Cyber
Incidentes de ciberseguridad
Analisis ForenseIncidentes de ciberseguridadDocumentacionHacking eticoTryHackMeNormativa
Incidentes de ciberseguridad
Analisis ForenseIncidentes de ciberseguridadDocumentacionHacking eticoTryHackMeNormativa
  • Practica1.1 Retos de cifrado simetrico y asimetrico
  • Practica1.0 Busqueda de leaks
  • Practica1.2 Envio email cifrado con thunderbird
  • Practica1.3 Phising y otras estafas
  • opcional sakura_room
  • opcional WebOsint
  • Practica2.1 Generacion de elementos
  • Practica2.2.2 Entrenamiento con phising email
  • practica2.2 gophish
  • Practica 3 2 Volumenes en docker
  • Practica 3 3 Profundizacion Syslog ng
  • Practica 3 4 Port Knocking
  • Practica 3 5 Montaje SOC con ELK
  • Practica4_2 Investigacion defacement
  • Practica4_3 Splunk
  • Practica 4_1 Investigacion elastic
  • Slingshot
  • Wazuh
  • AWS
  • Opcional1.0 Phising
  • Practica 4_4 Splunk exploring spl
  • Practica4_4_1 Splunk Dashboards
  • wireshark
Powered by GitBook
On this page

wireshark

PreviousPractica4_4_1 Splunk Dashboards

Last updated 1 year ago

Para ver una vista general de la captura:

Edit>> preferences>> columns (para editar columnas)

Ip.addr == ip que sea (el source y el destination tienen esa ip)

Ip.src == (para filtrar por source)

Ip.dst == (para filtrar por destino)

Ip.src == ip and icmp

Al haber un rst quiere decir que el nmap le ha respondido tras el syn-ack

Aquí se veria modo pro ya que filtro solo por los que le hayan respondido con RESET.

Y otra forma de encontrarlo

Es que haya tenido un syn y un ack y que además la ip src sea distinta a la ip del atacante.

Vemos en el ethernet II que la 10.42.42.25 es la que en l mac tiene Apple

Para saber el Windows:

El que tiene el ttl tiene 128 por lo que es windows

Aqui hemos filtrado por los paqquetes del ping
Si nos vamos a edit>preferences podemos modifical las columnas