Analizando tráfico con Wireshark
1.- Análisis de Telnet en el fichero telnet-raw.pcap
La siguiente imagen muestra la captura del tráfico telnet una vez aplicado la opción Follow TCP Stream
Se observa:
Nombre de usuario: fake
Contraseña: user
Sistema operativo: OpenBSD 2.6
Secuencia de comandos: ls, ls -a, /sbin/ping www.yahoo.com, exit
2.- Análisis de tráfico SSL del fichero x509-with-logo.pcap
Se observa el envío del certificado del servidor en el frame 2 de la captura
Se trata de un certificado cifrado con algoritmo RSA y emitido por Verisign
3. Análisis de ssh del fichero ssh.pcap
El tráfico cifrado comienza a partir del frame 20. Hasta entonces se negocia distintos valores de la comunicación como el algoritmo de cifrado y la compresión.
Ssh se apoya en el protocolo TCP/IP para el establecimiento de la conexión entre dos sistemas; y sirve para encapsular, o proteger distintos protocolos/servicios que usan TCP/IP como son http, smb, pop3, telnet, ftp, y X11.
Dentro del túnel ssh toda la información va cifrada y no se pueden ver nombres de usuario y ni contraseñas.
Las únicas características que identifican a las partes que se comunican, son las que emplea el protocolo TCP/IP para el establecimiento de la conexión y las versiones de software empleado. Estás son :
- MAC de origen : ac:fd:ce:02:8d:a7
- MAC de destino : e0:88:5d:c1:20:85
- Dirección IP Origen: 192.168.0.14
- Dirección IP Destino: 193.143.78.18
- Puerto origen: 58693
- Puerto destino: 22 (defecto ssh)
- Versión de SSH y Sistema opertativo origen: OpenSSH_6.7p1 Debian-5
- Versión de SSH y Sistema operativo destino: OpenSSH_5.p1 Debian-6
En la captura de SSH en que paquetes has visto los sistemas operativos? gracias
ResponderEliminarSi, junto con la versión de ssh. En concreto son:
EliminarSSH-2.0-OpenSSH_6.7p1 Debian-5
SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze6
Para verlo te colocas en una trama de protocolo ssh y seleccionas en la ventana inferior "SSH Protocol"; luego con botón derecho Follow TCP Stream