1

Banderas TCP: URG, ACK, PSH, RST, SYN, FIN. Qu hace cada bandera? SYN (Synchronize): Ya hemos visto que se utiliza para iniciar una conexin TCP. ACK (Acknowledgement): Este flag se utiliza para confirmaciones. PSH (Push): Se utiliza para forzar el enviado inmediato de los datos tan pronto como sea posible. Si el TCP emisor enva un paquete con este flag activado, el TCP receptor sabe que tiene que entregar los datos inmediatamente a la aplicacin receptora sin ponerlo en un buffer y esperar a ms datos. URG (Urgent): Sirve para definir un bloque de datos como "urgente". El campo Urgent Pointer de la cabecera es un puntero que "apunta" a donde terminan estos datos rgentes; de esta manera se marca el bloque de datos. FIN (Finalize): Sirve para finalizar una conexin. RST (Reset): Este bit se utiliza para reiniciar una conexin debido a paquetes corrompidos o a SYN duplicados, retardados, etc.

Para qu sirve?
SYN (Synchronize): Ya hemos visto que se utiliza para iniciar una conexin TCP. Veamos unos ejemplos prcticos: # hping2 -c 1 -S -p 21 192.168.1.9 HPING 192.168.1.9 (en0 192.168.1.9): S set, 40 headers + 0 data bytes len=46 ip=192.168.1.9 ttl=64 DF id=37670 sport=21 flags=SA seq=0 win=32768 rtt=0.4 ms --- 192.168.1.9 hping statistic --1 packets tramitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.4/0.4/0.4 ms En este ejemplo vemos cmo enviamos un paquete con el flag SYN al puerto 21 de 192.168.1.9 y nos responde con otro con los flags SYN y ACK. El puerto 21 de 192.168.1.9 est abierto.
2

ACK (Acknowledgement): Este flag se utiliza para confirmaciones. Si enviamos un paquete ACK "no solicitado" a un puerto X de una mquina, debera ser respondido con otro paquete con flag RST, sea cual fuere el estado del puerto. De hecho hay firewalls que slo filtran los paquetes de intento de conexin con SYN, no filtrando los que llevan ACK. # hping2 -c 1 -A -p 21 192.168.1.9 HPING 192.168.1.9 (en0 192.168.1.9): A set, 40 headers + 0 data bytes len=46 ip=192.168.1.9 ttl=64 id=38407 sport=21 flags=R seq=0 win=0 rtt=0.7 ms --- 192.168.1.9 hping statistic --1 packets tramitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.7/0.7/0.7 ms # # hping2 -c 1 -A -p 80 192.168.1.9 HPING 192.168.1.9 (en0 192.168.1.9): A set, 40 headers + 0 data bytes len=46 ip=192.168.1.9 ttl=64 id=38408 sport=80 flags=R seq=0 win=0 rtt=0.6 ms --- 192.168.1.9 hping statistic --1 packets tramitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.6/0.6/0.6 ms En el ejemplo anterior enviamos paquetes con flag ACK "no solicitados" a la misma mquina de antes, y vemos que sea cual sea el estado de los puertos nos responde con un paquete con flag RST. Lo mismo ocurre al enviar un SYN+ACK no solicitado. RST (Reset): Este bit se utiliza para reiniciar una conexin debido a paquetes corrompidos o a SYN duplicados, retardados, etc. Un paquete con flag RST no solicitado es simplemente ignorado: # hping2 -c 1 -R -p 21 192.168.1.9 HPING 192.168.1.9 (en0 192.168.1.9): R set, 40 headers + 0 data bytes --- 192.168.1.9 hping statistic -1 packets tramitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms
3

 Cmo se pueden utilizar? En la el monitoreo y seguridad de las redes, en auditorias de seguridad informtica. es bien sabido que para cualquier ataque que se requiera realizar a una organizacin los primeros ataques sern enviados por medios de paquetes y es cuando la seguridad de la rede debe entrar a combatir todos esos paquetes que desean realizar algn dao a la organizacin.

Filtros de wireshark: 1. Identificar 10 filtros ms utilizados o de mayor utilidad

Sintaxis host host src host host dst host host port port src port port dst port port not port port not port port and not port port1 net net dst net net dst net net src net net Significado Filtrar por host Capturar por host origen Capturar por host destino Captura todos los paquetes con puerto origen y destino port Captura todos los paquetes con puerto origen port Captura todos los paquetes con puerto destino port Captura todos los paquetes excepto origen y destino puerto port Captura todos los paquetes excepto origen y destino puertos port y port1 Captura todo el trafico con origen y destino red net Captura todo el trafico con destino red net Captura todo el trafico con destino red net Captura todo el trafico con origen red net

2. Para cada uno de los 10 filtros: 2.1. Explicar para que sirve cada uno de ellos
Sintaxis host 192.168.1.20 src host 192.168.1.1 dst host 192.168.1.1 port 21 src port 21 not port 21 and not port 80 portrange 1-1024 dst portrange 1-1024 net 192.168.1.0 net 192.168.1.0/24 dst net 192.168.2.0 Significado Captura todos los paquetes con origen y destino 192.168.1.20 Captura todos los paquetes con origen en host 192.1681.1 Captura todos los paquetes con destino en host 192.168.1.1 Captura todos los paquetes con puerto origen y destino 21 Captura todos los paquetes con puerto origen 21 Captura todos los paquetes excepto origen y destino puertos 21 y 80 Captura todos los paquetes con puerto origen y destino en un rango de puertos 1 a 1024 Captura todos los paquetes con puerto Captura todo el trafico con origen y destino subred 1.0 Captura todo el trafico para la subred 1.0 mascara 255.0 Captura todo el trafico con destino para la subred 2.0

2.2. Como funciona cada filtro

Sintaxis host 192.168.1.20 src host 192.168.1.1 dst host 192.168.1.1 port 21 src port 21 not port 21 and not port 80 portrange 1-1024 dst portrange 1-1024 net 192.168.1.0 net 192.168.1.0/24 dst net 192.168.2.0 Significado Captura todos los paquetes con origen y destino 192.168.1.20 Captura todos los paquetes con origen en host 192.1681.1 Captura todos los paquetes con destino en host 192.168.1.1 Captura todos los paquetes con puerto origen y destino 21 Captura todos los paquetes con puerto origen 21 Captura todos los paquetes excepto origen y destino puertos 21 y 80 Captura todos los paquetes con puerto origen y destino en un rango de puertos 1 a 1024 Captura todos los paquetes con puerto Captura todo el trafico con origen y destino subred 1.0 Captura todo el trafico para la subred 1.0 mascara 255.0 Captura todo el trafico con destino para la subred 2.0

Practicas NMAP

Obtener un screenshot demostrando la salida de cada comando. En la imagen debe de ser visible el reloj de Backtrack o el sistema operativo donde se ejecute NMAP. 1.- Comando para identificar el sistema operativo de tu maquina local de Windows OS: Windows 7 Ultimate 7601 Service Pack 1 (Windows 7 Ultimate 6.1) | NetBIOS computer name: FEDEX-PC | Workgroup: WORKGROUP

2.- Descubrir dispositivos conectados en una red local root@bt:~# nmap -sL 192.168.0.8

3.- Comando para escanear solo los puertos principales de una PC root@bt:~# nmap -sP 192.168.0.8/24

4.- Comando que descubre puertos abiertos en una PC root@bt:~# nmap -open 192.168.0.8

5.-Listar las aplicaciones/servicios que se estn ejecutando en cada puerto de una PC

6.- Escanear el puerto 53 UDP root@bt:~# nmap -p 53 192.168.0.8

7.- Describe las diferencias entre los resultados al escanear del puerto 53 UDP y TCP La principal diferencia es que UDP no est orientado a conexin y TCP es un protocolo orientado a conexin Cuando usas UDP es para mostrar La conectividad a los puertos y posibles vulnerabilidades 8.- Comando utilizado para escanear una red local evadiendo el firewall root@bt:~# nmap-PN 192.168.0.8

9.- Comando para escanear puerto 21, 80, 139, 8080 uno cada segundo root@bt:~# nmap -p 80 192.168.0.8

root@bt:~# nmap -p 139 192.168.0.8

root@bt:~# nmap -p 21 192.168.0.8

root@bt:~# nmap -p 8080 192.168.0.8

10.-Comando para escanear todos los puertos TCP de una mquina y que el resultado del escaneo solo muestre puertos abiertos. root@bt:~# nmap-T5 192.168.0.8

10