Sólo texto | Texto con Imágenes

Underc0de

[In]Seguridad Informática => Seguridad => Mensaje iniciado por: BeraROOT en Mayo 31, 2013, 01:41:17 PM

Título: Analizando la red con wireshark paquetes sospechosos.. [UNA MANO?]
Publicado por: BeraROOT en Mayo 31, 2013, 01:41:17 PM
Hola a todos Buenas tardes Underc0de.. Como anda por esos pagos ?

Bueno hago este post porque Ultimamente vengo investigando un poco con la herramienta wireshark y bueno mirando una de las redes .. que si no me equivoco es la de red local me parecio raro observar que continuamente esta el envio e ingresos de datos.. y es como que la IP sourse es local y la que recibe tambien algo raro esta pasando .. ponen puertos a la escucha.. y revisando informacion de paquetes encontre esto.

Frame 2 : IP LOCAL : IPLOCAL : UDP : 43800 : 43800
Frame 3 :    ""   :    ""    :   tcp :  [psh, ack]   <---- informacion del paquete !...?column?  ..... select l....

y ademas hay mas paquetes con  informacion.. <<<-->>>>  host_id ak stype via_exploit...

eh estado leyendo algo de analisis de wireshark de la iteco.. y un poco mas.. Por logica.. es algo raro .. personalmente pienso en algun intruso.. que esta explotando algun bug en mis sercios pero no se todavia como arreglar o contrarestar esto.. bueno espero alguien se cope y me de una mano.. o alguna info pa guiarme.. y confirmarme esto q esta pasando..

desde ya gracias y saludos gente ;)
Título: Re:Analizando la red con wireshark paquetes sospechosos.. [UNA MANO?]
Publicado por: Snifer en Junio 09, 2013, 01:35:10 PM
Si puedes mostrar un .pcap seria mejor para poder ayudarte

Regards,
Snifer
Título: Re:Analizando la red con wireshark paquetes sospechosos.. [UNA MANO?]
Publicado por: BeraROOT en Junio 11, 2013, 04:44:54 PM
BUeno por un problema con el firefox no puedo subir el data .. pero aca les traigo unas fotos ..
me parece trafico inusual porque  envia los mismos paquetes a los mismos puertos constantemente .. y es como si fuera todo en el host mio. :S

nose dejo unas fotos para que lo puedan ver mejor..

(http://imageshack.us/a/img203/4193/wire1.png)

y aca les muestro algo mas

(http://imageshack.us/a/img24/6834/wire2u.png)

esto es lo que muestran los paquetes sospechosos..
y se repiten constantemente..

(http://imageshack.us/a/img580/9311/wire3.png)

(http://imageshack.us/a/img18/4977/wire4.png)

y aca el flujo tcp..

(http://imageshack.us/a/img62/6442/wiretcpflow.png)


pd: o yo no estoy mal asesorado o algo raro esta pasando . :S
Espero puedan ayudarme.. sigo con el mismo trafico presente en mi pc..
Apenas pueda subo el data para q lo puedan ver mejor.
Desde ya gracias por el interes.


Abrazos.
Sólo texto | Texto con Imágenes