Solución ejercicio aprendiendo analizar tráfico de red.

En el Frame 1 si nos vamos alguna herramienta online tipo http://www.ip-adress.com/ip_tracer/67.217.65.244 nos da que pertenece a Citrix y así es, para este laboratorio se usaron aplicaciones de Citrix.

Frame 25, hay un host probablemente con Windows 7 que usa el stack o pila de protocolo IpV6, nos está mostrando las solicitudes de este protocolo ICMPv6 hacia sus vecinos (neighbor notifications).

Frame 27, esto es algo relativamente nuevo para muchos y desconocido por otros tantos, un protocolo de Windows llamado Browser que da mucha información sobre la víctima, quiero decir sobre la máquina. Se llama Browser, podemos ver que el host recibe el nombre de VID02 y si nos fuéramos al panel de detalle, podemos averiguar mucho más, os dejo un copy&paste de: http://www.rinconinformatico.net donde explica muy bien este protocolo y la información que nos da al analizarlo con wireshark, lo veo muy apropiado al post y seguirnos a posterior con el resto del ejercicio, leerlo por favor.

**********************************************************************

Microsoft Windows Browser Protocol, la verdad no conocía este protocolo de red, fue desarrollado por Microsoft para su famoso sistema operativo Windows, como muchas de las cosas que Microsoft desarrolla este protocolo es de uso privativo y no tiene nada que ver con Internet o HTTP.

El Browser Protocol registra los nombres SMB (CIFS) o de NetBIOS de una red, los almacena y los comparte para los demás nodos de la red. No se puede confundir ni con SAMBA ni con el WINS los cuales cumplen funciones parecidas pero no iguales. ¿Para que almacenar los nombres NetBIOS de los computadores que hacen parte de la red?, bueno es que este protocolo no solo almacena el nombre, también tiene un campo en el que se incluyen los servicios que el host ofrece, claro los servicios que están integrados con el sistema operativo, en este caso, Windows.

Todos estos datos son enviados por parte del computador cliente, el servidor solo registra lo que lee en el campo del protocolo.

¿Que nos ofrece este campo? Este campo se llama Server Type y tenemos 8 grupos de 4 bits con los que podemos identificar que rol tiene un host en una red, debemos recordar que esto SOLO aplica para los host que usen un sistema operativo que tenga esta característica de MailSlot en SMB, principal y casi únicamente Windows.

Veamos un ejemplo de trama.

El campo en cuestión es el que esta subrayado, como podemos ver después del 0x tenemos 8 dígitos hexadecimales los cuales me pueden indicar lo siguiente:

He remarcado los bits que identifican al host en la red, es así como sabemos que esta es una Estación de trabajo (para Windows TODO es una estación de trabajo) y es un servidor (Para Windows todos los host pueden ser servidor), este es un ejemplo de un nodo sencillo, pero si vemos uno como esto:

Sabríamos que se trata de un equipo en la red, con sistema operativo Windows, que tiene una impresora conectada y compartida. Por ultimo como para ver hasta donde llega este protocolo podemos encontrarnos con información como esta:

Con lo que ya tendríamos mucha información y una muy posible víctima de ataque, valgan la redundancia.

DISCLAIMER: toda la información contenida en esta entrada es para fines educativos y de Pen Testing, JAMAS se ha pensando en modificar una trama de este tipo para generar un DoS sobre algún dominio, no puede haber alguien tan malo.

Ya sabemos analizar un protocolo más.

¿Seguimos con el ejercicio?