miércoles, 29 de febrero de 2012

Simulación y Detección de un ataque.

Una de las posibilidades de la captura y analisis de paquetes proporcionados por Wireshark es la habilidad de detectar si provienen de una fuente maliciosa, con lo cual las acciones acordes pueden tomarse para mitigar los efectos.

Para desmostrar esto se propone una sencilla simulación en la cual dos computadoras atacaran a una tercera y es ataque sera visualizado en Wireshark.

Requerimientos.
Para llevar a cabo este experimento sera necesario contar con lo siguiente:
  • Tres computadoras conectadas en red.
  • Las direcciones IP de las computadoras.
  • Wireshark instalado en al menos uno de los equipos.
  • Ping disponible en al menos dos de los equipos.
Para conseguir las direcciones IP de los equipos basta consultar las propiedades de la conexión , las cuales son accesibles desde el panel de control en los sistemas Microsoft Windows o por medio del comando ipconfig, ambos le entregaran la dirección IP del equipo, asegúrese de anotarlas.


Procedimiento.

Una vez que las tres computadoras esten conectadas en linea y la maquina victima reciba y responga a los ping enviados arranque Wireshark en la maquina victima y comienze a capturar paquetes, durante esto ponga atencion a la columna tipo, ya que asi podra saber cuales son los protocolos que comunmente arriban, un ejemplo de como se ve el trafico normal puede  observarse en la Figura 1 donde se que si bien los paquetes ARP son comunes tambien hay paquetes de otros protocolos y hay varios microsegundos entre los paquetes.

Figura 1: Trafico Normal.
Ahora que a tiene una vista del trafico usual de la red es el momento de comenzar la simulación del ataque, para hacer esto ingrese el siguiente comando en las maquinas atacantes

ping -t ip-victima

Este comando comenzara a enviar solicitudes de respuesta de forma continua a la dirección IP indicada mismos que seran respondios por el receptor.



Esto puede observarse desde Wireshark, si comienza o ya esta capturando paquetes al momento en que el ataque comienze obtendra una pantalla similar a la Figura 2



Figura 2: Paquetes ICMP.
Como podra observar ahora esta presente una gran cantidad de paquetes \emph{ICMP}, los cuales se visualizan mejor aplicando el filtro de visualizacion del mismo nombre, en estos paquetes pueden observarse una serie de caracteristicas particulares.

Primero que hay paquetes generados tanto por el atacante, los cuales estan descritos como Echo (ping) request en el campo Info, asi como paquetes generados por la maquina victima identificados como Echo (ping) reply, por lo que en efecto el responder a los las solicitudes de ping consume recursos de la maquina victima.


Observaciones
Al comezar este experimento se observo un problema con el comando ping, pese a tener las direcciones IP de todas las computadoras utilizadas y verificar la conexión, el ping siempre regresaba el mensaje 100% packet loss esto se debio a que los sistemas utilizados, Microsoft Windows XP y Microsoft Windows 7 tienen habilitado el cortafuegos por defecto, por lo que, para realizar el experimento, fue necesario deshabilitarlo en la maquina victima.