SlideShare una empresa de Scribd logo

Identificación y análisis de patrones de trafico malicioso en redes ip

Descargar como PPTX, PDF
Jaime Restrepo
Jaime Restrepo

Este documento presenta una sesión de capacitación sobre la identificación y análisis de patrones de tráfico malicioso en redes IP. La sesión cubre temas como estrategias para el análisis de tráfico, patrones de tráfico normales y anormales, herramientas para el análisis de tráfico como Wireshark y Snort, y técnicas como fingerprinting de sistema operativo, geolocalización IP y detección de shellcode. También incluye un caso de estudio sobre un posible compromiso de servidor

Tecnología
1 de 41
Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS Campus Party 2011
Luis Eduardo Meléndez Campis @v3l3r0f0nt3 v3l3r0f0nt3@gmail.com
Agenda Sesión I Sesión II (28 de Junio 5:30 pm – 7:00 pm) (30 de Junio 8:00 pm – 9:30 pm)  ¿Qué es trafico?  OS Fingerprinting pasivo  Estrategia para el análisis de trafico  Aplicando datacarving a vaciados de  Patrones de trafico trafico  Trafico anómalo  Graficando el trafico de red con Afterglow  Geo-localización IP  Detección y análisis rápido de shellcode en el trafico de red  Caso de estudio
¿Qué es trafico?
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Acceso  Concentradores o Hubs
Estrategia para el análisis del trafico - Acceso  Puertos Span Puerto Span Estación de Monitoreo
Estrategia para el análisis del trafico - Acceso  Tap’s GigabitEthernet Tap Estación de Monitoreo
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Captura MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO  Componentes básicos de un sistema para la captura de trafico Protocol Analizer Librería de Procedimientos Aplicación de Capturadora Base de datos/Formato de para la Captura de Trafico Almacenamiento Database / Traffic Dissectors Filters PCAP Format Libpcap Tcpdump Profiles MySQL Winpcap Windump PostgreSQL Airpcap Wireshark Stream Assembly -------------------------------------- Tshark CAP Format Snort PCAP Format Libpcap/Winpcap/Airpcap RAW Format Incoming Data Stream 101010001110101011111010101000111010101011101101
Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
Estrategia para el análisis del trafico - Análisis  Componentes básicos para la realización de un análisis Conocimientos y habilidades Herramientas
Herramientas para el análisis del trafico - Wireshark
Herramientas para el análisis del trafico - Tshark
Herramientas para el análisis del trafico – Networkminer
Herramientas para el análisis del trafico – Xplico
Herramientas para el análisis del trafico – Netwitnet Investigator
Herramientas para el análisis del trafico – Snort
Herramientas para el análisis del trafico –Malzilla y Libemu
Herramientas para el análisis del trafico – Virustotal
¿Qué es un patrón de comportamiento?  Def. La forma esperada de comportamiento de un ente, este tiende a ser reiterativo en si mismo , en otros entes o en ambos. Wait Ready Go
Patrón de trafico  Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.  Se pueden clasificar en: – Patrones de trafico normales o típicos – Patrones de trafico anormales o maliciosos
Patrón de trafico – Huella o Firma  Firma Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa) Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
Patrón de Trafico - Filtro  Filtro Transcripción de la firma a un lenguaje lógico que permita depurar el trafico capturado Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG Filtro Filtro tcp.flags.fin == 1 and tcp.flags.psh == 1 tcp.flags.syn == 1 and tcp.dstport == 80 and tcp.flags.urg == 1
Algunas firmas asociadas a actividades anómalas Protocolo y puertos inusuales (P2P, IRC, 4444, …) PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON LA ANATOMIA DE UN ATAQUE Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..) Conexiones TCP entrantes inusuales (Bind) Conexiones TCP salientes inusuales (Reverse) Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…) Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
Trafico anómalo  Técnicas de reconocimiento  Malware Ping Sweep Nimda Arp Sweep Clientes infectados con un Bot Syn Scan  Explotación de vulnerabilidades Xmas Scan with Decoys Ataque de fuerza bruta  Ataques de red Ataque de diccionario ARP Poison SQL Injection y Path Traversal Syn Flooding
OS Fingerprinting pasivo TTL TOS MMS DF Bit Windows
OS Fingerprinting pasivo – Tablas de huellas
OS Fingerprinting pasivo – p0f
OS Fingerprinting pasivo – Satory
Aplicando datacarving a vaciados de trafico  TCPXtract tcpxtract --file ftp.pcap --output /root/output/  Foremost – ./foremost -v -t all -i ftp.pcap -o /root/output/
Graficando el trafico de red con Afterglow Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0... Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable? Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failed Jun 17 09:42:38 rmarty sendmail: sendmail shutdown succeeded Jun 17 09:42:38 rmarty sendmail: sm-client shutdown succeeded Jun 17 09:42:39 rmarty sendmail: sendmail startup succeeded Jun 17 09:42:39 rmarty sendmail: sm-client startup succeeded Jun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:45:42 rmarty last message repeated 2 times Jun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0) Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user root Jun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0) Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user root Jun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0) Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabench Jun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192
Graficando el trafico de red con Afterglow Archivo color.scan (Configuracion de la imagen)
Graficando el trafico de red con Afterglow
Geo-localización IP
Geo-localización IP– GeoEdge.py
Geo-localización IP– Wireshark y GeoIP
Geo-localización IP– Xplico y Google Earth
Detección y análisis rápido de shellcode en el trafico de red netcat bindshell port 6666 nc –l –t -p 6666 –e //bin/sh
Caso de Estudio  Posible compromiso y hurto de información de un servidor web corporativo webserver.pcap
Referencias • Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell • Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander • Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard • http://seguridadyredes.wordpress.com/ • http://www.jennylab.es/blog/ • http://conexioninversa.blogspot.com • http://www.honeynet.org

Recomendados

Clase 5 de Enrutamiento de Redes
Clase 5 de Enrutamiento de RedesClase 5 de Enrutamiento de Redes
Clase 5 de Enrutamiento de Redes
tiutn
 
Sistema de-señalizacion-telefonica
Sistema de-señalizacion-telefonicaSistema de-señalizacion-telefonica
Sistema de-señalizacion-telefonica
whiteekougar
 
Comunicación digital
Comunicación digitalComunicación digital
Comunicación digital
Jaime Baez Zamora
 
Trellis Y Viterbi
Trellis Y ViterbiTrellis Y Viterbi
Trellis Y Viterbi
Carlos Alberto Amaya Tarazona
 
Tecnologia telecomunicaciones
Tecnologia telecomunicacionesTecnologia telecomunicaciones
Tecnologia telecomunicaciones
Pia Viera
 
Radiodifusión sonora digital
Radiodifusión sonora digitalRadiodifusión sonora digital
Radiodifusión sonora digital
Ministerio TIC Colombia
 
Resumen
ResumenResumen
Resumen
GersonQuerales
 
Sistema de Señalización de Canal Común SS7
Sistema de Señalización de Canal Común SS7Sistema de Señalización de Canal Común SS7
Sistema de Señalización de Canal Común SS7
Marggi Nathaly Perez Castellanos
 

Recomendados

Clase 5 de Enrutamiento de Redes
Clase 5 de Enrutamiento de RedesClase 5 de Enrutamiento de Redes
Clase 5 de Enrutamiento de Redes
tiutn
 
Sistema de-señalizacion-telefonica
Sistema de-señalizacion-telefonicaSistema de-señalizacion-telefonica
Sistema de-señalizacion-telefonica
whiteekougar
 
Comunicación digital
Comunicación digitalComunicación digital
Comunicación digital
Jaime Baez Zamora
 
Trellis Y Viterbi
Trellis Y ViterbiTrellis Y Viterbi
Trellis Y Viterbi
Carlos Alberto Amaya Tarazona
 
Tecnologia telecomunicaciones
Tecnologia telecomunicacionesTecnologia telecomunicaciones
Tecnologia telecomunicaciones
Pia Viera
 
Radiodifusión sonora digital
Radiodifusión sonora digitalRadiodifusión sonora digital
Radiodifusión sonora digital
Ministerio TIC Colombia
 
Resumen
ResumenResumen
Resumen
GersonQuerales
 
Sistema de Señalización de Canal Común SS7
Sistema de Señalización de Canal Común SS7Sistema de Señalización de Canal Común SS7
Sistema de Señalización de Canal Común SS7
Marggi Nathaly Perez Castellanos
 
Sistemas de Televisión Analógica en el mundo.pdf
Sistemas de Televisión Analógica en el mundo.pdfSistemas de Televisión Analógica en el mundo.pdf
Sistemas de Televisión Analógica en el mundo.pdf
NglSalvadorPala
 
Señalizacion de Comunicaciones
Señalizacion de ComunicacionesSeñalizacion de Comunicaciones
Señalizacion de Comunicaciones
Josibell Guerrero
 
Pdh
PdhPdh
Pdh
Hugo Reyes
 
Comandos ensp huawei
Comandos ensp huaweiComandos ensp huawei
Comandos ensp huawei
juca piro
 
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
nica2009
 
CDMA y TDMA
CDMA y TDMACDMA y TDMA
CDMA y TDMA
Manuel Carreño (E.Fortuna, Oteima)
 
Fuentes de informacion y entropia
Fuentes de informacion y entropiaFuentes de informacion y entropia
Fuentes de informacion y entropia
Jonathan Ortegon Ruiz
 
Lecture 3 analisis radioprop p1
Lecture 3 analisis radioprop p1Lecture 3 analisis radioprop p1
Lecture 3 analisis radioprop p1
nica2009
 
CI19. Presentación 4. Large scale path loss (simplificada)
CI19. Presentación 4. Large scale path loss (simplificada)CI19. Presentación 4. Large scale path loss (simplificada)
CI19. Presentación 4. Large scale path loss (simplificada)
Francisco Sandoval
 
Lecture 8 formateo de señales dm y adm. multiplexión digital
Lecture 8 formateo de señales dm y adm. multiplexión digitalLecture 8 formateo de señales dm y adm. multiplexión digital
Lecture 8 formateo de señales dm y adm. multiplexión digital
nica2009
 
Lecture 12 radioenlaces terrenales servicio fijo p3
Lecture 12 radioenlaces terrenales servicio fijo p3Lecture 12 radioenlaces terrenales servicio fijo p3
Lecture 12 radioenlaces terrenales servicio fijo p3
nica2009
 
TDD Course (Spanish)
TDD Course (Spanish)TDD Course (Spanish)
TDD Course (Spanish)
Pedro Ballesteros
 
PDH
PDHPDH
PDH
Eng. Fernando Mendioroz, MSc.
 
Fm estereo alvaro cuellas
Fm estereo alvaro cuellasFm estereo alvaro cuellas
Fm estereo alvaro cuellas
radioiesve
 
Pcm
PcmPcm
Pcm
BERENICE GUADARRAMA
 
Estaciones terrenas
Estaciones terrenasEstaciones terrenas
Estaciones terrenas
Francisco Sandoval
 
Calculo radioenlace
Calculo radioenlaceCalculo radioenlace
Calculo radioenlace
Jorge Lara
 
Antena cuadro comparativo
Antena cuadro comparativoAntena cuadro comparativo
Antena cuadro comparativo
Jesus Escalona
 
Presentacion ict tema1
Presentacion ict tema1Presentacion ict tema1
Presentacion ict tema1
artorius1968
 
Modulacion
ModulacionModulacion
Modulacion
2unefagrupo002
 
Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
JOSE ALFREDO RAMIREZ PRADA
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
RootedCON
 

Más contenido relacionado

La actualidad más candente

Sistemas de Televisión Analógica en el mundo.pdf
Sistemas de Televisión Analógica en el mundo.pdfSistemas de Televisión Analógica en el mundo.pdf
Sistemas de Televisión Analógica en el mundo.pdf
NglSalvadorPala
 
Señalizacion de Comunicaciones
Señalizacion de ComunicacionesSeñalizacion de Comunicaciones
Señalizacion de Comunicaciones
Josibell Guerrero
 
Pdh
PdhPdh
Pdh
Hugo Reyes
 
Comandos ensp huawei
Comandos ensp huaweiComandos ensp huawei
Comandos ensp huawei
juca piro
 
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
nica2009
 
CDMA y TDMA
CDMA y TDMACDMA y TDMA
CDMA y TDMA
Manuel Carreño (E.Fortuna, Oteima)
 
Fuentes de informacion y entropia
Fuentes de informacion y entropiaFuentes de informacion y entropia
Fuentes de informacion y entropia
Jonathan Ortegon Ruiz
 
Lecture 3 analisis radioprop p1
Lecture 3 analisis radioprop p1Lecture 3 analisis radioprop p1
Lecture 3 analisis radioprop p1
nica2009
 
CI19. Presentación 4. Large scale path loss (simplificada)
CI19. Presentación 4. Large scale path loss (simplificada)CI19. Presentación 4. Large scale path loss (simplificada)
CI19. Presentación 4. Large scale path loss (simplificada)
Francisco Sandoval
 
Lecture 8 formateo de señales dm y adm. multiplexión digital
Lecture 8 formateo de señales dm y adm. multiplexión digitalLecture 8 formateo de señales dm y adm. multiplexión digital
Lecture 8 formateo de señales dm y adm. multiplexión digital
nica2009
 
Lecture 12 radioenlaces terrenales servicio fijo p3
Lecture 12 radioenlaces terrenales servicio fijo p3Lecture 12 radioenlaces terrenales servicio fijo p3
Lecture 12 radioenlaces terrenales servicio fijo p3
nica2009
 
TDD Course (Spanish)
TDD Course (Spanish)TDD Course (Spanish)
TDD Course (Spanish)
Pedro Ballesteros
 
PDH
PDHPDH
PDH
Eng. Fernando Mendioroz, MSc.
 
Fm estereo alvaro cuellas
Fm estereo alvaro cuellasFm estereo alvaro cuellas
Fm estereo alvaro cuellas
radioiesve
 
Pcm
PcmPcm
Pcm
BERENICE GUADARRAMA
 
Estaciones terrenas
Estaciones terrenasEstaciones terrenas
Estaciones terrenas
Francisco Sandoval
 
Calculo radioenlace
Calculo radioenlaceCalculo radioenlace
Calculo radioenlace
Jorge Lara
 
Antena cuadro comparativo
Antena cuadro comparativoAntena cuadro comparativo
Antena cuadro comparativo
Jesus Escalona
 
Presentacion ict tema1
Presentacion ict tema1Presentacion ict tema1
Presentacion ict tema1
artorius1968
 
Modulacion
ModulacionModulacion
Modulacion
2unefagrupo002
 

La actualidad más candente (20)

Sistemas de Televisión Analógica en el mundo.pdf
Sistemas de Televisión Analógica en el mundo.pdfSistemas de Televisión Analógica en el mundo.pdf
Sistemas de Televisión Analógica en el mundo.pdf
 
Señalizacion de Comunicaciones
Señalizacion de ComunicacionesSeñalizacion de Comunicaciones
Señalizacion de Comunicaciones
 
Pdh
PdhPdh
Pdh
 
Comandos ensp huawei
Comandos ensp huaweiComandos ensp huawei
Comandos ensp huawei
 
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
Lecture 20 detección en códigos lineales de bloque. generación de códigos cíc...
 
CDMA y TDMA
CDMA y TDMACDMA y TDMA
CDMA y TDMA
 
Fuentes de informacion y entropia
Fuentes de informacion y entropiaFuentes de informacion y entropia
Fuentes de informacion y entropia
 
Lecture 3 analisis radioprop p1
Lecture 3 analisis radioprop p1Lecture 3 analisis radioprop p1
Lecture 3 analisis radioprop p1
 
CI19. Presentación 4. Large scale path loss (simplificada)
CI19. Presentación 4. Large scale path loss (simplificada)CI19. Presentación 4. Large scale path loss (simplificada)
CI19. Presentación 4. Large scale path loss (simplificada)
 
Lecture 8 formateo de señales dm y adm. multiplexión digital
Lecture 8 formateo de señales dm y adm. multiplexión digitalLecture 8 formateo de señales dm y adm. multiplexión digital
Lecture 8 formateo de señales dm y adm. multiplexión digital
 
Lecture 12 radioenlaces terrenales servicio fijo p3
Lecture 12 radioenlaces terrenales servicio fijo p3Lecture 12 radioenlaces terrenales servicio fijo p3
Lecture 12 radioenlaces terrenales servicio fijo p3
 
TDD Course (Spanish)
TDD Course (Spanish)TDD Course (Spanish)
TDD Course (Spanish)
 
PDH
PDHPDH
PDH
 
Fm estereo alvaro cuellas
Fm estereo alvaro cuellasFm estereo alvaro cuellas
Fm estereo alvaro cuellas
 
Pcm
PcmPcm
Pcm
 
Estaciones terrenas
Estaciones terrenasEstaciones terrenas
Estaciones terrenas
 
Calculo radioenlace
Calculo radioenlaceCalculo radioenlace
Calculo radioenlace
 
Antena cuadro comparativo
Antena cuadro comparativoAntena cuadro comparativo
Antena cuadro comparativo
 
Presentacion ict tema1
Presentacion ict tema1Presentacion ict tema1
Presentacion ict tema1
 
Modulacion
ModulacionModulacion
Modulacion
 

Similar a Identificación y análisis de patrones de trafico malicioso en redes ip

Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
JOSE ALFREDO RAMIREZ PRADA
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
RootedCON
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
guest99b32c
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
Guido Pineda
 
Campus party2011
Campus party2011Campus party2011
Campus party2011
campus party
 
Gestion de-redes
Gestion de-redesGestion de-redes
Gestion de-redes
Inti Chico
 
D1 gestión de redes de datos
D1 gestión de redes de datosD1 gestión de redes de datos
D1 gestión de redes de datos
mariopino129
 
monitorio de red y ciberseguridad de re
monitorio de red y ciberseguridad de remonitorio de red y ciberseguridad de re
monitorio de red y ciberseguridad de re
MiguelngelRuizJaimes1
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
xoanGz
 
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
CSUC - Consorci de Serveis Universitaris de Catalunya
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
Blanca Rodriguez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
Blanca Rodriguez
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
alexleo69
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriend
navajanegra
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
Carlos Antonio Leal Saballos
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
miss051
 
Uso de WireShark.pdf - capturando paquetes en línea
Uso de WireShark.pdf - capturando paquetes en líneaUso de WireShark.pdf - capturando paquetes en línea
Uso de WireShark.pdf - capturando paquetes en línea
CarlosBryden1
 
Mitigación de ataques DDoS en la Anella Científica
Mitigación de ataques DDoS en la Anella CientíficaMitigación de ataques DDoS en la Anella Científica
Mitigación de ataques DDoS en la Anella Científica
CSUC - Consorci de Serveis Universitaris de Catalunya
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicaciones
Andrea Morales
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaning
VictorPazmio4
 

Similar a Identificación y análisis de patrones de trafico malicioso en redes ip (20)

Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
 
Campus party2011
Campus party2011Campus party2011
Campus party2011
 
Gestion de-redes
Gestion de-redesGestion de-redes
Gestion de-redes
 
D1 gestión de redes de datos
D1 gestión de redes de datosD1 gestión de redes de datos
D1 gestión de redes de datos
 
monitorio de red y ciberseguridad de re
monitorio de red y ciberseguridad de remonitorio de red y ciberseguridad de re
monitorio de red y ciberseguridad de re
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
 
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriend
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
 
Uso de WireShark.pdf - capturando paquetes en línea
Uso de WireShark.pdf - capturando paquetes en líneaUso de WireShark.pdf - capturando paquetes en línea
Uso de WireShark.pdf - capturando paquetes en línea
 
Mitigación de ataques DDoS en la Anella Científica
Mitigación de ataques DDoS en la Anella CientíficaMitigación de ataques DDoS en la Anella Científica
Mitigación de ataques DDoS en la Anella Científica
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicaciones
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaning
 

Más de Jaime Restrepo

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
Jaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
Jaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
Jaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Jaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Jaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
Jaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
Jaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
Jaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
Jaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
Jaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Jaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Jaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
Jaime Restrepo
 

Más de Jaime Restrepo (20)

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 

Último

PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
70244530
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
NicandroMartinez2
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
larapalaciosmonzon28
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
Manuel Diaz
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
YashiraPaye
 
Modo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdfModo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdf
ranierglez
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
KukiiSanchez
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
YaniEscobar2
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
AbrahamCastillo42
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Festibity
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
Festibity
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
MiguelAtencio10
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
AngelCristhianMB
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
codesiret
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Festibity
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 

Último (20)

PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
Modo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdfModo test refrigeradores y codigos de errores 2018 V2.pdf
Modo test refrigeradores y codigos de errores 2018 V2.pdf
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 

Identificación y análisis de patrones de trafico malicioso en redes ip

  • 1. Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS Campus Party 2011
  • 2. Luis Eduardo Meléndez Campis @v3l3r0f0nt3 v3l3r0f0nt3@gmail.com
  • 3. Agenda Sesión I Sesión II (28 de Junio 5:30 pm – 7:00 pm) (30 de Junio 8:00 pm – 9:30 pm)  ¿Qué es trafico?  OS Fingerprinting pasivo  Estrategia para el análisis de trafico  Aplicando datacarving a vaciados de  Patrones de trafico trafico  Trafico anómalo  Graficando el trafico de red con Afterglow  Geo-localización IP  Detección y análisis rápido de shellcode en el trafico de red  Caso de estudio
  • 5. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 6. Estrategia para el análisis del trafico - Acceso  Concentradores o Hubs
  • 7. Estrategia para el análisis del trafico - Acceso  Puertos Span Puerto Span Estación de Monitoreo
  • 8. Estrategia para el análisis del trafico - Acceso  Tap’s GigabitEthernet Tap Estación de Monitoreo
  • 9. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 10. Estrategia para el análisis del trafico - Captura MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO  Componentes básicos de un sistema para la captura de trafico Protocol Analizer Librería de Procedimientos Aplicación de Capturadora Base de datos/Formato de para la Captura de Trafico Almacenamiento Database / Traffic Dissectors Filters PCAP Format Libpcap Tcpdump Profiles MySQL Winpcap Windump PostgreSQL Airpcap Wireshark Stream Assembly -------------------------------------- Tshark CAP Format Snort PCAP Format Libpcap/Winpcap/Airpcap RAW Format Incoming Data Stream 101010001110101011111010101000111010101011101101
  • 11. Estrategia para el análisis del trafico Acceso Obtener visibilidad del trafico de la red Captura Capturar y recopilar el trafico que fluye en la red Análisis Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del mismo.
  • 12. Estrategia para el análisis del trafico - Análisis  Componentes básicos para la realización de un análisis Conocimientos y habilidades Herramientas
  • 13. Herramientas para el análisis del trafico - Wireshark
  • 14. Herramientas para el análisis del trafico - Tshark
  • 15. Herramientas para el análisis del trafico – Networkminer
  • 16. Herramientas para el análisis del trafico – Xplico
  • 17. Herramientas para el análisis del trafico – Netwitnet Investigator
  • 18. Herramientas para el análisis del trafico – Snort
  • 19. Herramientas para el análisis del trafico –Malzilla y Libemu
  • 20. Herramientas para el análisis del trafico – Virustotal
  • 21. ¿Qué es un patrón de comportamiento?  Def. La forma esperada de comportamiento de un ente, este tiende a ser reiterativo en si mismo , en otros entes o en ambos. Wait Ready Go
  • 22. Patrón de trafico  Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.  Se pueden clasificar en: – Patrones de trafico normales o típicos – Patrones de trafico anormales o maliciosos
  • 23. Patrón de trafico – Huella o Firma  Firma Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa) Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
  • 24. Patrón de Trafico - Filtro  Filtro Transcripción de la firma a un lenguaje lógico que permita depurar el trafico capturado Solicitud de inicio de una conexión HTTP Xmas Scan Firma Firma Dirección IP origen Any Dirección IP origen Any Dirección IP destino Any Dirección IP destino Any Protocolo TCP Protocolo TCP Puerto origen Any Puerto origen Any Puerto destino 80 Puerto destino Any Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG Filtro Filtro tcp.flags.fin == 1 and tcp.flags.psh == 1 tcp.flags.syn == 1 and tcp.dstport == 80 and tcp.flags.urg == 1
  • 25. Algunas firmas asociadas a actividades anómalas Protocolo y puertos inusuales (P2P, IRC, 4444, …) PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON LA ANATOMIA DE UN ATAQUE Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..) Conexiones TCP entrantes inusuales (Bind) Conexiones TCP salientes inusuales (Reverse) Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…) Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
  • 26. Trafico anómalo  Técnicas de reconocimiento  Malware Ping Sweep Nimda Arp Sweep Clientes infectados con un Bot Syn Scan  Explotación de vulnerabilidades Xmas Scan with Decoys Ataque de fuerza bruta  Ataques de red Ataque de diccionario ARP Poison SQL Injection y Path Traversal Syn Flooding
  • 27. OS Fingerprinting pasivo TTL TOS MMS DF Bit Windows
  • 28. OS Fingerprinting pasivo – Tablas de huellas
  • 31. Aplicando datacarving a vaciados de trafico  TCPXtract tcpxtract --file ftp.pcap --output /root/output/  Foremost – ./foremost -v -t all -i ftp.pcap -o /root/output/
  • 32. Graficando el trafico de red con Afterglow Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0... Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable? Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failed Jun 17 09:42:38 rmarty sendmail: sendmail shutdown succeeded Jun 17 09:42:38 rmarty sendmail: sm-client shutdown succeeded Jun 17 09:42:39 rmarty sendmail: sendmail startup succeeded Jun 17 09:42:39 rmarty sendmail: sm-client startup succeeded Jun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:45:42 rmarty last message repeated 2 times Jun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128 Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8 Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8 Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0) Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user root Jun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0) Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user root Jun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0) Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabench Jun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192
  • 33. Graficando el trafico de red con Afterglow Archivo color.scan (Configuracion de la imagen)
  • 34. Graficando el trafico de red con Afterglow
  • 39. Detección y análisis rápido de shellcode en el trafico de red netcat bindshell port 6666 nc –l –t -p 6666 –e //bin/sh
  • 40. Caso de Estudio  Posible compromiso y hurto de información de un servidor web corporativo webserver.pcap
  • 41. Referencias • Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell • Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander • Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard • http://seguridadyredes.wordpress.com/ • http://www.jennylab.es/blog/ • http://conexioninversa.blogspot.com • http://www.honeynet.org