Add to collection(s) Add to saved
  1. No category
Uploaded by Fernando

Práctica Laboratorio integrado de ciberseguridad

advertisement 
Práctica 4: Laboratorio integrado de ciberseguridad
●
¿Qué puerto se está usando en la comunicación con el servidor web del
malware?
Se ha usado el puerto 6666
●
¿Cuál es el indicador?
El indicador es el número situado detrás de “:” al final de la IP.
●
¿Se ha descargado el fichero completamente?
●
¿Se ha generado alguna alerta sobre el fichero descargado en el IDS?
Si
Si, ya que en el snort sale una alerta de que se ha descargado un software malicioso
●
¿Cuáles son las direcciones IPv4 origen y destino usadas en la transacción?
Origen: 209.165.200.235
Destino: 209.165.202.133
●
¿Cuáles son los puertos origen y destino usados?
Origen: 47740
Destino: 6666
●
¿Cuándo tuvo lugar la descarga?
Tuvo lugar el 06/27 a las 08:16:52.104600
●
¿Cuál es el mensaje registrado por la firma de del IDS?
●
¿Para qué puede servirle este fichero PCAP a un analista de seguridad?
Al ejecutarse en segundo plano no podrá leer el tráfico, por tanto si lo guarda en una
captura pcap podrá posteriormente analizar el tráfico que se ha generado.
●
¿Qué cadenas se están usando actualmente?
En el momento de la captura no se usa ninguna cadena.
●
¿Ha tenido éxito la descarga en este caso? Explicarlo:
No ha tenido éxito ya que hemos bloqueado todo el tráfico tcp que pasa por el puerto 6666
con la regla insertada en el firewall, entonces no se crea la conexión para descargar el
archivo.
●
¿Cuál sería una solución más agresiva pero igualmente válida, al bloquear al
servidor ofensivo?
Bloquear todo tipo de tráfico, no solo el TCP, que pasa por ese puerto.
●
¿Qué son los símbolos que se muestran en la ventana Follow TCP Stream?
¿Son ruido de la conexión? ¿Son datos? Explícalo:
Son los metadatos del ejecutable y al estar representados en bytes puede contener datos
en diferentes formatos. Pero al ver caracteres especiales puede ser que sea ruido dentro
del stream TCP.
●
Las palabras a lo largo de los símbolos, ¿por qué están ahí?
Es la parte legible del stream TCP que indica especificaciones del ejecutable. Por ejemplo,
MZ indica que es un archivo ejecutable y más adelante te indica que no se puede ejecutar
en modo DOS.
●
¿Por qué el único fichero presente en la captura es W32.Nimda.Amm.exe?
Porque era el único tráfico generado en la interfaz que escuchamos anteriormente con
tcpdump.
●
Si.
¿Se ha salvado el fichero?
Related documents
tp3-ejercicios-de-tcp
tp3-ejercicios-de-tcp
Cuestionario de repaso
Cuestionario de repaso
TRABAJO 2
TRABAJO 2
Examen de Redes
Examen de Redes
MEC-PECAPOT2D
MEC-PECAPOT2D
Practice Problems Final sol
Practice Problems Final sol
Martinell y Lopez Cruz- Organum
Martinell y Lopez Cruz- Organum
Download
advertisement