martes, 29 de septiembre de 2015

2.1. Capturando tráfico con Wireshark

Primera parte: 

Análisis de la traza telnet-raw.pcap

Hay dos sesiones Telnet

1ª-

SO: OpenBSD/i386 

login fake
password user

comandos 

ls 
ls -a
/sbin/ping www.yahoo.com
exit

2ª-
SO: OpenBSD 2.6-beta

login fake
password user

comandos

ls
ls -a
/sbin/ping www.yahoo.com
exit

Segunda parte: 

El certificado se recibe en el paquete dos, server hello SSL 3.0

Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)

Significa que se usará un algoritmo de llave pública RSA  para verificar las firmas e intercambiar información encriptada RC4, siendo MD5 la función hash para verificar el contenido.  

Tiene una longitud de 1020 bytes

emitido por http://ocsp.verisign.com
para             login.passport.com
válido         01/09/2004 hasta 02/09/2005 

Se puede extraer el certificado



Se asegura la identidad del servidor login.passport.com de Microsoft

Tercera parte: 

Analizamos esta traza con tráfico SSH . Corresponde a una conexión SSH con el servidor forja.mondragon.edu. Podemos comprobar si está online y qué puertos abiertos tiene:


Efectivamente tiene abierto el puerto 22 que corresponde a la conexión SSH.

Vemos que los mensajes encriptados comienzan a partir del paquete 20 tras haberse negociado el cifrado (aes 128 ctr) y las claves.

A diferencia del CBC, el CTR significa que tanto la encriptación como el desencriptado es paralelizable.

A partir del intercambio de claves Diffie-Helman todo va encriptado

No es posible por lo tanto ver contraseñas, pero podemos suponer que el paquete 20 contiene la autenticación.

Actualizo información del host forja.mondragon.edu

Server: Apache/2.2.16 (Debian)
X-Powered-By: PHP/5.3.3-7+squeeze27


2 comentarios:

  1. Gran trabajo. Un pregunta ¿Como has hecho para extraer el certificado?
    Gracias

    ResponderEliminar
  2. Con wireshark vete a la entrada

    Handshake Protocol: Certificate

    y luego a la subentrada

    Certificate (id-at-commonName=...

    copias entonces los bytes en binario y luego con Hex Workshop u otra herramienta similar los pegas en un archivo que puedes guardar con extensión crt.

    ResponderEliminar