Blog

Destripando con Wireshark herramientas de Footprinting y Fingerprinting

Fierce es una herramienta para localizar direcciones IP y host de de determinados dominios. Es decir, para un host (por ejemplo uam.es) nos obtendrá todos las direcciones IP que tenga asociadas con sus respectivos hostname.

¿Y esto como lo hace? Pues muy sencillo. A través del protoclo DNS hace consultas inversas, que son las de tipo PTR, en donde en vez de obtener una IP a través de un dominio, lo que hace es obtener el dominio a partir de una IP. Es decir, que hará un barrido de todas las IPs que corresponderían a una hipotetica subred de tipo C (150.244.200.0/24) o clase B (150.244.0.0/16), y para cada una de estas IPs hará la consulta PTR para obtener el nombre del host.

 

dns1

 

Vemos en la imagen que a herramienta primero obtiene los servidores DNS asociados al dominio. Después intenta la transferencia de zona sin exito. Y por ultimo irá a realizar los test que he comentado.
dns2

 

Esto es solo una pequeña muestra de como los resultados encontrados y como se muestran por pantalla.

En esta siguiente imagen podremos ver como es nuestro equipo quien realizado las consultas de tipo PTR (del protocolo DNS) y como va preguntando por todas y cada una de las IPS. En este pequeño fragmente de captura podemos ver que ha pregutnado por las IPS 150.244.214.207, 150.244.214.208, 150.244.214.209, etc. hasta la 150.244.214.214. Y si os fijais en las respuestas hay algunas que responden que no existe dominio asociado a esa IP, y otras que devuelven el nombre como puede ser para 150.244.214.208 que devuelve el host ocw.uam.es

 

dns3

 

En esta herramienta hemos visto como al principio ha intentado hacer una transferencia de zona. Pues la forma en la que esta, y muchas otras herramientas la realizan es de la siguiente forma:

 

dns4

 

Podemos ver en la tercera tarma de la traza como pertenece al protocolo DNS y como hace una consulta del tipo AXFR. Si inspeccinamos el paquete, podemos ver en la parte de abajo de Wireshark como el tipo de consulta AXFR corresponde con una “Request for full zone transfer”.

La miticas herramienta que utilizan WHOIS para obtener la información del propietario de la página lo unico que hacen son realizar una consulta de tipo AAAA al servidor acerca de ese dominio y será este quien responda con la información como veremos a continuación.

 

dns5

 

Vemos que desde mi equipo se han lanzado 2 peticiones del tipo A y AAAA, y para ambas tenemos una respuesta. Si utilizamos la opción de wireshark Follow TCP Stream para ver la conversción completa con el servidor DNS podemos ver como en la respuesta aparece la información del dominio.

 

dns6

 

Hay otras herramientas que son capaces de reconocer el tipo de servidor que aloja la página web. Muchas veces se utiliza la técnica de banner grabing, que lo unico que hace es coger el banner que muestra el servidor en donde muestra la información de este. Pero cada vez más los administradores de estos servidores lo que hacen es cambiarlo para engañar al atacante. Entonces lo que hacen estas herramientas es realizar una serie de peticiones extrañas para obtener toda la variedad de comportamientos distintos de la aplicación y del servidor para entonces poder analizar todas las respuestas y llegar a una conclusión acerca del servidor que es. Vamos a verlo en la siguiente imagen:

 

web1

 

Vemos en el campo info de las trazas que se realizan peticiones muy dispares, direcotrios con una longitud enorme, ficheros que no existen, paquetes mal formados, protocolo HTTP/9.8 que no existe, etc. Esto es solo una pequeña muestra. Y como veis el servidor responde de formas distintas. Luego será nuestra herramienta la que analice todos estos comportamientos, y el banner que devuelve en cada uno de ellos para llegar a una conclusión.

Hay otro tipo de herramientas para descubrir directorios ocultos en un dominio del tipo Dirbuster que lo que hacen es que a partir de un diccionario van haciendo peticiones para todos los elementos que tiene el diccionario, a ver si tiene algun directorio con ese nombre.

 

web2

 

En esta imagen podemos ver la captura de Wireshark, y la salida por pantalla de la ejecución del programa (‘dirb’ para Linux). En la salida del programa por pantalla podemos ver que cuando encuentra un directorio nos aparece con el simbolo ‘+’ al princpio y vemos que entre parentesis tiene el codigo de 200 (que existe la pagina). Por otra parte podemos ver en la captura de Wireshark como va haciendo peticiones GET para todos los directorios que aparecen en el diccionario, con su respuesta correspondiente. He resltado uno, en el que preguntado por el directorio /ftp/backup.

 

Pues eso es todo, he elegido algunas de las herramientas que pueden ser más usadas para que veais que realmente lo que hacen por debajo no es nada complicado, y que teniendo conocimientos de programación o de scripting podriamos fabricarnos nuestras propias herramientas.

 

Autor: Roberto Lopez (@leurian)

  1. lizbeth
    lizbeth07-18-2014

    Muy buena información lo incorporé en web http://www.sistemas7a.com

Leave a Reply

*

    No Twitter Messages