Categories
seguridad

Herramientas de seguridad

Ya hemos visto en clase diferentes aspectos de la seguridad de los sistemas informáticos. Es muy importante para defender nuestros sistemas, además de poseer amplios conocimientos y habilidades técnicas, disponer de una batería de herramientas que nos permitan mejorar nuestras defensas (o por lo menos saber que existen y dónde las podemos encontrar)

Esta vez nuestro tesoro va a ser, precisamente, esas herramientas, pero con matices. Herramientas hay muchas por lo que nosotros nos vamos a centrar en aplicaciones, herramientas y utilidades de:

  • evaluación de redes, sistemas y servicios
  • análisis forense

La actividad consistirá en proporcionar un apunte con el nombre de la herramienta que hayáis encontrado (sólo de los tipos que he señalado anteriormente, que no se os olvide 😉 ), la URL desde la que podemos descargarla y pequeño comentario de para qué la podemos usar. Por ejemplo (y no vale usarlo):

lsof, http://packages.debian.org/stable/utils/lsof, herramienta específica de sistemas Unix que permite listar los ficheros abiertos por procesos que se están ejecutando en el sistema.

Otra restricción que os pongo es que debe ser software libre (GPL, …) con lo que aseguraros de leer la licencia (sí, eso que nunca hacemos los informáticos 😉 ).

By airc

Blog de la asignatura de Administración e Instalación de Redes de Computadores.
Se ha creado con la finalidad de convertirse en una herramienta útil para, en particular, todos los alumnos de la asignatura y, en general, para todos los interesados en temas de gestión y administración de redes de computadores

27 replies on “Herramientas de seguridad”

Logcheck, http://www.hackemate.com.ar/tools/tools2000.html, Envía al administrador mensajes informando de las anomalías en los archivos de registro del sistema.Es un programa creado para ayudar en el procesamiento de los archivos de registro de UNIX. Logcheck ayuda a localizar problemas y violaciones de seguridad en tus archivos de registro automáticamente y te envía los resultados por e-mail.

Más que una herramienta propongo un live cd (basado en Knoppix) repleto de aplicaciones para la administración de red.
En esta web http://s-t-d.org/tools.html vienen todas las herramientas que incorpora.
la web es esta: http://s-t-d.org/ y desde allí se puede descargar.
Incluye sniffers, herramientas para copias de seguridad (rsync), herramientas de autentificación, encriptación, autentificación, descifrado de contraseñas, utilidades de encriptación como GPG, cortafuegos, evaluación de vulnerabilidad montando una especies de servidores trampa (Honeypots), test de penetración de sistemas y detección de intrusos, múltiples sniffers y herramientas de redes wireless, así como varios servidores y herramientas de administración de redes, … cerca de 200 aplicaciones de administración

Corre bajo la licencia GPL y también tiene servicio de venta

Propongo dos herramientas muy populares de evaluación de redes:

TCPDump / WinDump: El sniffer clásico para monitoreo de redes y adquisición de información.
Tcpdump es un conocido analizador de paquetes de red basado en texto. Puede ser utilizado para mostrar los encabezados de los paquetes en una interfaz de red que concuerden con cierta expresión de búsqueda. Podemos utilizar esta herramienta para rastrear problemas en la red o para monitorear actividades de la misma.

http://www.tcpdump.org/

Snort: Un sistema de detección de intrusiones (IDS) libre para las masas.
Snort es una sistema de detección de intrusiones de red de poco peso (para el sistema), capaz de realizar análisis de tráfico en tiempo real y registro de paquetes en redes con IP. Puede realizar análisis de protocolos, búsqueda/identificación de contenido y puede ser utilizado para detectar una gran varidad de ataques y pruebas, como por ej. buffer overflows, escaneos indetectables de puertos {“stealth port scans”}, ataques a CGI, pruebas de SMB {“SMB Probes”}, intentos de reconocimientos de sistema operativos {“OS fingerprinting”} y mucho más.

http://www.snort.org/

NESSUS: Es un escaneador de vulnerabilidades con soporte para multitud de sistemas operativos, (Windows, Linux y Mac OS X). En pocas palabras, podemos utilizar el , (del que seguro que algún otro compañero hablará) para escanear puertos abiertos al objetivo. Una vez sepamos los puertos abiertos (y en consecuencia los servicios que utiliza), podremos utilizar xploits contra ese puerto en cuestión, (Nessus permite configurarlo de tal manera que podamos ejecutar una lista de xploits que tendremos configurada previamente).

En definitiva, si queremos ser buenos analistas de sistemas, necesitaremos saber que herramientas utilizan los hackers para atacar sistemas y esta es una de ellas, os lo aseguro.

http://www.nessus.org

Nikto: Es un escaneador de servidores web de código abierto (GPL) que realiza exhaustivos tests, incluyendo más de 3200 ficheros/CGI que potencialmente son dañinos, en más de 625 tipos de servidores, y problemas típicos de versiones en más de 230 servidores. Lo que se escanea así como sus plugins se actualizan muy frecuentemente.

http://www.cirt.net/code/nikto.shtml

TCPFLOW:es un programa que captura datos transmitidos con conexiones TCP.Guarda los datos de forma que puede analizarse y depurarse.
Un programa como tcpdump muestra un resumen de paquetes visto en la red, pero no suele guardar los datos de las transmisiones.
En contra, tcpflow reconstruye los datos actuales que se estan transmitiendo y los guarda cada flujo en archivos diferentes para su posterior análisis. Es para unix.
http://www.circlemud.org/~jelson/software/tcpflow/

Nmap: Es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.
-Identifica computadoras en una red, por ejemplo listando aquellas que responden a los commandos ping.
-Identifica puertos abiertos en una computadora objetivo.
-Determina qué servicios está ejecutando la misma.
-Determinar qué sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting).
-Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

Nmap es difícilmente detectable, ha sido creado para evadir los Sistema de detección de intrusos (IDS) e interfiere lo menos posible con las operaciones normales de las redes y de las computadoras que son analizadas.

Como veis, Nmap tiene infinidad de usos, para bien o para mal, pero es una herramienta muy completa y totalmente imprescindible.

Web: http://insecure.org/nmap/

Se me olvido mencionar que el programa que puse en el comentario anterior, Nmap, iria en la categoría de evaluación de redes, sistemas y servicios.

Ahora en cuanto a analisis forense podemos ver unas cuantas mas.

ChkRootKit: Es un software para consola común en sistemas operativos Unix y derivados que permite localizar rootkits conocidos, realizando múltiples pruebas en las que busca entre los ficheros binarios modificados por dicho rootkit.
Puede ser ejecutado desde un disco de rescate.

Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos.

La web: http://www.chkrootkit.org/

AIDE: Te indica si hay archivos modificados y cuáles son.
Web: http://www.cs.tut.fi/~rammer/aide.html

Mac Robber: Herramienta que obtiene los tiempos de modificación, acceso y creación de una serie de archivos para realizar análisis forense.
Web: http://www.sleuthkit.org/mac-robber/desc.php

Forensic Toolkit v2.0 (Este se menciono en clase): Herramientas que examinan los discos duros NTFS en busca de actividad no autorizada. Para Win32.
Web:http://www.foundstone.com/us/resources/proddesc/forensic-toolkit.htm

El ya mencionado snort, que analiza los paquetes comparándolos con los de su base de datos y ejecuta acciones según la configuración(creando reglas). Es de las más conocidas; la más conocida diría yo.

http://www.snort.org/

Otro conocido, y open source, es el OSSEC, que realiza una serie de tareas tales como análisis del registro de windows(en windows, claro 🙂 ), integridad de los archivos, etc. y funciona en un gran variedad de sistemas operativos. Vamos una aplicación totalmente libre y fácil de usar.

http://www.ossec.net/

Y otro que he encontrado ha sido el Widsard que puede detectar intrusiones a nivel usuario para la plataforma i386 Linux. Ejecutando acciones cuando se detectan las intrusiones como matar el proceso, etc. Este es mucho mas simple.

http://widsards.sourceforge.net/

Saludos

Hola!

El sof que he encontrado es el ‘The Coroner’s Toolkit (TCT) , que es un software para análizar un equipo Unix, tiene herramientas para la recuperación de ficheros borrados entre otras.
Las aplicaciones más importantes de este software son:
* grave-robber – Una utilidad para capturar información sobre i-nodes, para luego pueda ser procesada por el programa mactime del mismo toolkit.
* unrm y lazarus – Herramientas para la recuperación de archivos borrados (logs, RAM, swap, etc.). Estas aplicaciones identifican y recuperan la información oculta en los sectores del disco duro.
* mactime – El programa para visualizar los ficheros/directorios su timestamp MAC (Modification, Access, y Change).

Tiene licencia “Open Source”.
URL descarga: http://www.porcupine.org/forensics/tct.html

Un saludo!!!

Herramienta: MRTG (Multi Router Traffic Grapher)
Propósito: Monitorización de tráfico de interfaces de red
Licencia: GLP

Descripción:
MRTG es una herramienta que utiliza SNMP (Simple Network Management Protocol) para recolectar los datos de tráfico de un determinado dispositivo de red (routers o servidores).

Funcionamiento:
SNMP manda peticiones con dos OIDs (Objetos Identificadores) al equipo. HIBs (una base de control de información) controla las especificaciones de los OIDs. Después de recoger la información la manda sin procesar mediante SNMP. MTGR graba la información y genera un documento HTML con gráficos para un rápido estudio. El software viene configurada para que se recopilen datos cada 5 minutos, aunque por supuesto esto puede ser modificado.

Más información:
http://oss.oetiker.ch/mrtg/
http://www.mrtg.com/
http://libertonia.escomposlinux.org/story/2003/1/17/224253/241

He encontrado una distribución de linux orientada exclusivamente a la seguridad de la red y analisis forense.
BackTrack es una de las más conocidas y apreciadas distribuciones GNU/Linux orientadas a profesionales de la seguridad, con un enfoque especial hacia la realización de tests de penetración. Para dar una idea de su popularidad, baste decir que ocupa el puesto 32 en el famoso ránking de Insecure.org.

Se presenta como un LiveCD (por lo que ni siquiera necesita instalación) que proporciona en un par de minutos acceso a más de 300 herramientas de todo tipo (sniffers, exploits, auditoría wireless, análisis forense, etc) perfectamente organizadas. Por lo demás BackTrack incorpora también todas utilidades habituales en cualquier distribución al uso… Al ser un liveCD se puede utilizar para el analisis forense ya que tambien incluye gran cantidad de programas para ello.

La versión 2 (recién publicada) utiliza un kernel 2.6.20 con varios parches e incluye soporte para tarjetas inalámbricas Broadcom. Integra Metasploit 2 y 3.

La lista de herramientas incluidas en la distribución es impresionante, y comprende desde programas para obtener información del equipo y de la red hasta exploits para aumentar los niveles de privilegios.

Lo mejor de esta distribución es que todos los programas que trae ya vienen todos configurados y listos para ser usados, por lo que no se debe emplear tiempo en buscarlos e instalarlos.

Para ver otras distribuciones de seguridad y analisis forense podeis visitar la página http://holyslayer.wordpress.com/2007/03/13/las-10-mejores-distribuciones-linux-live-cd-para-seguridad-y-analisis-forense/
donde explica 10 mejores versiones (en opinión del autor)

http://www.genbeta.com/2007/03/07-backtrack-2-distribucion-para-tests-de-intrusion

Metasploit Framework:

No es una herramienta en sí, pero es toda una plataforma pensada para el desarrollo de las mismas. Se utiliza, principalmente, para la realización de tests de intrusión en redes o en servidores. Esto permite conocer las deficiencias de seguridad de estos sistemas y poder solucionarlos antes de que los descubran otros atacantes con intenciones algo más oscuras.

Pero la plataforma no viene sola, sino que en el fichero a descargar se incluyen más de 150 exploits distintos, más de 100 payloads,… es decir, viene preparada para funcionar desde el primer momento, aunque eso sí, nos ofrece la posibilidad de desarrollar nuestros propios módulos para ampliarlo.

Está escrito en Ruby y es multiplataforma, estando disponible para Linux, BSD, Mac OS X y Windows con Cygwin, además de ser totalmente gratuito.

Ah, todo esto lo cuento porque ha aparecido la versión 3.0, totalmente reescrita desde cero y en la que ha habido grandes cambios, especialmente en su estructura interna. En su página web tienen la descripción de todos los cambios y un montón de ejemplos en vídeo de qué se puede hacer con esta herramienta.

Es totalmente libre como se ha dicho y la URL es:

http://framework.metasploit.com/

Kismet – Sniffer Wireless:

Con esta herramienta podemos ver las redes inalambricas expuestas y escondidas. Podemos mapear las redes, analizar tráfico bloqueado. Por lo tanto permite evaluar las redes inalambricas de la empresa y ver si las medidas de seguridad, hacia este tipo de redes, implementadas están siendo efectivas.

Kismet es un sniffer de trafico y detección de intrusos para redes inalambricas. Sirve para cualquier placa WiFi que soporte el modo monitor. Puede rastrear paquetes de redes 802.11b, 802.11a y 802.11g. Está disponible para GNU/linux, FreeBSD, NetBSD, OpenBSD, y Mac OS X.

Una de las grandes diferencias de esta aplicación con respecto a otras de este tipo es que no envia paquetes a la red para generar trafico, sino que funciona en modo pasivo.

¿Cómo Instalar Kismet por ejemplo en Debian/Ubuntu?

Abrimos un terminal y tipeamos:

# apt-get install kismet

Listo, ahora podemos iniciarlo con el siguiente comando:

kismet

Es una herramienta con licencia GPL:

http://www.kismetwireless.net/

TrafficEmulator 1.4: esta herramienta crea pruebas de estres para las redes, router y firewalls generando muchos paquetes.

Ettercap: sniffing conexiones activas, puede filtrar mientras se esta ejecutando y otras caractaristicas.
Soporta diseccion de protocolos activos y pasivos e inclsyue varias caracteristicas para analisis de redes y host.

Estas dos herramientas digamos que pueden ser útiles, porque se complementan la una a la otra. La primera para realizar pruebas a la red, firewall y router, para prevenir ataques, y la otra para controlar los posibles ataques en uso.

Referencias:
http://ettercap.sourceforge.net/
http://www.freedownloadmanager.org/es/downloads/TrafficEmulator_21294_p/

Buenas, yo propongo el Autopsy como herramiento de análisis forense:
‘Autopsy es un interfaz gráfico a las herramientas en línea de comando para análisis forense The sleuth kit. Ambos son open source, pueden ejecutarse en varias palataformas UNIX y juntos ofrecen muchas de las características propias de sistemas de análisis forense comerciales. Autopsy está basado en HTML por lo que puede accederse a él desde cualquier navegador, proporcionando un gestor de ficheros que muestra información acerca de datos eliminados y estructuras de sistema de ficheros.’

Información extraida de:
http://crl.iic.uam.es/descargas_web/cursos_verano/20040801/JuanMa_Canelada/Analisis_forense_de_sistemas.pdf

Se puede descargar en:
http://www.sleuthkit.org/autopsy/download.php

Saludos.

Propongo 2 aplicaciones para la evaluacion de redes sistemas y servicios

La primera mas que una aplicacion es conjunto de estas,
“Dsniff” se trata amplia colección de herramientas con el objetivo de introducirse por cualquier medio en una red, con un sniffer de contraseñas, utilidades de escucha pasiva de una red, como filesnarf, mailsnarf, urlsnarf, y webspy, y por otra parte, herramientas de intercepción de paquetes como arpspoof, dnsspoof, y macoff o por último, métodos de ataques activos como sshmitm y webmitm. Ademas en las ultimas versiones se ha incluido un modulo de deteccion de conexiones no aprovadas con rastreo de estas.
Vamos que el programa hace que nos demos cuenta de lo valiosos que pueden llegar a ser los sistemas de codificacion “pgp” y “ssh”.
*Funciona sobre linux y sobre windows.
*descarga:
http://naughty.monkey.org/~dugsong/dsniff/

El segundo es Wireshark anteriormente conocido como ethereal
este es un potente snnifer que nos permite ermite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.
*Funciona sobre linux y sobre windows.
*descarga:
http://www.wireshark.org/

Webs:
http://naughty.monkey.org/~dugsong/dsniff/
__________________________________________________________________
Pagina interesante donde se agrupan las 75 utilidades de seguridad de redes mas importantes:
http://insecure.org/tools/tools-es.html
__________________________________________________________________

Como hay muchas y no creo que nadie se quede sin ninguna que decir, pongo unas cuantas:

Paros proxy: es una aplicación para evaluación de vulnerabilidades sobre aplicaciones web. Consiste en un proxy realizado en Java que permite visualizar en tiempo real los paquetes HTTP/HTTPS y ver los elementos que se están editando o modificando, como las cookies y campos de formularios. Además, incluye un registro de tráfico, calculadora de hash y un escáner para probar ataques comunes a aplicaciones web como XSS (cross-site scripting) e inyección de SQL.

Juggernaut: es un monitor de red que permite secuestrar conexiones TCP. Puede ser activado para que monitorice todo el tráfico de la red o solo sobre un evento concreto, como por ejemplo, la petición de login. Esto haría que el monitor se activase justo cuando se va a teclear el login y la contraseña.

Además mantiene una base de datos de conexiones TCP, por lo que se pueden visualizar en cualquier momento e intentar secuestrar la sesión. Una vez la conexión se ha establecido, el usuario puede monitorizar la sesión completamente, reiniciarla o incluso insertar órdenes en ella.

Hunt: es una aplicación similar a la anterior, pues permite monitorizar tráfico de red y secuestrar conexiones.

raccess: es una herramienta que permite escanear un equipo en busca de vulnerabilidades. Puede operar con distintos grados de exhaustividad. Cuando encuentra una posible vulnerabilidad, intenta explotarla y ofrece una shell si tiene éxito. Esto lo hace eligiendo el exploit adecuado a la aplicación, versión y sistema operativo y, en cualquier caso, pide confirmación al usuario sobre si ejecutar esos exploits.

Rootkit hunter: es una herramienta que escanea el equipo donde se encuentra en busca de rootkits, caballos de troya, exploits, etc. a través de comparación de hash MD5, observación de permisos de los ficheros, archivos usados por defecto en rootkits, cadenas sospechosas, archivos ocultos y otros análisis.

DDoS scan (dds): es una utilidad que permite explorar tu red en busca de máquinas infectadas con agentes DDoS, los cuales son usados para ataques DoS masivos usando las máquinas como zombies.

Otro de los kits importantes para un analisis forense podria ser tambien Sleuth kit, el cual engloba alguna de las herramientas aqui descritas. Es Open source y parece bastante completito.
Url: http://www.sleuthkit.org/sleuthkit

Como herramienta yo propongo fsstat:

Permite informar de las operaciones del sistema de archivos. Se puede informar de la actividad por punto de montaje o tipo de sistema de archivos.

El siguiente comando de fsstat muestra cómo visualizar todas las operaciones del sistema de archivos ZFS.

$ fsstat zfs

El siguiente comando de fsstat muestra cómo visualizar las operaciones del sistema de archivos para el punto de montaje /export/home.

$ fsstat /export/home

El siguiente comando de fsstat muestra cómo visualizar las operaciones del sistema de archivos para todos los tipos de sistema de archivos.

$ fsstat -F

Man de fsstat:
http://docs.sun.com/app/docs/doc/820-2597/gdjpt?l=es&a=view

Otra tipo de herramientas interesante son las que permiten detectar escaneos de puertos, propongo dos alternativas:

1) psad, (Port Scan Attack Detector), escrita en perl y C, son una serie de demonios diseñados para trabajar con firewalls Linux para detectar escaneos de puertos.

2) portsentry (port scan detecction deaemon): Esta herramienta tiene la habilidad de detectar escaneos de puertos (incluidos los “stealth scans”, como la mayoria de herramientas de este tipo permite mandar avisos, o bloquear al atancate via hosts.deny o insertando reglas en el firewall automáticamente.

http://packages.debian.org/etch/psad
http://packages.debian.org/etch/portsentry

Ahora voy a comentar una herramienta que permite detectar sniffers en redes locales.

Para detectar si alguna de las interfaces de una máquina tiene un sniffer instalado, bastaría con realizar un

#ifconfig |grep PROMISC

y ver si existe alguna de las interfaces de la máquina con el modo promiscuo activado, incluso esto se podría mantener automatizado en un script.
El único problema sería que tendrías que fiarte de la integridad del binario ifconfig, para esto existen herraminetas como AIDE ya comentada que monitorizan la integridad de los ficheros, otra solución pasaría por comprobarlo en modo promiscuo con una herramienta alternativa.

Hasta aqui bien si lo que administramos es una sóla máquina, pero el problema viene cuando administramos una red con muchisimas más, para esto existen programas que nos facilitan la vida realizando este proceso por nosotros.

En concreto el funcionamiento se basa en realizar una petición a todas las máquinas de nuestra subred, pero no con la dirección destino de broadcast (FF:FF:FF:FF:FF:FF) sino una dirección inexistente. El resultado es que sólo las máquinas que tengan el modo promiscuo activado responderan esas peticiones y así las descrubiremos.

Una herramienta de este estilo es SniffDet (Remote Sniffer Detection)
http://prdownloads.sourceforge.net/sniffdet/sniffdet-0.8.tar.gz

Otra posibilidad es usar el preprocesador arpspoof de Snort (el IDS del cúal ya habeis hablado por aqui…)

Estas serían las líneas para el snort.conf:

# arpspoof
#—————————————-
# Experimental ARP detection code from Jeff Nathan, detects ARP attacks,
# unicast ARP requests, and specific ARP mapping monitoring. To make use
# of this preprocessor you must specify the IP and hardware address of hosts on # the same layer 2 segment as you. Specify one host IP MAC combo per line.
# Also takes a “-unicast” option to turn on unicast ARP request detection.
# Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:
# SID Event description
# —– ——————-
# 1 Unicast ARP request
# 2 Etherframe ARP mismatch (src)
# 3 Etherframe ARP mismatch (dst)
# 4 ARP cache overwrite attack

preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.2.1 f0:0f:00:f0:0f:00

Saludos

En cuanto a detectores de rootkits, se han comentado ya chkrootkit y rkhunter, ambos suelen ser los más usados, pero también existre otro: rootcheck de la suite OSSEC, el cual escanea el sistema completo en busca de rootkits conocidos y también de rootkits desconocidos a nivel de núcleo.

Estos programas suelen buscar patrones típicos generados por los rootkits más conocidos basandose en listas, también buscan anomalías en el sistema que sacarían a la luz la presencia de rootkits aun sin saber qué rootkit es (sin tenerlo en la lista), por ejemplo, un fallo bastante típico de algunos rootkits, era que parcheaban la syscall del kernel getdents64() utilizada por ls para listar ficheros y por ps para listar procesos, con la consecuencte ocultación de los ficheros/procesos, pero no parcheaban la syscall chdir() (u otras), la cual es la syscall encargada de realizar un cambio de directorio (el típico cd), entonces aunque un PID estuviera oculto por el rootkit, el analizador simplemente tenía que generar números de PIDs y realizar un chdir() en /proc, si alguno de estos PIDs permitía un cambio de directorio pero sin embargo no era listado en /proc ante un ls, se encontraba ante una inconsistencia que sacaba a la luz el PID oculto.

Sin enrollarme más os dejo la url del programa (es open source):

http://www.ossec.net/en/rootcheck.html

Ya he visto que mis compañeros han destacado una gran variedad de herramientas, algunas mas modernas que otras, pero después de leerme los comentarios no podía dejar de escribir sobre unas herramientas que aunque algunas anteriores las llevaran incluidas no se han mencionado.

Traceroute: Herramienta de diagnóstico de redes que permite seguir la pista de los paquetes que van desde un host (punto de red) a otro.

Ping: Es una utilidad que comprueba el estado de la conexión con uno o varios equipos remotos por medio de los paquetes de solicitud de eco y de respuesta de eco (definidos en el protocolo de red ICMP) para determinar si un sistema IP específico es accesible en una red. Es útil para diagnosticar los errores en redes o enrutadores IP.

Telnet: Sirve para acceder mediante una red a otra máquina, para manejarla como si estuviéramos sentados delante de ella.

Tracert: Es una utilidad que determina la ruta tomada, gracias a la disminución del TTL.

Estas herramientas ya que están presentes en la mayoría de los sistemas operativos. A veces lo más simple es lo mejor.

Saludos.

Hola,

Es de extrañar que nadie ha comentado el THC-Hydra.

THC-Hydra es una conocidísima herramienta de pentest, la cual ocupa el puesto 15 en el ranking ‘top 100 de herramientas de seguridad de red’ de insecure.org, y es parte de nessus (la herramienta de análisis de vulnerabilidades de mayor renombre del mundo UNIX).
Permite realizar ataques de diccionario por red soportando más de 30 protocolos, con el fin de comprobar la seguridad de nuestros servicios.

Además, cuando estuve ojeando estos programas para postear, me dí cuenta de un fallo en el manejo de errores http por parte del programa, por no reproducir de nuevo el post entero y sin ánimo de hacer spam, os dejo el enlace a mi blog donde explico el fallo y un parche para corregirlo.

https://blogs.ua.es/jgaliana/2008/01/23/parche-para-el-modulo-http-de-thc-hydra-error-manejando-los-codigos-de-respuesta-http/

Enviaré de la misma manera una traducción a las listas sobre estos temas en inglés, aunque al parecer el programa parece que ya no se mantiene por problemas legales en alemania, una pena.

Saludos

Tengo la duda de que si Snort es capas de detectar ataques de IP Spoofing.En caso de detectarlo,como lo hace?
Si alguien pudiera ayudarme

Responder a Ernesto Lopez Redondo Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *