taller2_network forensic

Taller 1: Network Forensics Nombre: David_______________________________ Nombre: Mauricio Gualtero 28137________________

Views 102 Downloads 2 File size 85KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories

Citation preview

Taller 1: Network Forensics Nombre: David_______________________________ Nombre: Mauricio Gualtero 28137_______________________________ Nombre: _______________________________

I.

Ejercicio 1: Analizar con wireshark la siguiente captura: Archivo: telnet-cooked.pcap 1. ¿Cuáles son las direcciones IP de las máquinas que realizan el telnet? 192.168.0.1 192.168.0.2 2. ¿Cuál es la dirección del servidor? 192.168.0.1 3. ¿Qué sistema operativo maneja el servidor remoto? UNIX 4. ¿Cuál fue la fecha del último logueo? Sat Nov 27 20:11:43 5. ¿Cuál es el usuario y la contraseña del usuario que realiza el logueo? Login:fake password:user

II.

Ejercicio 2: Analizar con wireshark la siguiente captura: Archivo: FTPv6-1.cap 1. ¿Cuáles son las direcciones IPv6 de las máquinas que realizan el FTP?  Internet Protocol Version 6, Src: 2002:5183:4383::5183:4383, Dst: 2001:638:902:1:201:2ff:fee2:7596 

Internet Protocol Version 6, Src: 2001:638:902:1:201:2ff:fee2:7596, Dst: 2002:5183:4383::5183:4383

2. ¿Cuál es la dirección del servidor? Src Port 21. Internet Protocol Version 6, Src: 2001:638:902:1:201:2ff:fee2:7596, Dst: 2002:5183:4383::5183:4383 3. ¿Cuál es la URL del servidor FTP? 6bone.informatik.uni-leipzig.de

4. ¿Cuál es el usuario y la contraseña del usuario que realiza el logueo? USER anonymous PASS IEUser@ 5. ¿Cuál es el nombre de la aplicación que ejecuta el servidor? NetBSD-ftpd 6. ¿A qué hora se capturó el paquete donde viaja el usuario y contraseña? (hasta milisegundos) ¿En qué paquetes de la captura viaja dicha información? First packet: 2005-07-16 10:29:29 Last packet: 2005-07-16 10:29:55

III.

Descargue el archivo forense_redes.pcap del Aula Virtual. Caso: Ann y el Sr. X, sospechosos de un delito contra la propiedad intelectual, han establecido su base de operaciones. Mientras espera que se complete la documentación de extradición, usted y su equipo de investigadores monitorean secretamente su actividad. Recientemente, Ann obtuvo un AppleTV nuevo y lo configuró con la dirección IP estática 192.168.1.10. Se cuenta con la captura de su actividad en la red. Eres el investigador forense. Tu misión es descubrir lo que Ann buscó, crear un perfil de sus intereses y recuperar evidencia que incluya: 1. ¿Cuál es la dirección MAC de Apple TV de Ann? Ethernet II, Src: Apple_fe:07:c4 (00:25:00:fe:07:c4), Dst: CiscoLi_ad:57:7b (00:23:69:ad:57:7b) 2. ¿Qué cadena de Usuario-Agente usó AppleTV de Ann en las solicitudes HTTP? AppleTV/2.4

3. ¿Cuáles fueron los primeros cuatro términos de búsqueda de Ann en AppleTV (todas las búsquedas incrementales cuentan)? 43 H 180 Ha 230 Hac 276 Hack 4. ¿Cuál fue el título de la primera película en la que Ann hizo clic?

307 Hackers 5. ¿Cuál fue la URL completa del avance de la película (definido por "preview-url")? 307 http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.p lqacyqb..640x278.h264lc.d2.p.m4v 6. ¿Cuál fue el título de la segunda película en la que Ann hizo clic? 1181 Sneakers

7. ¿Cuál fue el precio para comprarlo (definido por "visualización de precios")? 1181 $9.99

8. ¿Cuál fue el último término completo que buscó Ann? 1766 iknowyourewatchingme FIRMA MD5: (forense_redes.pcap): f8a01fbe84ef960d7cbd793e0c52a6c9 IV.

Resuelva el siguiente caso:

Id del caso: 0001

Fecha:

Equipo investigador Forense: Descripción del delito La empresa Anarchy-R-Us, Inc. sospecha que uno de sus empleados, Ann Dercover, realmente es una agente secreta que trabaja para su competidor. Ann tiene acceso al activo del premio de la compañía, la receta secreta. El personal de seguridad está preocupado de que Ann intente filtrar la receta secreta de la compañía. El personal de seguridad ha estado monitoreando la actividad de Ann por algún tiempo, pero hasta ahora no ha encontrado nada sospechoso. Hoy, una computadora portátil inesperada apareció brevemente en la red inalámbrica de la compañía. El personal cree que podría haber sido alguien en el estacionamiento, porque no se vio a extraños en el edificio. La computadora de Ann (192.168.1.158) envió mensajes instantáneos a través de la red inalámbrica a esta computadora. El portátil falso desapareció poco después del monitoreo de la red. "Tenemos una captura de paquetes de la actividad", dijo el personal de seguridad, "pero no podemos averiguar qué está pasando. ¿Puede usted ayudar?" Usted es el investigador forense. Su misión es averiguar quién fue la mensajería instantánea de Ann, lo que envió y recuperar pruebas que incluyen:

Objetivos de la investigación Contestar las siguientes preguntas:

1. ¿Cuál es el nombre de la amiga de Ann? 2. ¿Cuál fue el primer comentario en la conversación de IM capturada? 3. ¿Cuál es el nombre del archivo que Ann transfirió? 4. ¿Cuál es el número mágico del archivo que desea extraer (primeros cuatro bytes)? 5. ¿Cuál fue la suma MD5 del archivo? 6. ¿Cuál es la receta secreta?

Evidencia Se logró capturar una trama que se cree es fundamental en la investigación. Favor descargarlo del Aula Virtual. Es la captura evidencia1.pcap MD5 (evidencia1.pcap): d187d77e18c84f6d72f5845edca833f5 Análisis forense Conclusiones