Forensic Challenge 2010 – Primer desafío forense (1 de 3)

Está aquí: Inicio

Blog

Fecha de publicación Escrito por Texpaok

p0f -s attack-trace.pcap

Explicación:Con la opción -s le indicamos que lea los datos de un fichero tipo "pcap".

Ejemplo de uso p0f

Captura 4

El atacante (98.114.205.102) posee un sistema Windows XP SP1 ó 2000 SP3, y la víctima (192.150.11.111) un Linux con kernel 2.6 o superior.

Aquí os puede surgir una duda: ¿cómo es que p0f identifica el sistema víctima como un Linux y el análisis de las tramas arroja que se ha atacado un servicio de un sistema Windows? La explicación es muy sencilla; sólo teneís que recordar quién ha propuesto los desafíos: The honeynet...

Primera pregunta contestada.

2. ¿Qué podemos decir del host atacante (por ejemplo, dónde se encuentra)?

Ya hemos determinado que el sistema atacante es un Windows XP ó un Windows 2000. Podemos obtener más información del mismo a través de WireShark, concretamente en la captura 14:

Análisis trama 14

Captura 5

WireShark nos dice que es un sistema Windows 2000 build 2195. WireShark nos puede proporcionar más información; si seleccionamos la primera trama, en el apartado "Ethernet II" vemos la MAC del equipo (00:08:e2:3b:56:01), que está asociada al fabricante Cisco:

Analisis de la trama 1

Captura 6

Si realizamos un "nslookup", obtenemos:

Captura 7

Explicación: Nslookup es una herramienta que permite consultar un servidor de nombres y obtener información relacionada con el dominio o el host.

La ip corresponde a Verizon, y la palabra "pool" en el origen nos indica que es una ip asignada dinámicamente. A través de whois, obtenemos más información:

Resultado de la consulta a whois