👿
Hacking en SCADA - [CPICS]
Comprar cursoYouTubeTwitterLinkedIn
  • La Biblia del Hacking en ICS/SCADA
    • Advertencia
    • Conoce a tu academia
    • Conoce a tu instructor #1
    • Conoce a tu instructor #2
  • Fundamentos de SCADA
    • Introducción a SCADA
      • Unidades Terminales Remotas (RTU)
      • Interfaz Hombre-Máquina (HMI)
      • Comunicaciones de Red
      • Controladores Lógicos Programables (PLC)
    • IT vs OT
    • La importancia de conocer pentesting en IT para una auditoria en SCADA
    • Aplicaciones Típicas de SCADA en Diferentes Industrias
      • Industria de la Energía
      • Gestión de Agua y Aguas Residuales
      • Industria Manufacturera
      • Transporte
      • Petróleo y Gas
    • Arquitectura de Sistemas SCADA
      • Características de Diseño
      • Tecnologías Emergentes
    • Redes y Comunicaciones en SCADA
    • Diferencias entre SCADA, DCS y otros sistemas de control industrial
    • Protocolos comunes
      • Modbus
      • DNP3 (Distributed Network Protocol)
      • OPC (OLE for Process Control)
      • IEC 60870-5-104
    • Hardware Específico en SCADA
    • Software de Gestión y Monitorización en SCADA
    • Ciberseguridad en el Modelo de Purdue
  • Aspectos Legales y Éticos del Pentesting en SCADA
    • Normativas y estándares de cumplimiento en SCADA
    • ICS Cyber Kill Chain
    • MITRE en ICS
  • Vulnerabilidades en Sistemas SCADA
    • Tipos comunes de vulnerabilidades
      • Vulnerabilidades de Software y Firmware
      • Problemas de Configuración y Seguridad de Red
      • Falta de Autenticación y Control de Acceso
      • Vulnerabilidades de Comunicaciones
      • Ataques Físicos y de Ingeniería Social
      • Falta de Conciencia y Formación en Seguridad
    • Análisis de casos históricos de brechas de seguridad
      • Stuxnet (2010)
    • ERP como Vectores de ataque inicial
    • Herramientas automatizadas
  • Herramientas y técnicas
    • OSINT en SCADA
      • Utilizando Shodan para SCADA
    • Logins vulnerables a fuerza bruta
      • Hydra una gran herramienta
    • Profundizando en Modbus
      • Historia y evolucion de Modbus
      • Man-In-The-Middle
      • Modbus TLS posibles vulnerabilidades
    • Instalacion de ControlThings
    • Uso de Nmap en SCADA
    • Puertos comunes en ICS/SCADA Devices
    • Utilizando Nmap
      • DNS en SCADA
      • Enumeracion con s7-enumerate.nse
    • Enumeracion con plcscan
    • ARP-SCAN en SCADA
    • ARP Spoofing
      • Wireshark en SCADA
    • Introducción al Uso de Metasploit en SCADA
      • Auxiliary Module modbusdetect
      • Auxiliary Module modbus_findunitid
    • Uso de protocolos inseguros en SCADA
      • Uso de protocolos inseguros
    • Credenciales por defecto
      • ScadaBR - Default Credentials
    • Credenciales debiles o suceptibles a fuerza bruta
    • Python en SCADA
    • Inyeccion Maliciosa de comandos Modbus
      • Utilizando MBTGET
      • Utilizando Metasploit
        • Auxiliary Module modbus_client
      • Utilizando Python
    • Simulacion de StuxNet
      • OpenPLC Server: Subida de Archivo Malicioso .st para Controlar Parámetros de Planta
  • Buffer Overflow
    • Buffer Overflow en SCADA
    • Teoria del Buffer Overflow
      • Buffer Overflow en Windows
      • Buffer Overflow en Linux
    • Tipos de Protecciones contra Buffer Overflow
    • Explotacion del Buffer Overflow
      • Spiking
      • Fuzzing
      • Finding the Offset
      • Overwriting The EIP
      • Finding the Bad Charaters
      • Finding The Right Module
      • Generating Shellcode and Gaining Shell
  • Muchas Gracias
    • 🛡️ ¡Muchísimas Gracias por Participar! 🛡️
    • Importante
Con tecnología de GitBook
En esta página
  • Filtros de Wireshark para Tráfico SCADA
  • 1. Filtrar por Protocolo
  • 2. Filtrar por Dirección IP
  • 3. Filtrar por Puerto
  • 4. Combinaciones de Filtros
  • 5. Filtrar por Mensajes de Error
  • Uso Práctico de Wireshark en SCADA

¿Te fue útil?

  1. Herramientas y técnicas
  2. ARP Spoofing

Wireshark en SCADA

Wireshark es una herramienta esencial para el análisis de redes que permite a los profesionales capturar y analizar el tráfico en tiempo real, proporcionando una visibilidad detallada del flujo de datos a través de las redes. Esto es particularmente útil en entornos SCADA, donde la seguridad y la estabilidad de la comunicación son críticas. Aquí te describo algunos filtros de Wireshark que pueden ser especialmente útiles para analizar el tráfico de SCADA:

Filtros de Wireshark para Tráfico SCADA

1. Filtrar por Protocolo

Para sistemas SCADA que utilizan protocolos específicos, puedes filtrar directamente por el nombre del protocolo para simplificar la visualización de los paquetes relevantes. Algunos de los protocolos comunes en SCADA incluyen:

  • Modbus: modbus

  • DNP3: dnp3

  • S7comm (Siemens): s7comm

Por ejemplo, para ver sólo el tráfico Modbus, usarías:

modbus

2. Filtrar por Dirección IP

En un entorno SCADA donde se conocen las direcciones IP de los dispositivos de interés, puedes filtrar el tráfico para mostrar solo la comunicación con estas direcciones. Esto es útil para aislar la actividad de un dispositivo específico. Por ejemplo:

  • Tráfico desde o hacia una dirección IP específica:

    ip.addr == 192.168.1.100
  • Tráfico solo desde una dirección IP específica:

    ip.src == 192.168.1.100
  • Tráfico solo hacia una dirección IP específica:

    ip.dst == 192.168.1.100

3. Filtrar por Puerto

Si sabes que un protocolo SCADA opera en un puerto específico, puedes filtrar por ese puerto para analizar solo el tráfico asociado con ese servicio. Por ejemplo, para filtrar el tráfico que utiliza el puerto estándar de Modbus TCP (502):

tcp.port == 502

4. Combinaciones de Filtros

Wireshark permite la combinación de filtros para obtener análisis más específicos. Por ejemplo, para ver el tráfico Modbus de una dirección IP específica, podrías usar:

modbus and ip.addr == 192.168.1.100

5. Filtrar por Mensajes de Error

Filtrar por mensajes de error en los protocolos puede ayudar a identificar problemas en las comunicaciones SCADA. Por ejemplo, si deseas filtrar los mensajes de excepción en Modbus, podrías usar:

modbus.exception_code

Uso Práctico de Wireshark en SCADA

Usar Wireshark en entornos SCADA es práctico para:

  • Diagnóstico de Problemas: Identificar y resolver problemas de comunicación entre dispositivos.

  • Auditorías de Seguridad: Verificar que sólo el tráfico esperado está presente en la red y detectar posibles intrusiones.

  • Desarrollo y Pruebas: Ayudar en el desarrollo de aplicaciones SCADA y en la prueba de nuevas implementaciones para asegurar que funcionan como se espera.

Wireshark es una herramienta poderosa que, cuando se usa correctamente, puede proporcionar una comprensión profunda del funcionamiento y la seguridad de una red SCADA, permitiendo a los administradores y a los analistas de seguridad tomar decisiones informadas basadas en datos reales de tráfico de red.

Puedes practicar cargando estos pcaps:

AnteriorARP SpoofingSiguienteIntroducción al Uso de Metasploit en SCADA

Última actualización hace 1 año

¿Te fue útil?

ICS-Security-Tools/pcaps at master · ITI/ICS-Security-ToolsGitHub
CPICS-Tools/pcap at main · Spartan-Cybersecurity/CPICS-ToolsGitHub
Logo
Logo