Capturar ataque SSH desde China y cont. Solución Ejercicio aprendiendo analizar tráfico.

Frame 28: Una consulta DNS a javadl-esd-secure.oracle.com en resumen una actualización del JAVA.

Frame 33: Son tramas anunciando tráfico CMPv6 de un router que hay en la red.

Frame 83: Es tráfico broadcast de respuesta o acuse de recibo a una petición DHCP, se ve perfectamente el DHCP ACK, he cortado la imagen pero si no lo hubiera hecho se vería en el panel de detalle el dominio de la red que estoy usando por ejemplo estamosaprendiendo.net

Frame 95: Es uno de los cinco tipos de mensajes SNMP intercambiados entre los Agentes y los Administradores. Get Request, consiste en una petición del Administrador al Agente para que envíe los valores contenidos en el MIB (base de datos).

No vemos una respuesta en cualquier parte del archivo de rastreo, esto que parece muy simple a la vez es muy interesante.
Al parecer, el anfitrión del laboratorio está configurado para buscar una impresora de red, pero no existe esa impresora. Suponemos que tenemos que limpiar un poco la configuración de ese host ¿no?,
ya que estamos podemos ir limpiando la red de tráfico basura.

Frame 96: En un ejercicio anterior en este blog ya habíamos reconocido el protocolo de Dropbox, en esta trama está lanzando dropbox su sincronización, Lan Sync Discovery Protocol (DB-LSP).

Frame 118, 121 y 134: EL host que analizamos en esta ip, descubrimos que tienen instalada la aplicación para backups MEMEO (un poco de publicidad gratuita para ellos) http://memeo.com/en/premium-backup/features/?affChecked=1

YA SE QUE EN CASTELLANO NO ES EL MEJOR NOMBRE DEL MUNDO, YO TAMBIEN MEMEO, VUELVO AHORA …

Esta vez si os he capturado la pantalla del panel de detalle de esos frames para que lo pudieseis detectar.

En el 121 el tráfico de ida a www.memeo.info y el 134 con api.memeo.info

Esto que estamos haciendo es capturar y analizar el tráfico normal de la red, el más común para clasificarlo y conocer que corre por nuestros “medios” cables, wifi, nuestro adentro …

Ahora debemos pasar a analizar lo anormal, nuestro jefe y si eres jefe seguro que tienes otro jefe o ahí o en casa J nada era una coñita, me refiero al FRAME 411 del post anterior del ejercicio.

Frame 411: Aquí quería que llegarais todos, con wireshark acabamos de pillar unos ataques a nuestra red. SE puede usar muchas aplicaciones para Linux, pero monitorizando hemos visto este tráfico ANORMAL.

El protocolo es SSH, el puerto destino es el 22 y no es un servidor de nuestra red, el puerto de origen es aleatorio un 23888 y la ip una 183.63.31.122

Esa ip no es normal en la cabecera Ip de nuestra red, vamos a investigarla.

Status

ALLOCATED

Contact Email


Registrant

CHINANET Guangdong province network
CHINANET-GD
Data Communication Division
China Telecom
CHINA

Vaya vaya, en realidad estamos teniendo muchos ataques de este tipo de Ip del rango de China al SSH, investigando con nmap, y google maps, aunque de mano nos lleva a Shangai, en realidad no paramos de saltar de un sitio a otro.

Creemos que son aplicaciones Proxy que usan este servicio para entrar a nuestros Apache y utilizar sus vulnerabilidades como proxy para la navegación y así evitar la censura que allí ahí.

Comprobar que tenéis analizado vosotros del ejercicio que os deje y ahora comparar.

Saludos y hasta otro momento.

 

Publicado el noviembre 8, 2013 en Redes. Añade a favoritos el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: