HERRAMIENTAS DE INFORMACIN

Alumno: Javier Garca Cambronel

HERRAMIENTAS DE INFORMACIN 01/01/201

WHOIS: QU ES Y UTILIDADES WHOIS es un protocolo TCP basado en peticin/repuesta que se utiliza para efectuar consultas en una base de datos que permite determinar el propietario de un nombre de dominio o una direccin IP en Internet. Las consultas WHOIS se han realizado tradicionalmente usando una interfaz de lnea de comandos, pero actualmente existen multitud de pginas web que permiten realizar estas consultas. Estas pginas siguen dependiendo internamente del protocolo WHOIS para conectar a un servidor WHOIS y hacer las peticiones. Los clientes de lnea de comandos siguen siendo muy usados por los administradores de sistemas. Las herramientas para hacer un Whois a un dominio nos puede servir para saber si ese dominio que nos interesa est libre u ocupado, a quien pertenece, quien lo administra, en que servidores est alojado,fechas de registro, AQU UNAS CUANTAS http://nicolasviroga.com/2010/04/12/9-utilidades-para-hacer-whois-dominio/

YO HE ESCOGIDO ESTA PARA TRABAJAR PORQUE ME PARECE SIN LUGAR A DUDAS LA MS COMPLETA DE TODAS COMO VEREMOS A CONTINUACIN AUNQUE SIEMPRE ES MEJOR COMPLEMENTARLA CON OTRAS COMO FOCA QUE NOS DA ANALISIS DE SUBDOMINIOS YEL TRFICO EN TIEMPO REAL. http://whois.domaintools.com

COMO VEMOS NOS DA BASTANTE INFORMACIN ACERCA DEL DOMINIO

Domain ID:D105317776-LROR Domain Name:GONZALONAZARENO.ORG Created On:10-Dec-2004 11:23:11 UTC Last Updated On:16-Feb-2011 00:25:39 UTC Expiration Date:10-Dec-2015 11:23:11 UTC Sponsoring Registrar:10DENCEHISPAHARD SL (R1767-LROR) Alumno: Javier Garca Cambronel Pgina 1

HERRAMIENTAS DE INFORMACIN 01/01/201

Status:OK Registrant ID:CD129255482888 Registrant Name:Rafael Varela Dominguez Registrant Organization:Rafael Varela Dominguez Registrant Street1:Avda. Las Botijas,10 Registrant Street2: Registrant Street3: Registrant City:Dos Hermanas Registrant State/Province:Sevilla Registrant Postal Code:41700 Registrant Country:ES Registrant Phone:+34.954727450 Registrant Phone Ext.: Registrant FAX: Registrant FAX Ext.: Registrant Email: Admin ID:CD129255482982 Admin Name:Rafael Varela Dominguez Admin Organization:Rafael Varela Dominguez Admin Street1:Avda. Las Botijas,10 Admin Street2: Admin Street3: Admin City:Dos Hermanas Admin State/Province:Sevilla Admin Postal Code:41700 Admin Country:ES Admin Phone:+34.954727450 Admin Phone Ext.: Admin FAX: Admin FAX Ext.: Admin Email: Tech ID:CD129255483064 Tech Name:Rafael Varela Dominguez Tech Organization:Rafael Varela Dominguez Tech Street1:Avda. Las Botijas,10 Tech Street2: Tech Street3: Tech City:Dos Hermanas Tech State/Province:Sevilla Tech Postal Code:41700 Tech Country:ES Tech Phone:+34.954727450 Tech Phone Ext.: Alumno: Javier Garca Cambronel Pgina 2

HERRAMIENTAS DE INFORMACIN 01/01/201

Tech FAX: Tech FAX Ext.:

Tech Email: Name Server:NS1.CDMON.NET Name Server:NS2.CDMON.NET Name Server:NS3.CDMON.NET Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: DNSSEC:Unsigned INVESTIGANDO UN POCO MS PUEDES INSTALAR UNA APLICACIN EN LA WEB LLAMADA PROJECTWHOIS CON LA QUE PODEMOS VER LOS CAMBIOS QUE HA HABIDO EN DICHO DOMINIO.

Alumno: Javier Garca Cambronel

Pgina 3

HERRAMIENTAS DE INFORMACIN 01/01/201

TAMBIEN PODEMOS AGRANDAR LOS ANTERIORES DISEOS

TAMBIEN PODEMOS OBSERVAR LOS DOMINIOS PARECIDOS CON OPCIN DE REGISTRARLOS CON TODO LO QUE ELLO CONLLEVA PHISHING

Alumno: Javier Garca Cambronel

Pgina 4

HERRAMIENTAS DE INFORMACIN 01/01/201

DE HECHO NOS DA LA OPCIN DE CREAR UNA PAGINA IDNTICA Y NOS MUESTRA LOS PROBLEMAS QUE TIENE PARA COPIAR ESA PGINA

CONTRAMEDIDAS 1-Pues lo mejor de todo sera utilizar un dns pblico que este bien administrado quiero decir, la informacion que podran sacar seria mucho ms irrelevante 2-Es necesario restringir la informacin que se difundir a travs de los servicios de dns y whois. 3-Tambin se puede incluir filtrado de paquetes, para evitar la deteccin de la plataforma y los servicios y un sistema de deteccin de intrusos (ids) para detectar cuando se est produciendo un escaneo de puertos.

Alumno: Javier Garca Cambronel

Pgina 5

HERRAMIENTAS DE INFORMACIN 01/01/201

TRACEROUTE: PARA QU SIRVE Y UTILIDADES

Lo que hace el traceroute es recorrer todos los puntos de la conexin entre tu PC y el host para poder saber porque PC's pasa (las IP's) antes de llegar al host seleccionado. Es bueno para saber si el PC est tras un firewall, IDS o algn mecanismo de defensa. He utilizado la aplicacin visual-route por parecerme la ms sencilla y con una informacin completa de lo que hace este comando y la informacin que nos puede dar

Desde Una Red Pblica vemos los saltos que se producen

Alumno: Javier Garca Cambronel

Pgina 6

HERRAMIENTAS DE INFORMACIN 01/01/201

Y ahora desde Mi Red para Comprobar

AHORA SAQUEMOS NUESTRAS CONCLUSIONES Y VEMOS QUE LA PRIMERA RED PERTENECE A ONO Y VA A TRAVES DE UNA RED PRIVADA

CONTRAMEDIDAS PUNTO DOS DEL ANTERIOR PUNTO PARA INTENTAR QUE MUESTRE LA MENOR INFORMACIN

Alumno: Javier Garca Cambronel

Pgina 7

HERRAMIENTAS DE INFORMACIN 01/01/201

QUE ES EL COMANDO PING? Y PARA QUE SIRVE? El comando PING, normalmente se utiliza para determinar si una maquina se encuentra conectada a Internet o alguna otra red. Este comando puede funcionar bajo la mayora de sistemas operativos (S.O), independientemente de la plataforma. Lo que hace es: enviar una cantidad de paquetes (denominando ICMP), haciendo que el equipo receptor nos responda con paquetes ICMP tambin.

Es decir que si tenemos la direccin IP/host de algn equipo conectado a la red, podremos saber en cualquier momento si este se encuentra conectado o no. Pulsamos (TECLA Windows+R) o vamos a ejecutar y cuando nos salga el cuadro escribimos cmd y pulsamos en aceptar

Pues esta Ventana Negra se llama Shell/consola como quieras llamarle. Bueno pues ahora pasaremos a ejecutar el comando PING. en la ventana negra escribir lo siguiente: ping ip/host Por ejemplo, yo quiero saber si elhacker.net esta online... pues el comando seria: Ping elhacker.net Entonces PING nos respondera con algo parecido a esto:

Enva los paquetes ICMP con 32 bytes de datos a elhacker.net que corresponde a la ip [66.118.151.58]. En total enva 4 paquetes, y elhacker.net nos respondi bien... con todos los datos. Nos dice que el equipo donde est alojado el servidor de elhacker.net se encuentra encendido y conectado a la red.

Alumno: Javier Garca Cambronel

Pgina 8

HERRAMIENTAS DE INFORMACIN 01/01/201

En el caso de que no sea as y el equipo este apagado o no se encuentre conectado a ninguna red nos respondera de la siguiente manera:

Ahora cambia la cosa.

Enva los paquetes ICMP con 32 bytes de datos a la direccin IP 192.73.22.4. Solamente enva 4 paquetes, y la direccin 192.73.22.4 no nos responde a ninguna. Est mas que claro que el equipo al que pertenece esta direccin no esta conectado a Internet o alguna red con la tuya. O simplemente este apagado... o puede que esa direccin no pertenezca a ningn equipo de la red.

Podemos notar que ademas de decirnos si el equipo se encuentra On o OFF, el comando ping tambin puede verificar la direccin IP de un dominio, como es el ejemplo de la figura 2. Haciendo ping a elhacker.net nos respondi con la direccin 66.118.151.58. Pues esa es la direccin que corresponde a elhacker.net, seguramente sea de alguna empresa de hosting.

No acaba aqu. El comando ping entre otras cosas, tambin nos dice el sistema operativo que corresponde a una direccin IP/HOST. Es bien fcil, guardaros esta tabla: ----------------------------------------------------------------------------------------Free/Net/OpenBsd--------------------------------TTL 255 Linux-------------------------------------------TTL 255 Windows(95/98/Nt/2000/XP/2003/Vista)------------TTL 128 Routers(Bay/Cyclades)------------------------TTL 30 Routers (Cisco)------------------------------TTL 255 Switches (3 com)--------------------------------TTL 30 Impresoras HP (JetDirect/LaserJet/etc)---------TTL 60 -----------------------------------------------------------------------------------------

Alumno: Javier Garca Cambronel

Pgina 9

HERRAMIENTAS DE INFORMACIN 01/01/201

Ahora volved a fijaros en la imagen que hicimos del ping en elhacker.net:

El TTL nos indica el S.O Pues fijaros ahora que los TLL de elhacker.net no corresponde a ninguno de nuestra tabla... nos responde con el valor de 251. Esto pasa, porque cuando haces el PING a un ordenador de la red, cada vez que este pasa por un segmento de la red (Router o Gateway) el mismo le resta un TTL siendo as (-1 TTL por cada segmieno de red), y asi sucessivamente hasta el destino, nosotros. Para saber el valor real del TLL, necesitamos saber por cuantos segmentos a pasado antes de llegarnos la respuesta. Tenemos otro comando muy til para esto, en WINDOWS es tracert y en Linux es traceroute, veamos como ejecutarlo en WINDOWS:

Como ya lo podis ver... Seleccionado en rojo es la ruta que traza para llegar hasta elhacker.net Cada lnea corresponde a un router o gateway. Seleccionado en verde el nmero 4, corresponde a cuantos segmentos se han echo. Osea que mi ping paso por 4 segmentos diferentes. Con esto solo tenemos que sumar los 241 TTL + 4 de los routers que hemos trazado hasta elhacker.net. Nos dar la cantidad exacta de = 255. mirando en la tabla, vemos que no corresponde a WINDOWS

Alumno: Javier Garca Cambronel

Pgina 10

HERRAMIENTAS DE INFORMACIN 01/01/201

CONTRAMEDIDAS CON FILTROS AQU TUTORIAL http://www.adslzone.net/tutorial9.16.html HACER TRANSFERENCIAS DE ZONA PARA CONOCER TODAS LAS IP INTERNAS DE UNA RED

Para que una zona nueva delegada de la principal, por ejemplo la zona prueba, funcione, es necesario configurar algunos recursos, para que tenga informacin sobre la delegacin a los otros servidores de DNS autorizados. Es de extrema importancia que las zonas estn disponibles desde varios servidores de DNS por temas de disponibilidad. Para que otros servidores adems del principal puedan alojar zonas, se crearon las transferencias de zona, que se encargan de hacer la replicacin de todas ellas y de sincronizarlas. Ahora bien, cundo se realizan estas transferencias de zona? Tenemos cuatro posibilidades: 1. La primera de ellas es que se instale o inicie un nuevo servidor DNS y se configure en una zona existente. 2. La segunda, cuando finaliza el plazo de actualizacin de una zona. 3. La tercera, cuando se produce algn cambio en una zona, y es necesario actualizar para replicar los cambios. 4. Y la ltima, cuando manualmente se solicita una transferencia de zona. Bien, una vez entendido bien el concepto de zona, vamos a llevarlo a la prctica. Vamos a abrir una consola de comandos de Windows y ejecutaremos el programa nslookup, para Linux tambin existe. Nslookup es una aplicacin de lnea de comandos que permite probar y solucionar problemas en los servidores DNS. Nosotros lo utilizaremos para activar una transferencia de zona de manera manual. Vamos a iniciar Nslookup en modo interactivo, para ello basta con abrir un CMD y escribir el comando nslookup Ahora vamos utilizar la instruccin SET TYPE para consultar datos de tipo DNS (NS), para ver otros tipos de consultas podis utilizar la ayuda poniendo una interrogacin ?:

Ahora buscaremos los servidores de DNS de alguna organizacin: Ya sabemos los servidores DNS de ese dominio, ahora procederemos a ponernos como uno de ellos:

Alumno: Javier Garca Cambronel

Pgina 11

HERRAMIENTAS DE INFORMACIN 01/01/201

Ahora ya nos queda tan solo para realizar la transferencia de zona ejecutar el comando LS contra el dominio que queramos: Y disfrutar de todo el listado de mquinas que contienen las zonas: A no ser que este bien configuradoCOMO EN ESTE CASO QUE NOS SALDR

CONTRAMEDIDAS EVITAR QUE SE HAGA UNA TRANSFERENCIA DESDE EL EXTERIOR TUTORIAL http://www.flu-project.com/transferencias-de-zona-ii-de-ii.html
MS ADELANTE EN EL SEGUNDO VIDEOTUTORIAL DE FOCA VEREMOS COMO SE PUEDE SALTAR ESA SEGURIDAD Y CONSEGUIR LA LISTA DE HOSTS DE EL SERVIDOR DNS QUE QUERAMOS

Alumno: Javier Garca Cambronel

Pgina 12