Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)Neomar Nava
 
REDES NEURONALES De Hopfield
REDES NEURONALES De HopfieldREDES NEURONALES De Hopfield
REDES NEURONALES De HopfieldESCOM
 
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...msurface
 
Practica#1 - Semáforo
Practica#1 - Semáforo Practica#1 - Semáforo
Practica#1 - Semáforo luceroirg
 
Desarrollo de sistemas en tiempo real
Desarrollo de sistemas en tiempo realDesarrollo de sistemas en tiempo real
Desarrollo de sistemas en tiempo realLuis Palacios Tafur
 
Función Hash: metodos de división y de medio Cuadrado.
Función Hash: metodos de división y de medio Cuadrado.Función Hash: metodos de división y de medio Cuadrado.
Función Hash: metodos de división y de medio Cuadrado.Ana Castro
 
Registros de control y estados de la CPU
Registros de control y estados de la CPURegistros de control y estados de la CPU
Registros de control y estados de la CPUIvan Porras
 
Cuadro comparativo tipos de busquedas en IA
Cuadro comparativo tipos de busquedas en IACuadro comparativo tipos de busquedas en IA
Cuadro comparativo tipos de busquedas en IAluisilva18
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLFrancisco Medina
 
Guiones o scripts en la representación del conocimiento
Guiones o scripts en la representación del conocimientoGuiones o scripts en la representación del conocimiento
Guiones o scripts en la representación del conocimientoFacultad de Ciencias y Sistemas
 
Agentes reactivos basados en modelos
Agentes reactivos basados en modelosAgentes reactivos basados en modelos
Agentes reactivos basados en modelosSaúl Hulse
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Facultad de Informática UCM
 

La actualidad más candente (20)

Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)
Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)
Inteligencia Artificial (Sistemas Expertos y Redes Neuronales)
 
Recursividad
RecursividadRecursividad
Recursividad
 
REDES NEURONALES De Hopfield
REDES NEURONALES De HopfieldREDES NEURONALES De Hopfield
REDES NEURONALES De Hopfield
 
Indices en oracle
Indices en oracleIndices en oracle
Indices en oracle
 
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...
Guía arquitectura n capas orientada al dominio - microsoft architecture (1a e...
 
Practica#1 - Semáforo
Practica#1 - Semáforo Practica#1 - Semáforo
Practica#1 - Semáforo
 
Desarrollo de sistemas en tiempo real
Desarrollo de sistemas en tiempo realDesarrollo de sistemas en tiempo real
Desarrollo de sistemas en tiempo real
 
Busqueda por profundidad iterativa
Busqueda por profundidad iterativaBusqueda por profundidad iterativa
Busqueda por profundidad iterativa
 
Hash mitad al cuadrado pdf
Hash mitad al cuadrado pdfHash mitad al cuadrado pdf
Hash mitad al cuadrado pdf
 
Clase 2 Semana 3
Clase 2 Semana 3Clase 2 Semana 3
Clase 2 Semana 3
 
Estructuras de datos fundamentales
Estructuras de datos fundamentalesEstructuras de datos fundamentales
Estructuras de datos fundamentales
 
Función Hash: metodos de división y de medio Cuadrado.
Función Hash: metodos de división y de medio Cuadrado.Función Hash: metodos de división y de medio Cuadrado.
Función Hash: metodos de división y de medio Cuadrado.
 
Registros de control y estados de la CPU
Registros de control y estados de la CPURegistros de control y estados de la CPU
Registros de control y estados de la CPU
 
Cuadro comparativo tipos de busquedas en IA
Cuadro comparativo tipos de busquedas en IACuadro comparativo tipos de busquedas en IA
Cuadro comparativo tipos de busquedas en IA
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQL
 
Compiladores, Analisis Lexico
Compiladores, Analisis LexicoCompiladores, Analisis Lexico
Compiladores, Analisis Lexico
 
Guiones o scripts en la representación del conocimiento
Guiones o scripts en la representación del conocimientoGuiones o scripts en la representación del conocimiento
Guiones o scripts en la representación del conocimiento
 
Grafos 0
Grafos 0Grafos 0
Grafos 0
 
Agentes reactivos basados en modelos
Agentes reactivos basados en modelosAgentes reactivos basados en modelos
Agentes reactivos basados en modelos
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
 

Similar a Identificación y análisis de patrones de trafico malicioso en redes ip

Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]RootedCON
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Traficoguest99b32c
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion TraficoGuido Pineda
 
Gestion de-redes
Gestion de-redesGestion de-redes
Gestion de-redesInti Chico
 
D1 gestión de redes de datos
D1 gestión de redes de datosD1 gestión de redes de datos
D1 gestión de redes de datosmariopino129
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSIxoanGz
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion snifferalexleo69
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendnavajanegra
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeñomiss051
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaningVictorPazmio4
 
Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIMAlienVault
 

Similar a Identificación y análisis de patrones de trafico malicioso en redes ip (20)

Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
 
Campus party2011
Campus party2011Campus party2011
Campus party2011
 
Gestion de-redes
Gestion de-redesGestion de-redes
Gestion de-redes
 
D1 gestión de redes de datos
D1 gestión de redes de datosD1 gestión de redes de datos
D1 gestión de redes de datos
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
 
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriend
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
 
Mitigación de ataques DDoS en la Anella Científica
Mitigación de ataques DDoS en la Anella CientíficaMitigación de ataques DDoS en la Anella Científica
Mitigación de ataques DDoS en la Anella Científica
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicaciones
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaning
 
Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIM
 
Iba2008 Servicios
Iba2008 ServiciosIba2008 Servicios
Iba2008 Servicios
 

Más de Jaime Restrepo

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarJaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxJaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conJaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarJaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursJaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysisJaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoJaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 

Más de Jaime Restrepo (20)

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 

Último

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 

Último (20)

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 

Identificación y análisis de patrones de trafico malicioso en redes ip

  • 1. Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS Campus Party 2011
  • 2. Luis Eduardo Meléndez Campis @v3l3r0f0nt3 v3l3r0f0nt3@gmail.com
  • 3. Agenda Sesión I Sesión II (28 de Junio 5:30 pm – 7:00 pm) (30 de Junio 8:00 pm – 9:30 pm)  ¿Qué es trafico?  OS Fingerprinting pasivo  Estrategia para el análisis de trafico  Aplicando datacarving a vaciados de  Patrones de trafico trafico  Trafico anómalo  Graficando el trafico de red con Afterglow  Geo-localización IP  Detección y análisis rápido de shellcode en el trafico de red  Caso de estudio
  • 5. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 6. Estrategia para el análisis del trafico - Acceso  Concentradores o Hubs
  • 7. Estrategia para el análisis del trafico - Acceso  Puertos Span Puerto Span Estación de Monitoreo
  • 8. Estrategia para el análisis del trafico - Acceso  Tap’s GigabitEthernet Tap Estación de Monitoreo
  • 9. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 10. Estrategia para el análisis del trafico - Captura MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO  Componentes básicos de un sistema para la captura de trafico Protocol Analizer Librería de Procedimientos Aplicación de Capturadora Base de datos/Formato de para la Captura de Trafico Almacenamiento Database / Traffic Dissectors Filters PCAP Format Libpcap Tcpdump Profiles MySQL Winpcap Windump PostgreSQL Airpcap Wireshark Stream Assembly -------------------------------------- Tshark CAP Format Snort PCAP Format Libpcap/Winpcap/Airpcap RAW Format Incoming Data Stream 101010001110101011111010101000111010101011101101
  • 11. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 12. Estrategia para el análisis del trafico - Análisis  Componentes básicos para la realización de un análisis Conocimientos y habilidades Herramientas
  • 13. Herramientas para el análisis del trafico - Wireshark
  • 14. Herramientas para el análisis del trafico - Tshark
  • 15. Herramientas para el análisis del trafico – Networkminer
  • 16. Herramientas para el análisis del trafico – Xplico
  • 17. Herramientas para el análisis del trafico – Netwitnet Investigator
  • 18. Herramientas para el análisis del trafico – Snort
  • 19. Herramientas para el análisis del trafico –Malzilla y Libemu
  • 20. Herramientas para el análisis del trafico – Virustotal
  • 21. ¿Qué es un patrón de comportamiento?  Def. La forma esperada de comportamiento de un ente, este tiende a ser reiterativo en si mismo , en otros entes o en ambos. Wait Ready Go
  • 22. Patrón de trafico  Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.  Se pueden clasificar en: – Patrones de trafico normales o típicos – Patrones de trafico anormales o maliciosos
  • 23. Patrón de trafico – Huella o Firma  Firma Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa) Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
  • 24. Patrón de Trafico - Filtro  Filtro Transcripción de la firma a un lenguaje lógico que permita depurar el trafico capturado Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG Filtro Filtro tcp.flags.fin == 1 and tcp.flags.psh == 1 tcp.flags.syn == 1 and tcp.dstport == 80 and tcp.flags.urg == 1
  • 25. Algunas firmas asociadas a actividades anómalas Protocolo y puertos inusuales (P2P, IRC, 4444, …) PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON LA ANATOMIA DE UN ATAQUE Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..) Conexiones TCP entrantes inusuales (Bind) Conexiones TCP salientes inusuales (Reverse) Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…) Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
  • 26. Trafico anómalo  Técnicas de reconocimiento  Malware Ping Sweep Nimda Arp Sweep Clientes infectados con un Bot Syn Scan  Explotación de vulnerabilidades Xmas Scan with Decoys Ataque de fuerza bruta  Ataques de red Ataque de diccionario ARP Poison SQL Injection y Path Traversal Syn Flooding
  • 27. OS Fingerprinting pasivo TTL TOS MMS DF Bit Windows
  • 28. OS Fingerprinting pasivo – Tablas de huellas
  • 31. Aplicando datacarving a vaciados de trafico  TCPXtract tcpxtract --file ftp.pcap --output /root/output/  Foremost – ./foremost -v -t all -i ftp.pcap -o /root/output/
  • 32. Graficando el trafico de red con Afterglow Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0... Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable? Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failed Jun 17 09:42:38 rmarty sendmail: sendmail shutdown succeeded Jun 17 09:42:38 rmarty sendmail: sm-client shutdown succeeded Jun 17 09:42:39 rmarty sendmail: sendmail startup succeeded Jun 17 09:42:39 rmarty sendmail: sm-client startup succeeded Jun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:45:42 rmarty last message repeated 2 times Jun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0) Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user root Jun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0) Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user root Jun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0) Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabench Jun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192
  • 33. Graficando el trafico de red con Afterglow Archivo color.scan (Configuracion de la imagen)
  • 34. Graficando el trafico de red con Afterglow
  • 39. Detección y análisis rápido de shellcode en el trafico de red netcat bindshell port 6666 nc –l –t -p 6666 –e //bin/sh
  • 40. Caso de Estudio  Posible compromiso y hurto de información de un servidor web corporativo webserver.pcap
  • 41. Referencias • Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell • Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander • Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard • http://seguridadyredes.wordpress.com/ • http://www.jennylab.es/blog/ • http://conexioninversa.blogspot.com • http://www.honeynet.org