Consulta Router puerto 80

Iniciado por AlexaoJ, 11 Julio 2012, 22:12 PM

0 Miembros y 1 Visitante están viendo este tema.

AlexaoJ

Buenas como les va? 
Mi duda es la siguiente,mas que nada sobre Routers y Puertos:

Cuando al Router le llega un pedido de X host que desea visitar X pagina,por cual puerto recibe esta informacion?
Me dijieron que  el router no mira ningun puerto, que solo recibe la trama de datos y chequea  la IP de destino, que es lo que utiliza para enrutar.
Estos es asi?
Muchas gracias!

ccrunch

Cita de: AlexaoJ en 11 Julio 2012, 22:12 PM
Buenas como les va? 
Mi duda es la siguiente,mas que nada sobre Routers y Puertos:

Cuando al Router le llega un pedido de X host que desea visitar X pagina,por cual puerto recibe esta informacion?
Me dijieron que  el router no mira ningun puerto, que solo recibe la trama de datos y chequea  la IP de destino, que es lo que utiliza para enrutar.
Estos es asi?
Muchas gracias!

Hola camarada, cómo estas?

Cuando envías una trama a un router, no lo haces a través de un puerto (socket) sino por un puerto físico.

Te explico.

Cuando envías una petición a X página, lo mandas a través del puerto LAN, que es un puerto físico, no un puerto lógico, no es un socket (no es el puerto 80 ni 46 ni 1555), sino el LAN1, o 2, etc.

A partir de ahí el router envía la petición a servidores DNS y dependiendo del servicio que hayas solicitado, te devuelve el resultado.

Piensa que por ejemplo un cablemodem, que no es router, no te dirijes a él por puertos, porque no es capaz de leerlos, cuando haces una petición va al puerto físico y de ahí ya te olvidas.

AlexaoJ

Cita de: ccrunch en 11 Julio 2012, 23:11 PM
Hola camarada, cómo estas?

Cuando envías una trama a un router, no lo haces a través de un puerto (socket) sino por un puerto físico.

Te explico.

Cuando envías una petición a X página, lo mandas a través del puerto LAN, que es un puerto físico, no un puerto lógico, no es un socket (no es el puerto 80 ni 46 ni 1555), sino el LAN1, o 2, etc.

A partir de ahí el router envía la petición a servidores DNS y dependiendo del servicio que hayas solicitado, te devuelve el resultado.

Piensa que por ejemplo un cablemodem, que no es router, no te dirijes a él por puertos, porque no es capaz de leerlos, cuando haces una petición va al puerto físico y de ahí ya te olvidas.

Buenas!Gracias por la respuesta!
Eso me quedo claro,pero ahora se me abre otra duda.
Cuando uno hace un arpspoofing,nuestra maquina pasa a ser el gateway de la victima.
Y cuando la persona entra a X sitio (www.hotmail.com) ,ese pedido yo se que entra a mi maquina(maquina atacante) por el puerto 80 (monitoreando con wireshark se ve,o cuando uno usa SSLStrip debe redireccionar lo que entra por el puerto 80 a otro puerto).
Entonces porque en ese caso la trama de datos entra por el puerto 80,pero si va directamente al router la trama no va por ningun puerto logico?

Si hay algo que no se entendio,avisame!!Muchas gracias!!!

ccrunch

Cita de: AlexaoJ en 13 Julio 2012, 16:59 PM
Buenas!Gracias por la respuesta!
Eso me quedo claro,pero ahora se me abre otra duda.
Cuando uno hace un arpspoofing,nuestra maquina pasa a ser el gateway de la victima.
Y cuando la persona entra a X sitio (www.hotmail.com) ,ese pedido yo se que entra a mi maquina(maquina atacante) por el puerto 80 (monitoreando con wireshark se ve,o cuando uno usa SSLStrip debe redireccionar lo que entra por el puerto 80 a otro puerto).
Entonces porque en ese caso la trama de datos entra por el puerto 80,pero si va directamente al router la trama no va por ningun puerto logico?

Si hay algo que no se entendio,avisame!!Muchas gracias!!!
Buenas,

Cuando envenenas la red, efectivamente tu máquina hace de puerta de enlace.

Pero en ese momento es como si tú eres el que hiciste la petición, es decir:

Víctima<---->Tú<---->Router

No va por el puerto 80, sigue mandando el paquete por un puerto lógico, porque es como si hubiera 1 sólo ordenador, es como si tú hicieras la petición. Intenta quitar "víctima" del esquema que te hice; entonces quedas tú y el router, si haces una petición se envía por el puerto lógico, tu ordenador sólo redirige el tráfico.

No sé si me explico.

int_0x40

En mi opinión y hasta donde tengo idea los puertos son identificadores lógicos de capa de transporte (usados en demultiplexión), los routers comunes trabajan en capa de red y se encargan del ruteo de paquetes, es decir remueven la cabecera de la trama que es de capa 2 ven la cabecera IP y la comparan con la tabla de rutas (nada tienen que ver con puertos lógicos), luego encaminan el paquete por la interfaz que corresponda (puerto físico del router) se vuelve a encapsular en otra trama que corresponda a capa2 y se manda al siguiente hop o al host destino si está en ese segmento de red.

En este caso cuando se hace arpspoofing el equipo atacante recibe las tramas y las redirige al verdadero router, en el transcurso se analizan los paquetes enviados por la víctima y su contenido, la cabecera de la trama es descartada porque el equipo está configurado para hacer forwarding, se inspecciona el contenido, sslstrip engaña a la víctima haciéndole creer que su conexión es cifrada en capa de transporte (SSL), cuando en realidad no es así durante el trayecto de la victima al atacante. Eso le permite a éste capturar data del paquete en texto plano, por ejemplo passwords. Después los paquetes de la víctima se vuelven a encapsular en otra tramas ahora dirigidas al verdadero router que las saca con una conexión SSL al sitio de destino con https.
"The girl i love...she got long black wavy hair "

ccrunch

Cita de: whiteN0ise en 13 Julio 2012, 18:27 PM
En mi opinión y hasta donde tengo idea los puertos son identificadores lógicos de capa de transporte (usados en demultiplexión), los routers comunes trabajan en capa de red y se encargan del ruteo de paquetes, es decir remueven la cabecera de la trama que es de capa 2 ven la cabecera IP y la comparan con la tabla de rutas (nada tienen que ver con puertos lógicos), luego encaminan el paquete por la interfaz que corresponda (puerto físico del router) se vuelve a encapsular en otra trama que corresponda a capa2 y se manda al siguiente hop o al host destino si está en ese segmento de red.

En este caso cuando se hace arpspoofing el equipo atacante recibe las tramas y las redirige al verdadero router, en el transcurso se analizan los paquetes enviados por la víctima y su contenido, la cabecera de la trama es descartada porque el equipo está configurado para hacer forwarding, se inspecciona el contenido, sslstrip engaña a la víctima haciéndole creer que su conexión es cifrada en capa de transporte (SSL), cuando en realidad no es así durante el trayecto de la victima al atacante. Eso le permite a éste capturar data del paquete en texto plano, por ejemplo passwords. Después los paquetes de la víctima se vuelven a encapsular en otra tramas ahora dirigidas al verdadero router que las saca con una conexión SSL al sitio de destino con https.
No te digo que no, igual me estoy equivocando porque hace mucho que no toco ese tema.

En cuanto a lo de los puertos: Lo que yo he entendido es que no sabe si al router va por el puerto 80, 443, etc o por un puerto físico. Cuando respondí no me salía la palabra "puerto físico" xD. Por eso le dije que se envía al router por un puerto físico, y no por un socket, para ser más claros.

PD: Si la conexión está cifrada, se supone que no puede ver nada porque los datos van cifrados, no?

PD2: mi explicación era buena?

Salu2


int_0x40

Hola ccrunch (¿Tu nick es por Capitan Crunch, por el buenazo Draper? xD mmm que bien que todavía haya gente que se acuerde!):

Lo de los puertos era un añadido no una crítica. En cuanto los puertos que redirige tráfico el router (pej. 80, 21) me parece que es otro asunto, relacionado con recibir petición a x puerto y mandarlo a determinado host de la LAN. En este caso el router creo que hace algo más especializado, pues tiene que revisar las cabeceras de la capa de transporte del paquete entrante desde WAN.

Citar
PD: Si la conexión está cifrada, se supone que no puede ver nada porque los datos van cifrados, no?
PD2: mi explicación era buena?

Sí efectivamente, por eso me parece que la técnica está en interrumpir la conexión desde la víctima al sitio que está implementando https a fin de que no se cifre, entonces el atacante que está haciendo MITM se encarga de establecer una conexión http.  Otra posibilidad es que la conexión se cifre del host (end) atacante al host (end) destino usando https.

Recuerda que el host atacante está capturando tráfico de la víctima en el puerto 80, si en el trayecto de la víctima al atacante viniera cifrado el tráfico no sería en ese puerto y además sslstrip debería tener un algoritmo que permitiese descifrar y hasta donde sé no es el caso 

Saludos.
"The girl i love...she got long black wavy hair "

ccrunch

Hola de nuevo whitenoise,

efectivamente el nick es por el Capitán Crunch.

Bueno, creí que respondí mal al post, por eso dudaba entre si lo que dije era verdad o no.

Bueno, me parece que el autor ya se ha aclarado.

Salu2

AlexaoJ

Cita de: whiteN0ise en 13 Julio 2012, 18:27 PM
En mi opinión y hasta donde tengo idea los puertos son identificadores lógicos de capa de transporte (usados en demultiplexión), los routers comunes trabajan en capa de red y se encargan del ruteo de paquetes, es decir remueven la cabecera de la trama que es de capa 2 ven la cabecera IP y la comparan con la tabla de rutas (nada tienen que ver con puertos lógicos), luego encaminan el paquete por la interfaz que corresponda (puerto físico del router) se vuelve a encapsular en otra trama que corresponda a capa2 y se manda al siguiente hop o al host destino si está en ese segmento de red.

En este caso cuando se hace arpspoofing el equipo atacante recibe las tramas y las redirige al verdadero router, en el transcurso se analizan los paquetes enviados por la víctima y su contenido, la cabecera de la trama es descartada porque el equipo está configurado para hacer forwarding, se inspecciona el contenido, sslstrip engaña a la víctima haciéndole creer que su conexión es cifrada en capa de transporte (SSL), cuando en realidad no es así durante el trayecto de la victima al atacante. Eso le permite a éste capturar data del paquete en texto plano, por ejemplo passwords. Después los paquetes de la víctima se vuelven a encapsular en otra tramas ahora dirigidas al verdadero router que las saca con una conexión SSL al sitio de destino con https.

Hola gracias por la respuesta!
Igualmente,existe algo que todavia dudo.
Vos en una parte decis "cuando se hace arpspoofing el equipo atacante recibe las tramas y las redirige al verdadero router"
Entonces yo pregunto,porque nuestra maquina (maquina atacante) recibe las tramas por el puerto 80??Y el router (por lo que comento el otro muchacho) no la recibe por ningun puerto logico,sino por el fisico?
Eso no me queda claro,porque nosotros "actuando como el gateway" recibimos la trama por el puerto 80.
Gracias nuevamente!!

ccrunch

Cita de: AlexaoJ en 16 Julio 2012, 23:10 PM
Hola gracias por la respuesta!
Igualmente,existe algo que todavia dudo.
Vos en una parte decis "cuando se hace arpspoofing el equipo atacante recibe las tramas y las redirige al verdadero router"
Entonces yo pregunto,porque nuestra maquina (maquina atacante) recibe las tramas por el puerto 80??Y el router (por lo que comento el otro muchacho) no la recibe por ningun puerto logico,sino por el fisico?
Eso no me queda claro,porque nosotros "actuando como el gateway" recibimos la trama por el puerto 80.
Gracias nuevamente!!

Yo pienso que recibe la trama a través del programa con el que haces ARP Spoofing, de modo que es el programa quien dicta por qué puerto viene y por cuál va.

Eso pienso yo, que me corrijan si me equivoco.

Salu2