Ejercicio Anáslisis de tráfico

[pic 1][pic 2][pic 3]

INDICE

Escenario planteado:        2

Preguntas:        2

1.        ¿Cuál es el nombre del amigo de Ann?        2

2.        ¿Cuál es el primer comentario de la conversación?        2

3.        ¿Cuál es el nombre del archivo transferido?        2

4.        ¿Cuáles son los “magic number” del fichero que se quiere extraer (4 primeros bytes)?        2

5.        ¿Cuál es el MD5 del fichero?        2

6.        ¿Cuál es la receta secreta?        2

Análisis:        2

1.        ¿Cuál es el nombre del amigo de Ann?        2

2.        ¿Cuál es el primer comentario de la conversación?        3

3.        ¿Cuál es el nombre del archivo transferido?        3

4.        ¿Cuáles son los “magic number” del fichero que se quiere extraer (4 primeros bytes)?        3

5.        ¿Cuál es el MD5 del fichero?        3

6.        ¿Cuál es la receta secreta?        3

Escenario planteado:

La empresa Anarchy sospecha que la empleada Ann está extrayendo información para sus competidores.

La empleada ha accedido a la receta secreta de la compañía, por ello los analistas de seguridad están preocupados de que se produzca una fuga de información.

Los analistas han estado monitorizando la actividad de Ann durante un tiempo pero aún no tenían evidencias…hasta ahora! Hoy ha aparecido un pc inesperado durante un pequeño periodo de tiempo en la red wifi de la compañía.

Se sospecha de alguien en el parking, ya que no se ha visto a ningún extraño en el edificio.-

El equipo de Ann (192.168.1.158) ha estado enviando paquetes de mensajería instantánea a través de la red wifi a dicho pc.

Preguntas:

1. ¿Cuál es el nombre del amigo de Ann?

1. ¿Cuál es el primer comentario de la conversación?
   

2. ¿Cuál es el nombre del archivo transferido?

1. ¿Cuáles son los “magic number” del fichero que se quiere extraer (4 primeros bytes)?

1. ¿Cuál es el MD5 del fichero?

1. ¿Cuál es la receta secreta?

Análisis:

1. ¿Cuál es el nombre del amigo de Ann?

Se filtra por http para poder ver las conversaciones de Ann con su amigo. Mediante el Referer podemos obtener lo siguiente: . Podemos observar que hay un usuario que se llama Sec558user1 y que utilizan la mensajería AIM. También haciendo un seguimiento del flujo TCP este usuario sale varias veces. Así que podemos confirmar que es el amigo de Ann.

También decodificando las tramas TCP donde se comunica Ann y su amigo en AIM, podemos obtener el usuario con el que se comunica Ann.

[pic 4]

1. ¿Cuál es el primer comentario de la conversación?

Filtrando por la ip de Ann y del protocolo TCP se puede hacer un seguimiento del flujo TCP haciendo click al botón derecho en la trama y seleccionando secuencia TCP. Se puede visualizar parte del mensaje sin descifrar, y ahí sale el primer comentario de la conversación que es “Here´s the secret recipe..”.

1. ¿Cuál es el nombre del archivo transferido?

Filtrando por la ip de Ann y haciendo un seguimiento del flujo TCP se puede visualizar parte del mensaje sin descifrar, y ahí sale el nombre del archivo transferido, que es recipe.docx.

...