Professional Documents
Culture Documents
Cyber Ops
Cyber Ops
1.5 IP Addressing
1.20 Wireshark
1.22 Challenge
Section 12:
12.10 Challenge
No Medal
Section 13:
13.15 NetFlow
13.20 Challenge
No Medal
Section 14:
14.9 Challenge
FCS
Nota
El formato de los datos en cada capa se conoce genéricamente como
la PDU . También hay terminología que se usa para la PDU en ciertas
capas. Por ejemplo, la PDU de Capa 2 (capa de enlace de datos) se
denomina "frame". La PDU Layer 3 (capa de red) se denomina
"paquete". La PDU Layer 4 (capa de transporte) se denomina "segmento"
para TCP o un "datagrama" para UDP. PDU unidad de datos de protocolo
TCP / IP incluye no solo TCP e IP, sino también especificaciones para otros
protocolos, como UDP, ICMP , etc. También incluye aplicaciones comunes
como correo electrónico, emulación de terminal y transferencia de
archivos. TCP / IP incorpora todos los aspectos de las comunicaciones de
red modernas que usan IP en la capa de red. TCP opera en la capa de
transporte de los modelos OSI y TCP / IP y es responsable de asegurarse de
que los datos que envía el dispositivo fuente lleguen a su destino. IP opera
en la capa de red del modelo OSI (capa de Internet del modelo TCP / IP) y es
responsable de la transmisión de datos. No hace ninguna corrección de
error en sí misma. La figura siguiente proporciona una comparación de los
modelos OSI y TCP / IP.
A finales de los años setenta y durante los años ochenta, ningún protocolo
de red era dominante. Hubo muchos, incluidos IBM SNA , DEC DECnet,
Apple AppleTalk, Banyan Vines y Novell IPX . Debido a muchas
circunstancias históricas y en comparación con todos los competidores,
TCP / IP ha cobrado impulso y se ha convertido en el estándar de facto en la
industria.
Eche un vistazo más de cerca a las cuatro capas del modelo TCP / IP:
1.4 Introducción a IP
1.5 Direccionamiento IP
Considere cómo las direcciones físicas de las calles son necesarias para
ubicar hogares y negocios específicos, de modo que el correo pueda llegar a
esas ubicaciones del mundo real de manera eficiente. De manera similar,
las direcciones IP lógicas se utilizan para identificar la ubicación de
dispositivos específicos en una red IP, de modo que los datos puedan llegar
a esas ubicaciones de red de manera eficiente. Cada host, computadora,
dispositivo de red o periférico conectado a Internet debe tener una
dirección IP. Sin una estructura para asignar todas esas direcciones IP,
sería imposible enrutar los paquetes de manera eficiente.
Ejemplo
dieciséi
Cada octeto (o byte) se puede convertir a un decimal. 172 128
s
Se dice que los hosts que comparten la misma ID de red están en la misma
red. La mayoría de los hosts en una red pueden comunicarse directamente
solo con dispositivos en la misma red. Si los hosts necesitan comunicarse
con dispositivos que tienen interfaces asignadas con otras ID de red, es
necesario que haya un dispositivo de red que pueda enrutar datos entre las
redes. Los enrutadores pueden enrutar datos entre redes porque mantienen
información sobre las rutas a las diversas redes. Una identificación de red
permite que un enrutador coloque un paquete en la red apropiada.
Máscaras de direcciones IP
Para IPv4, una máscara de subred es una combinación de 32 bits que
identifica qué parte de la dirección es la parte de la red y qué parte es la
parte del host. Realiza esta función usando 1s y 0s. Se crea una máscara
de subred colocando un 1 binario en cada posición de bit que representa la
porción de red y colocando un 0 binario en cada posición de bit que
representa la porción de host. Por ejemplo, una máscara de subred de
255.255.255.0 (11111111.11111111.11111111.00000000) aplicada a la
dirección IP 192.168.7.5 especifica que los dígitos binarios de los primeros
tres octetos son la porción de red de la dirección y cada bit del último
octeto especifica el host dirección. Por lo tanto, 192.168.7.0 es la dirección
de red y .5 es la dirección de host. Una máscara de subred ayuda a los
enrutadores a determinar la ruta de red de los paquetes. La figura a
continuación proporciona otro ejemplo.
Cuando expresa una dirección IP, la acompaña con una máscara de subred
en formato decimal con puntos, o agrega una longitud de prefijo. Una
longitud de prefijo realiza la misma función que una máscara de subred
proporcionando el número de bits en la dirección que se utilizan para la
porción de red. Por ejemplo, en 172.16.55.87/20, / 20 es la longitud del
prefijo. Le dice que los primeros 20 bits son la dirección de red. Los 12 bits
restantes componen la porción de host. El prefijo A / 20 es el equivalente de
la máscara de subred 255.255.240.0
(11111111.11111111.11110000.00000000).
0 0000001 16.7
Clase A 1-126 primero 10 .1.2.3
a 01111110 * host
1 0 000000 a 65.5
Clase B 128-191 Dos primeros 172.17 .2.3
1 0111111 por
Nota
* 127 (01111111) es una dirección Clase A reservada para interfaces de
bucle de retorno locales y no se puede asignar a una red.
Clase A: 255.0.0.0 o a / 8
Clase B: 255.255.0.0 o a / 16
Clase C: 255.255.255.0 o a / 24
AfriNIC
APNIC
ARIN
LACNIC
RIPE NCC
UN 10.0.0.0 a 10.255.255.255
do 192.168.0.0 a 192.168.255.255
Nota
* Aunque el rango de direcciones públicas de clase B normalmente se define
como se presenta en la tabla anterior, el RFC 3927 reserva las direcciones
169.254.0.1 a 169.254.255.254 para el direccionamiento de enlace local.
1.9 Direcciones IPv6
Una dirección IPv6 es un valor binario de 128 bits, que se puede mostrar
como 32 caracteres hexadecimales. IPv6 ofrece un suministro virtualmente
ilimitado de direcciones IP, debido a su generoso espacio de direcciones de
128 bits. Con IPv6, hay suficientes direcciones para asignar más que todo
el espacio de direcciones de Internet IPv4 a todos en el planeta.
Unicast: 2001: 0000: 130F: 0000: 0000: 09C0: 876A: 130B o 2001: 0:
130f :: 9c0: 876a: 130b
Bucle de retorno: 0: 0: 0: 0: 0: 0: 0: 1 o :: 1
Sin especificar: 0: 0: 0: 0: 0: 0: 0: 0 o ::
Enviar cada grupo por separado es tedioso, por lo que envía varios sobres
juntos. El servicio postal entrega nuevamente cada sobre por cualquier
camión y cualquier ruta. El destinatario firma un recibo por cada sobre en el
lote a medida que se reciben los sobres. Si se pierde un sobre en tránsito,
no recibirá un certificado de entrega para ese sobre numerado, y puede
volver a enviar todas las páginas del grupo. Del mismo modo, si uno de los
sobres está dañado por el agua, el destinatario puede informarle el número
de secuencia y puede volver a imprimir y volver a enviar las páginas que
estaban en el sobre dañado. Después de recibir todos los sobres, el
destinatario vuelve a armar las páginas en el orden correcto.
Reservado: establecido en 0 (6 bits)
Nota
Algunas especificaciones experimentales definidas en RFC están haciendo
uso de algunos de los bits reservados. Por ejemplo, en la figura anterior, 3
de los bits reservados se muestran como indicadores separados de 1 bit
(NS, CWR y ECE).
4. RST: Restablece la conexión.
TCP requiere que se establezca una conexión entre dos sistemas finales
antes de que pueda comenzar la transferencia de datos. TCP establece la
conexión utilizando un proceso que se denomina handshake de tres
vías. Este proceso implica establecer el bit SYN y el bit ACK en los
segmentos entre los dos dispositivos. Una función importante que se
realiza durante el establecimiento de la conexión es que los dispositivos
intercambian sus números de secuencia iniciales (ISN). Este número se usa
para rastrear bytes de datos en esta conexión. La siguiente tabla incluye
una explicación simplificada del proceso de enlace de tres vías, que se
ilustra en la figura.
Procedimiento de configuración de conexión TCP
Pas
Acción Notas
o
El dispositivo receptor responde con un TCP El host B le está diciendo al host A: "E
SYN / ACK (un segmento TCP con los bits aceptando su solicitud de conexión. M
SYN y ACK establecidos) que reconoce el de secuencia inicial es 300. Estoy rec
2
número de secuencia inicial del par y su número de secuencia inicial de 100
presenta su propio número de secuencia siguiente byte de datos que espero re
inicial. usted es el byte número 101. "
Procedimiento de configuración de conexión TCP
Pas
Acción Notas
o
Una conexión TCP se cancela normalmente y con gracia cuando cada lado
de la conexión cierra su lado de la conexión de forma independiente. El
siguiente ejemplo proporciona una descripción simplificada del proceso:
Los puertos conocidos son asignados por la IANA y están numerados con el
1023 y siguientes. Estos números se asignan a aplicaciones que son
fundamentales para Internet y se definen en RFC1700 ( http://www.rfc-
editor.org/rfc/rfc1700.txt ). Los puertos registrados se enumeran por IANA y
están numerados de 1024 a 49151. Estos puertos se utilizan para
aplicaciones propietarias, como Lotus Notes Mail. A los puertos efímeros se
les asignan números entre 49152 y 65535. Estos puertos se asignan
dinámicamente durante una sesión específica.
En general, un servidor tiene una aplicación, a menudo llamada daemon, que
escucha en un puerto conocido. Las aplicaciones del cliente se asignan
dinámicamente a un puerto efímero para ser utilizado por el sistema
operativo del cliente. El cliente luego usa este puerto para conectarse al
servidor que está escuchando en el puerto conocido.
Nota
La dirección MAC es el identificador único del dispositivo. Por lo general,
está integrado en el hardware durante la fabricación. La dirección MAC
también se conoce como dirección de hardware o dirección física. La
dirección tiene 48 bits de longitud y generalmente se representa con
notación hexadecimal. Los grupos de dígitos generalmente se separan con
dos puntos, guiones o puntos. Las siguientes tres notaciones de ejemplo
son comunes y equivalentes: 54: EE: 75: B1: 6F: 22, 54-EE-75-B1-6F-22 y
54EE.75B1.6F22.
Nota
La tabla ARP en el sistema de Windows incluye asignaciones para algunas
direcciones de multidifusión, como IGMP y LLMNR.
ARP opera entre la Capa 2 y la Capa 3 del modelo OSI. Los mensajes ARP
se envían usando Ethertype 0x0806. Ethertype es un campo de dos octetos
en un encabezado Ethernet. Ethertype se usa para indicar qué protocolo
está encapsulado en la carga de un Frame Ethernet. Ethertype 0x0800
indica una carga de IPv4, Ethertype 0x86DD indica una carga de IPv6.
ARP comprueba la tabla ARP. En este ejemplo, se supone que este host no
se ha comunicado con el otro host, por lo que no hay ninguna entrada en la
tabla ARP, lo que da como resultado que la Capa 2 contenga el paquete
hasta que ARP pueda proporcionar un mapeo.
El programa ARP crea una solicitud ARP y la pasa a la Capa 2, indicando a
Layer 2 que envíe la solicitud a una dirección de difusión (todos los valores
hexadecimales F). La capa 2 encapsula la solicitud ARP en un marco de
capa 2. Utiliza la dirección de difusión proporcionada por ARP como
dirección MAC de destino y la dirección MAC local como fuente.
Cuando el host 192.168.3.2 recibe el marco, toma nota de la dirección de
difusión y elimina la encapsulación de Capa 2. La solicitud ARP restante se
pasa a ARP.
Usando la información en la solicitud ARP, ARP actualiza su tabla.
ARP genera una respuesta y la pasa a la Capa 2, indicando a Layer 2 que
envíe la respuesta a la dirección MAC 0800: 0222: 2222 (host 192.168.3.1).
La Capa 2 encapsula el ARP en un marco de Capa 2 utilizando la dirección
MAC de destino proporcionada por ARP y la dirección MAC de origen local.
Cuando el host 192.168.3.1 recibe el marco, observa que la dirección MAC
de destino es la misma que su propia dirección. Quita la encapsulación de
Capa 2.
La respuesta ARP restante se pasa a ARP.
ARP actualiza su tabla y pasa la asignación a la Capa 2.
La Capa 2 ahora puede encapsular el paquete pendiente en un marco de
Capa 2 y enviarlo al servidor 192.168.3.2.
En el host 192.168.3.2, el cuadro se pasa a la pila donde se elimina la
encapsulación. La PDU restante se pasa a TCP.
En respuesta al SYN, TCP pasa SYN-ACK por la pila que se va a
encapsular.
Una vez que se completa el protocolo de enlace de tres vías, TCP puede
informar a la aplicación que la sesión se ha establecido.
Ahora la aplicación puede enviar los datos a lo largo de la sesión, confiando
en TCP para la detección de errores.
El intercambio de datos continúa hasta que la aplicación deja de enviar
datos.
1.16 Protocolo de configuración dinámica de host
Nota
Para ciertos tipos de servidores, como servidores DHCP y servidores DNS ,
debe asignar direcciones IP estáticas (permanentes).
1.17 DNS
DNS usa el puerto TCP y UDP 53. El puerto TCP 53 se usa para
transferencias de zona al replicar la base de datos DNS entre diferentes
servidores DNS. El puerto UDP 53 se usa para realizar consultas DNS desde
los clientes.
1.18 ICMP
Existen dos razones por las cuales un destino podría ser inalcanzable. Más
comúnmente, el host de origen ha especificado una dirección
inexistente. Con menos frecuencia, el enrutador no tiene una ruta hacia el
destino.
Tip
Nombre Código
o
Echo
0 0
Responder
Solicitud de
8 0
eco
root @Kali: ~ #
root @Kali: ~ #
La -r opción ordena a tcpdump que lea desde el mismo archivo PCAP que
se creó en el ejemplo aquí. Además, la -x opción se usa para generar la
representación hexadecimal.
root @Kali: ~ #
La -XX opción genera tanto las representaciones hexadecimales como las
ASCII. La representación ASCII es extremadamente útil cuando se trabaja
con texto sin formato o datos legibles por humanos.
root @Kali: ~ #
1. net 192.168.1.0
3. net 192.168.1.0/24
<salida omitida>
Parámetro Descripción
icmp[icmptype] != icmp-echo and Captura todos los paquetes ICMP que no son solic
Ejemplos de sintaxis BPF
Parámetro Descripción
Nota
La captura de paquetes también puede ser realizada por dispositivos de red
como Cisco ISR y Cisco ASA .
1.20 Wireshark
Nota
Wireshark es una marca registrada de Wireshark Foundation.
Al expandir los protocolos dentro del panel de detalles del paquete, los
analistas pueden encontrar un campo que les interese. Como se muestra en
la figura a continuación, al hacer clic en un campo, se resaltan los bytes
relevantes en el panel de paquetes de bytes. Esta información no solo
ayuda a los analistas a conocer rápidamente las estructuras de protocolo,
sino que también permite a los usuarios que están más familiarizados con el
protocolo identificar rápidamente cualquier incoherencia.
En este punto, es necesario hacer una breve mención del papel de los filtros
para distinguir los filtros de visualización en la parte superior de la ventana
de Wireshark. En el ejemplo siguiente, el filtro http se aplica para mostrar
solo el tráfico HTTP. No confunda los filtros de visualización con los filtros
de captura que se describieron con tcpdump. Los filtros de captura
Tcpdump utilizan la sintaxis BPF . Los filtros de visualización de
Wireshark no afectan a lo que se está capturando, y usan sintaxis propia.