JOHN THE RIPPER

John the Ripper es un programa de criptografa que aplica fuerza bruta para
descifrar contraseas. Es capaz de romper varios algoritmos de cifrado o
hash, como DES, SHA-1 y otros.
Es una herramienta de seguridad muy popular, ya que permite a los
administradores de sistemas comprobar que las contraseas de los usuarios
son suficientemente buenas.
John the Ripper es capaz de autodetectar el tipo de cifrado de entre muchos
disponibles, y se puede personalizar su algoritmo de prueba de contraseas.
Eso ha hecho que sea uno de los ms usados en este campo.
John the Ripper usa un ataque por diccionario: tiene un diccionario con
palabras, que pueden ser contraseas tpicas, y las va probando todas. Para
cada palabra, la cifra y la compara con el hash a descifrar. Si coinciden, es
que la palabra era la correcta.
Esto funciona bien porque la mayor parte de las contraseas que usa la
gente son palabras de diccionario. Pero John the Ripper tambin prueba con
variaciones de estas palabras: les aade nmeros, signos, maysculas y
minsculas, cambia letras, combina palabras, etc.
Adems ofrece el tpico sistema de fuerza bruta en el que se prueban todas
las combinaciones posibles, sean palabras o no. ste es el sistema ms
lento, y usado slo en casos concretos, dado que los sistemas anteriores (el
ataque por diccionario) ya permiten descubrir muy rpidamente las
contraseas dbiles.
Como usarlo:
El uso ms bsico de John The Ripper es el siguiente; se ejecuta el comando
john especificando un fichero passwd sobre el cual comenzar el ataque de
diccionario y fuerza bruta.
john /var/tmp/passwd

NMAP
Nmap es un programa de cdigo abierto que sirve para efectuar rastreo de
puertos escrito originalmente por Gordon Lyon (ms conocido por su alias
Fyodor Vaskovich) y cuyo desarrollo se encuentra hoy a cargo de una
comunidad. Fue creado originalmente para Linux aunque actualmente es
multiplataforma.Se usa para evaluar la seguridad de sistemas informticos,
as como para descubrir servicios o servidores en una red informtica, para
ello Nmap enva unos paquetes definidos a otros equipos y analiza sus
respuestas.
Este software posee varias funciones para sondear redes de computadores,
incluyendo deteccin de equipos, [[servicio (informtica)|servicios] y
sistemas operativos. Estas funciones son extensibles mediante el uso de
scripts para proveer servicios de deteccin avanzados, deteccin de

vulnerabilidades y otras aplicaciones. Adems, durante un escaneo, es

capaz de adaptarse a las condiciones de la red incluyendo latencia y
congestin de la misma.
Como usarlo
La forma ms bsica de usarlo es escribir en una consola algo como:
nmap 192.168.1.1
Este uso tan basico solo nos devuelve que puertos estan abiertos tras un
scan simple. Dependiendo de la seguridad de la ip que se escanee puede
que nos bloquee el escaneo si lo hacemos de esa manera. Una forma ms
discreta de hacerlo que no deja registros en el sistema es as: nmap sS
192.168.1.1
Se pueden utilizar para realizar el scan son los siguientes:
sT se intenta hacer un barrido de puertos por TCP la ventaja de esta tcnica
es que no requiere usuarios privilegiados, opuesto a sS
sU se intenta hacer un barrido de puertos por UDP, es til cuando se
intentan descubrir puertos de nivel superior que pueden estar detrs de un
firewall, lenta pero permite hacer auditorias ms exactas.
sA se usan mensajes de ACK para lograr que sistema responda y as
dterminar si el puerto esta abierto algunos Firewall no filtran estos Mensajes
y por ello puede ser efectivo en algunos casos.
sX puede pasar algunos Firewall con malas configuraciones y detectar
servicios prestndose dentro de la red
sN puede pasar algunos Firewall con malas configuraciones y detectar
servicios prestndose dentro de la red
sF puede pasar algunos Firewall con malas configuraciones y detectar
servicios prestndose dentro de la red
sP este modificador ayuda a identificar que sistemas estn arriba en la red
(en funcionamiento) para luego poder hacer pruebas mas especificas,
similar a Ping.
sV intenta identificar los servicios por los puertos abiertos en el sistema esto
permite evaluar cada servicio de forma individual para intentar ubicar
vulnerabilidades en los mismos.
sO con esta opcin se identifica que protocolos de nivel superior a capa tres
(Red o Network) responden en el sistema, de esta manera es ms fcil saber
las caractersticas de la red o el sistema que se intenta evaluar.

WIRESHARK
Es un analizador de protocolos utilizado para realizar anlisis y solucionar
problemas en redes de comunicaciones, para desarrollo de software y
protocolos, y como una herramienta didctica. Cuenta con todas las

caractersticas estndar
nicamente hueca.

de

un

analizador

de

protocolos

de

forma

La funcionalidad que provee es similar a la de tcpdump, pero aade una

interfaz grfica y muchas opciones de organizacin y filtrado de
informacin. As, permite ver todo el trfico que pasa a travs de una red
(usualmente una red Ethernet, aunque es compatible con algunas otras)
estableciendo la configuracin en modo promiscuo. Tambin incluye una
versin basada en texto llamada tshark.
Permite examinar datos de una red viva o de un archivo de captura salvado
en disco. Se puede analizar la informacin capturada, a travs de los
detalles y sumarios por cada paquete. Wireshark incluye un completo
lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo
reconstruido de una sesin de TCP.
CHKROOTKIT
Chkrootkit (Check Rootkit) es un programa informtico de consola, comn
en sistemas operativos Unix y derivados. Permite localizar rootkits
conocidos, realizando mltiples pruebas en las que busca entre los binarios
modificados por dicho software.1 Este guion de consola usa herramientas
comunes de UNIX/Linux como las rdenes strings y grep para buscar las
bases de las firmas de los programas del sistema y comparar un transversal
del archivo /proc con la salida de la orden ps (estado de los procesos
(process status)) para buscar discrepancias. Bsicamente hace mltiples
comprobaciones para detectar todo tipo de rootkits y ficheros maliciosos.
Como usarlo
Al ejecutarlo muestra algo como esto:

NETCAT
Netcat es una herramienta de red que permite a travs de intrprete de
comandos y con una sintaxis sencilla abrir puertos TCP/UDP en un HOST
(quedando netcat a la escucha), asociar una shell a un puerto en concreto
(para conectarse por ejemplo a MS-DOS o al intrprete bash de Linux
remotamente) y forzar conexiones UDP/TCP (til por ejemplo para realizar
rastreos de puertos o realizar transferencias de archivos bit a bit entre dos
equipos). Fue originalmente desarrollada por Hobbit en 1996 y liberada bajo
una licencia de software libre permisiva (no copyleft, similar a BSD, MIT)

para UNIX. Posteriormente fue portada a Windows y Mac OS X entre otras

plataformas. Existen muchos forks de esta herramienta que aaden
caractersticas nuevas como GNU Netcat o Cryptcat.
Entre sus mltiples aplicaciones, es frecuente la depuracin de aplicaciones
de red. Tambin es utilizada a menudo para abrir puertas traseras en un
sistema.
Como usarlo
Netcat puede utilizarse como un servidor y dejarlo a la escucha de un
determinado puerto:
nc -l 2389
Adems, podemos usarlo
recientemente abierto:

para

conectarnos

un

puerto

(2389),

nc localhost 2389
Ahora, si escribimos en el lado del cliente, llegar al lado del servidor:

nc localhost 2389
HI, server
En la terminal donde est corriendo el servidor: nc -l 2389
KISMET
Kismet es un sniffer, un husmeador de paquetes, y un sistema de deteccin
de intrusiones para redes inalmbricas 802.11. Kismet funciona con
cualquier tarjeta inalmbrica que soporte el modo de monitorizacin raw, y
puede rastrear trfico 802.11b, 802.11a, 802.11g y 802.11n. El programa
corre bajo Linux, FreeBSD, NetBSD, OpenBSD, y Mac OS X. El cliente puede
tambin funcionar en Windows, aunque la nica fuente entrante de
paquetes compatible es otra sonda.
Como usarlo:
Combinaciones de teclas comunes:
s Muestra men para ordenar las redes a nuestra conveniencia. Por SSID o
BSSID, Clave Wep etc.
i Muestra informacin detallada de la red como SSID, BSSID, Max. Rate,
BSS Time, Clientes conectados, Tipo, canal.
d Muestra las cadenas en claro (dump).
r Grafca el trfico que detecta nuestro dispositivo.
a Estadsticas, canales ms usados, cuentas redes detectamos etc.
p Muestra el tipo de paquetes.
f Seguimiento de la red, con gps.

w Muestra las alertas que detecta kismet.

h Ayuda.

HPING
hping es una lnea de comandos TCP / IP orientado a paquetes
ensamblador / analizador. La interfaz se inspir para el ping (8) de
comandos de Unix, pero hping no slo es capaz de enviar peticiones de eco
ICMP. Es compatible con los protocolos TCP, UDP, ICMP y RAW-IP, tiene un
modo traceroute, la posibilidad de enviar archivos entre un canal cubierto, y
muchas otras caractersticas.
Mientras hping fue utilizado principalmente como una herramienta de
seguridad en el pasado, se puede utilizar de muchas maneras por las
personas que no se preocupan por la seguridad de probar redes y hosts. Un
subconjunto de las cosas que usted puede hacer uso de hping:

Pruebas de Firewall
Escaneo de puertos Avanzada
Pruebas de red, utilizando diferentes protocolos, TOS, la
fragmentacin
Ruta Manual MTU descubrimiento
Traceroute avanzadas, en todos los protocolos soportados
OS fingerprinting remoto
Tiempo de funcionamiento remoto adivinando
Pilas TCP / IP auditora
hping tambin puede ser til para los estudiantes que estn
aprendiendo TCP / IP.

Hping funciona en los siguientes sistemas tipo Unix: Linux, FreeBSD,

NetBSD, OpenBSD, Solaris, MacOS X, Windows.
Como usarlo:
Se puede utilizarlo como scanner de puertos, utilizando el mtodo idle scan
la sintaxis es la siguiente:
hping3 -S localhost -p 9091

TCPDUMP
tcpdump es un herramienta en lnea de comandos cuya utilidad principal es
analizar el trfico que circula por la red.
Permite al usuario capturar y mostrar a tiempo real los paquetes
transmitidos y recibidos en la red a la cual el ordenador est conectado.
Est escrito por Van Jacobson, Craig Leres, y Steven McCanne que
trabajaban en ese momento en el Grupo de Investigacin de Red del
Laboratorio Lawrence Berkeley. Ms tarde el programa fue ampliado por
Andrew Tridgell.

tcpdump funciona en la mayora de los sistemas operativos UNIX: Linux,

Solaris, BSD, Mac OS X, HP-UX y AIX entre otros. En esos sistemas, tcpdump
hace uso de la biblioteca libpcap para capturar los paquetes que circulan
por la red.
Como usarlo:
tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]
[ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ] [ -y datalinktype ] [ -Z user ]
[ expression ]
-A: Imprime cada paquete en cdigo ASCII
-D: Imprime la lista de interfaces disponibles
-n: No convierte las direcciones de salida
-p: No utliza el interfaz especificado en modo promiscuo
-t: No imprime la hora de captura de cada trama
-x: Imprime cada paquete en hexadecimal
-X: Imprime cada paquete en hexadecimal y cdigo ASCII
-c count: Cierra el programa tras recibir count paquetes
-C file_size
-E algo:secret
-F file
-i interface: Escucha en el interfaz especificado
-M secret
-r file
-s snaplen
-T type
-w file: Guarda la salida en el archivo file
-W filecount
-y datalinktype
-Z user
SNORT
Snort es un IDS o Sistema de deteccin de intrusiones basado en red (NIDS).
Implementa un motor de deteccin de ataques y barrido de puertos que
permite registrar, alertar y responder ante cualquier anomala previamente

definida como patrones que corresponden a ataques, barridos, intentos

aprovechar alguna vulnerabilidad, anlisis de protocolos, etc conocidos.
Todo esto en tiempo real.
Snort (http://www.snort.org/) est disponible bajo licencia GPL, gratuito y
funciona bajo plataformas Windows y UNIX/Linux. Es uno de los ms usados
y dispone de una gran cantidad de filtros o patrones ya predefinidos, as
como actualizaciones constantes ante casos de ataques, barridos o
vulnerabilidades que vayan siendo detectadas a travs de los distintos
boletines de seguridad.
Como usarlo:
Snort en modo Sniffer y registro de paquetes
El formato genrico para este modo es: snort [-opciones] < filtro >
snort -v
Con esta opcin -v iniciamos snort en modo sniffer visualizando en pantalla
las cabeceras de los paquetes TCP/IP, es decir, en modo sniffer. Esta opcin
el modo verbouse y mostrar las cabeceras IP, TCP, UDP y ICMP.
Si queremos, adems, visualizar los campos de datos que pasan por la
interface de red, aadiremos -d.
snort -vd
Aadiendo la opcin -e, snort nos mostrar informacin ms detallada. Nos
mostrar las cabeceras a nivel de enlace.
Con estas opciones y dependiendo del trfico en nuestra red, veremos gran
cantidad de informacin pasar por nuestra pantalla, con lo cual sera
interesante registrar, guardar estos datos a disco para su posterior estudio.
Entraramos entonces en snort como packet logger o registro de paquetes.
C:\Snort20\bin>snort -dev -l ./log
La opcin -l indica a snort que debe guardar los logs en un directorio
determinado, en este caso Error! Hyperlink reference not valid. Dentro de la
carpeta log se crear una estructura de directorios donde se archivarn los
logs.

Podemos indicar la ip de la red a registrar ( -h ) y que el formato de los logs

sea en modo binario ( -b ), es decir, el modo que entiende TCPDump o
Windump, para estudiar ms a fondo con los potentes filtros de estos
programas los logs de snort. La salida del logs en el caso de la opcin de
salida binaria ya no ser una estructura de directorios, si no, un slo
archivo.
snort -vde -l ./log -h 192.168.4.0/24
Aadir filtros
snort -vd host 192.168.4.5 and dst port 8080

Modo deteccion de intrusos

snort -dev -l ./log -h 192.168.4.0/24 -c /etc/snort.conf
Snort como servicio
snort -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf