[intrusion] Mensaje para la Semana #3
- From: "Javier Romero" <javier@xxxxxxxxxxxxxxxx>
- To: <intrusion@xxxxxxxxxxxxx>
- Date: Tue, 31 May 2005 11:34:10 -0500
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Julieta/Alberto/Walter/Ernesto
Muy bien d=EDa a todos.
Esta semana debemos leer el libro 503.2 desde la p=E1g. 1-1 a la 6-52
Importante:
1. Deben resolver el "retos semanales 2 y 3" adjunto.
Los dos primeros en resolver el reto #7 podr=E1n probarlo ellos mismos =
con sistemas remotos durante la clase, y luego nos ense=F1aran a todos =
sus hallazgos.=20
Antes, deber=E1n enviarme sus respuestas (al respecto de este reto #7)
2. Traer preguntas de su lectura, para ir a los puntos clave.
3. Me han solicitado m=E1s ejercicios, as=ED que rem=EDtanse a practicar =
con el reto #4 (de preferencia habiendo leido antes el libro)
4. Vuestras MP3 los consiguen ingresando a =
https://portal.sans.org/login.php ( Self Study Files )
5. Los PPT que me pidieron en clase, tambi=E9n estar=E1n en ese portal =
en unas horas.
Saludos,
Javier Romero
SANS Local Mentor
-- Attached file included as plaintext by Ecartis --
-- File: reto semanal 2 y 3.txt
PREGUNTAS DE REPASO - RETO SEMANAL # 2
===================
Ejercicio #4 (OBLIGATORIO) Nivel: 100
============
Resolver todos los ejercicios técnicos del libro "Intrusion Detection Hands-On
Workbook"
- pág. 7-A hasta
- pág. 55-A
Las respuestas de las mismas se hallan desde la pág. 65-A hasta 133-A
Ejercicio #5 (OBLIGATORIO) Nivel: 200
============
Dada el siguiente filtro, en tu red externa:
windump -v host mired.com and host hacker.com
Obtienes como resultado:
11:40:18.365699 IP (tos 0x0, ttl 126, id 46734, offset 0, flags [+], length:
1500) hacker.com > mired.com: icmp 1480: echo request seq 3072
11:40:18.365742 IP (tos 0x0, ttl 126, id 46734, offset 1480, flags [+], length:
1500) hacker.com > mired.com: icmp
11:40:18.365765 IP (tos 0x0, ttl 126, id 46734, offset 2960, flags [+], length:
1500) hacker.com > mired: icmp
11:40:18.365786 IP (tos 0x0, ttl 126, id 46734, offset 4440, flags [none],
length: 588) hacker.com > mired.com: icmp
11:40:23.764143 IP (tos 0x0, ttl 126, id 46751, offset 0, flags [+], length:
1500) hacker.com > mired.com: icmp 1480: echo request seq 3328
11:40:23.764187 IP (tos 0x0, ttl 126, id 46751, offset 1480, flags [+], length:
1500) hacker.com > mired.com: icmp
11:40:23.764208 IP (tos 0x0, ttl 126, id 46751, offset 2960, flags [+], length:
1500) hacker.com > mired.com: icmp
11:40:23.764230 IP (tos 0x0, ttl 126, id 46751, offset 4440, flags [none],
length: 588) hacker.com > mired.com: icmp
11:40:28.796092 IP (tos 0x0, ttl 126, id 46771, offset 0, flags [+], length:
1500) hacker.com > mired.com: icmp 1480: echo request seq 3584
11:40:28.796136 IP (tos 0x0, ttl 126, id 46771, offset 1480, flags [+], length:
1500) hacker.com > mired.com: icmp
11:40:28.796157 IP (tos 0x0, ttl 126, id 46771, offset 2960, flags [+], length:
1500) hacker.com > mired.com: icmp
11:40:28.796179 IP (tos 0x0, ttl 126, id 46771, offset 4440, flags [none],
length: 588) hacker.com > mired.com: icmp
11:40:33.826804 IP (tos 0x0, ttl 126, id 46787, offset 0, flags [+], length:
1500) hacker.com > mired.com: icmp 1480: echo request seq 3840
11:40:33.826846 IP (tos 0x0, ttl 126, id 46787, offset 1480, flags [+], length:
1500) hacker.com > mired.com: icmp
11:40:33.826868 IP (tos 0x0, ttl 126, id 46787, offset 2960, flags [+], length:
1500) hacker.com > mired.com: icmp
11:40:33.826890 IP (tos 0x0, ttl 126, id 46787, offset 4440, flags [none],
length: 588) hacker.com > mired.com: icmp
Sí los paquetes aquí registrados son totalmente normales, y no hay trucos en
ellos.
Además mired.com es un router que restringe tamaño de paquete.
Conteste:
a. Entonces ¿Qué crees que está haciendo el hacker?
b. ¿Qué puedes decir del hacker? (usa pag. 27 "OS fingerprinting" del "packet
analysis ref. guide v.1.0")
Ejercicio #6 (OPCIONAL) Nivel: 200
============
Traer una breve disertación (3 párrafos, y si gusta incluya un gráfico de red)
donde plantee
un escenario de intrusión a una red que usted conozca.
NOTA:
- Sólo emplee técnicas vistas y leidas hasta ahora.
- Reserve en el anonimato el nombre de dicha red.
Ejercicio #7 (OPCIONAL) Nivel: 300
============
http://isc.sans.org/diary.php?date=2005-05-29
http://www.dshield.org/port_report.php?port=53
El lunes 30 mayo, los handlers on duty del ISC reportaron un crecimiento de
tráfico TCP/UDP 53.
Este reporte lo generan gracias a decenas de cientos de firewalls, ids, y
sistemas similares
que envía sus registros a ISC.
NOTA: Estos registros son todos los puertos entrantes que dichos firewalls,
ids, etc bloquean.
Es decir, todo tráfico considerado ilegal para dichas redes.
Usted trabaja para una compañía de antivirus y sus jefes quieren saber si el
tráfico es producto
de alguna actividad hostil (entiéndase, DoS, reconocimientos,
estímulos/respuesta)
Pregunta:
Su compañía tiene 2 servidores DNS expuestos a internet y una veintena de otros
servidores SMTP, POP3, HTTP, HTTPS, IMAP, FTP, entre otros, todos proveyendo
servicios a una
altísima carga de tráfico.
Su firewall sólo permite servicio DNS a esos dos servidores.
Su rango de red es 200.14.241.0 255.255.255.64
La IP de sus servidores DNS son: 200.14.241.36 y 200.14.241.38
1. ¿Qué debe capturar para analizar ágilmente el suceso?
2. ¿cuál es el mejor filtro TCPDUMP/WINDUMP para ello?
Other related posts:
- » [intrusion] Mensaje para la Semana #3
