elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Obtener informacion de los paquetes
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Obtener informacion de los paquetes  (Leído 8,389 veces)
bengy


Desconectado Desconectado

Mensajes: 501


mis virtudes y defectos son inseparables


Ver Perfil WWW
Obtener informacion de los paquetes
« en: 8 Enero 2020, 02:25 am »

esta es mi anterior pregunta: https://foro.elhacker.net/hacking_avanzado/hacer_un_ids_con_redes_neuronales-t502082.0.html

necesito obtener informacion de los paquetes de redes, instale snort y cuando lo ejecuto obtengo mensajes parecidos a este:

Código:
WARNING: No preprocessors configured for policy 0.
01/07-20:36:47.454886 2803:9400:3:5fc9:5599:9c50:4514:c593:40540 -> 2a03:2880:f043:11:face:b00c:0:2:443
TCP TTL:64 TOS:0x0 ID:0 IpLen:40 DgmLen:72
***A**** Seq: 0xC4357D2B  Ack: 0xFCC31DA3  Win: 0x26E  TcpLen: 32
TCP Options (3) => NOP NOP TS: 1697228946 1613132354

no entiendo mucho sobre ese mensaje cual es la informacion relevante?
« Última modificación: 8 Enero 2020, 02:30 am por .rn3w. » En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #1 en: 8 Enero 2020, 02:47 am »

Realmente casi todo es relevante, si es un IDS realmente debería detectar la actividad normal contra la de un Intruso valga la Redundancia.

Segun veo tu paquete:
IP de origen
2803:9400:3:5fc9:5599:9c50:4514:c593
Puerto
40540
 con Destino a
2a03:2880:f043:11:face:b00c:0:2
Puerto 443 (HTTPS)
TTL:64 (De salida por default en sistemas muchos sistemas Linux)

Existen muchos vectores de ataque entonces lo que tendría que hacer tu IDS es primero aprender cual es la actividad normal y posteriormente detectar anomalías.

Por ejemplo ese es solo el paquete IP, sobre el va algo de data TCP 32 bytes Y sobre eso van datos que procesa el navegador del cliente y el servidor WEB (Para este caso).
Otra cosa, para comunicaciones que viajan sobre SSL no podrás ver los datos que realmente se enviando por que esta cifrados.

Es algo bastante complejo, si necesitas un background de Redes y de Paquetes.

Saludos!
En línea

bengy


Desconectado Desconectado

Mensajes: 501


mis virtudes y defectos son inseparables


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #2 en: 8 Enero 2020, 02:53 am »

Hola Alberto, primeramente te quiero agradecer en esta oportunidad por tanta ayuda que me brindaste en el pasado (hace como 5 años) muchas gracias!!!

entonces con esta informacion ya puedo generar patrones para poder entrenar las redes neuronales?
como puedo generar patrones con estas variables?
tengo otra pregunta:

influye en algo este warning: WARNING: No preprocessors configured for policy 0.?


« Última modificación: 8 Enero 2020, 02:57 am por .rn3w. » En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #3 en: 8 Enero 2020, 03:04 am »

Hola Alberto, primeramente te quiero agradecer en esta oportunidad por tanta ayuda que me brindaste en el pasado (hace como 5 años) muchas gracias!!!

No pues de que :) aqui estamos para ayudar

influye en algo este warning: WARNING: No preprocessors configured for policy 0.?

No influye, básicamente te indica que no tiene ningun preproceso configurado, snort ademas de poder mostrarte la información, se puede configurar como IDS con ciertas reglas.


entonces con esta información ya puedo generar patrones para poder entrenar las redes neuronales?

Tengo una idea muy vaga y escueta sobre como programar una red neuronal, alguna vez vi algunos videos sobre  como hacerlo y en mi cabeza solo estaba pensando en la vaga idea que eso lo podría realizar mediante grafos (Siendo los nodos las neuronas y las aristas las dendritas), pero realmente nunca lo puse en practica.

Pues la información esta bien para empezar aun que como te comento existen varios protocolos y familias ya todo depende del alcance que quieras tener con tu IDS.

Por poner un ejemplo básico PING
[Paquete IP][Paquete ICMP]

Ejemplo básico HTTP
[Paquete IP][Paquete TCP][Paquete HTTP]

Ejemplo básico HTTPS
[Paquete IP][Paquete TCP][Paquete HTTPS (Cifrado)]

Y asi por no decir IPv4 y IPv6
En línea

bengy


Desconectado Desconectado

Mensajes: 501


mis virtudes y defectos son inseparables


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #4 en: 8 Enero 2020, 03:11 am »

necesito variables que puedan llegar a ser unicas para diferenciar y de esa manera armar un patron unico para el aprendizaje de la red neuronal


como puedo obtener mas informacion con snort?

Código:
[Paquete IP][Paquete ICMP]
Ejemplo básico HTTP
[Paquete IP][Paquete TCP][Paquete HTTP]
Ejemplo básico HTTPS
[Paquete IP][Paquete TCP][Paquete HTTPS (Cifrado)]
IPv4 y IPv6


si lo configuro como ids puedo obtener mas informacion?



de toda esta informacion, creo que aun nada es unico para formar un patron diferenciable entre los demas

Código:
IP de origen
2803:9400:3:5fc9:5599:9c50:4514:c593
Puerto
40540
 con Destino a
2a03:2880:f043:11:face:b00c:0:2
Puerto 443 (HTTPS)
TTL:64 (De salida por default en sistemas muchos sistemas Linux)


en la informacion de paquete que datos son unicos y diferenciables entre los demas?

« Última modificación: 8 Enero 2020, 03:35 am por .rn3w. » En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #5 en: 8 Enero 2020, 03:45 am »

necesito variables que puedan llegar a ser unicas para diferenciar y de esa manera armar un patron unico para el aprendizaje de la red neuronal

En general cada paquete es unico

de toda esta informacion, creo que aun nada es unico para formar un patron diferenciable entre los demas

Lo que estas viendo es una vista resumida del paquete por ejemplo para TCP tiene mas datos:



si lo configuro como ids puedo obtener mas información?

Creo que tiene el modo --verbose donde incluso te muestra la data final en formato hexadecimal...

No, si lo configuras como IDS vas a cargarle la mano mas al procesador. Ya pesado mostrar los paquetes.
« Última modificación: 8 Enero 2020, 05:15 am por AlbertoBSD » En línea

bengy


Desconectado Desconectado

Mensajes: 501


mis virtudes y defectos son inseparables


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #6 en: 10 Enero 2020, 03:04 am »

En general cada paquete es unico
me puedes explicar porfavor como puedo visualizar que cada paquete es unico porfavor
En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #7 en: 10 Enero 2020, 05:45 am »

Valida la ayuda de snort, debe de tener un parámetro que te muestre el paquete entero en formato hexadecimal. Ahorita no recuerdo cual es la opción y no tengo instalado snort en ninguno de mis equipos.


Detalles de la estructura del paquete TCP
https://www.geeksforgeeks.org/services-and-segment-structure-in-tcp/

Detalles de la estructura del paquete IP
https://www.tutorialspoint.com/ipv4/ipv4_packet_structure.htm

Ambos realmente son un solo paquete. Tienen ciertos valores y/o parámetros que generalmente los hacen únicos (a ambos vistos como uno solo)

Si lo quieres integrar todo en uno solo te recomiendo que en lugar de snort utilizes libpcap, ya que se puede integrar desde C/C++ para leer los paquetes que llegan a la tarjeta de red directamente desde desde el lenguaje y procesar los datos que quieras directo a tus redes neuronales.

Saludos!
En línea

bengy


Desconectado Desconectado

Mensajes: 501


mis virtudes y defectos son inseparables


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #8 en: 11 Enero 2020, 05:22 am »

obtengo este mensaje de error

WARNING: No preprocessors configured for policy 0.
WARNING: No preprocessors configured for policy 0.
WARNING: No preprocessors configured for policy 0.
WARNING: No preprocessors configured for policy 0.
WARNING: No preprocessors configured for policy 0.


cuando ejecuto sudo snort -b este comando lo saque de http://www.adminso.es/index.php/SNORT-Modos_de_ejecuci%C3%B3n

creo que ese comando es al que te refieres?
« Última modificación: 11 Enero 2020, 05:39 am por .rn3w. » En línea

bengy


Desconectado Desconectado

Mensajes: 501


mis virtudes y defectos son inseparables


Ver Perfil WWW
Re: Obtener informacion de los paquetes
« Respuesta #9 en: 11 Enero 2020, 15:04 pm »

estuve viendo este video https://www.youtube.com/watch?v=1lDfCRM6dWk&t=595s, y al final obtiene los datos en hexadecimal, esta bien ?



En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
INYECTAR PAQUETES PARA OBTENER CLAVES
Hacking Wireless
estepeño 1 3,947 Último mensaje 12 Mayo 2010, 10:29 am
por madpitbull_99
Obtener informacion?
Programación Visual Basic
CAR3S? 7 4,411 Último mensaje 13 Febrero 2011, 23:54 pm
por CAR3S?
Algun sniffer para obtener los paquetes en crudo ?
Hacking
Destro- 4 4,881 Último mensaje 22 Agosto 2012, 20:57 pm
por тαптяα
Obtener información de un PC
Programación General
Meta 3 2,999 Último mensaje 20 Enero 2017, 17:02 pm
por Meta
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines