Este contenido inicialmente es de caracter personal y de estudio constantey recurrente, adicional quiero compartir con fines informativos y de aprendizaje para otros profesionales. Es de aclarar que, los ejemplos y escenarios presentados son hipotéticos, así mismo, las plataformas utilizadas son públicas en donde pueden reflejar situaciones reales de las compñaías, estás plataformas publican laboratorias con diferentes escenarios. Las tecnologías al igual que las herramientas mencionadas están sujetas a cambios constantes.
Rol: Security Analyst
Dificultad: Beginner
Escenario: Análisis de archivo PCAP (Tráfico de red)
Filtro: tcp.payload contains "P13"
- tcp.payload: Nos ayuda a buscar información dentro de todos los paquetes TCP que contengan la palabra buscada entre las doble comillas.
192.168.235.137,192.168.235.131
Filtro: ip.src eq 192.168.235.137 && tcp.payload contains "upload"
- ip.src: IP de origen del host
- tcp.payload: Paquete TCP que contenga la palabra "upload"
192.168.1.7
Sobre el filtro que ya tenemos aplicado, damos clic derecho >> FOLLOW >> TCP STREAM. Ahí vemos el nombre del archivo.
file
Dentro de este mismo TCP STREAM, vamos al final del paquete donde está la respuesta a la petición HTTP y ahí ubicamos el nombre Servidor Web: Apache/2.4.54
Apache
En la misma imagen de este TCP STREAM ubicamos el nombre del directorio.
uploads
En la pantalla principal vamos a: STATISTICS >> CONVERSATION. En la pestaña IPv4, vamos a ubicar la comunicación del host P13 (192.168.235.137) y el Servidor Web (192.168.1.7), luego en la columna DURATION vemos el tiempo del envío del archivo cifrado.
0.0073
- Filtros o flags de Wireshark. Web oficial "https://www.wireshark.org/docs/dfref/"