Daboweb

Herramientas para la interpretación de capturas de red. (9/10) Parte 3

Escrito por Alfon el 15/06/2012
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8 | Parte 9 / 1 | Parte 9 / 2

Afterglow, InetVis, TNV, Argus, INAV.

 

Seguimos con las herramientas que nos proporcionarán una visión gráfica de nuestras capturas. En esta Parte 3 vamos a ver Argus.

Argus no es exactamente una herramienta de visualización gráfica, aunque sí tiene herramientas como ragraph que la genera.  Por tanto usaremos Argus para generar gráficas sobre tráfico de red. De esta forma, estudiaremos las siguientes vertientes:

  • el análisis de tráfico de red,
  • generación de gráficas con ragraph, afterglow, xplot.

 

Qué es Argus.

 

Argus (Network Activity Audit System) es un conjunto de herramientas para el análisis de tráfico de red. Está basado en una arquitectura cliente-servidor. Un servidor que será el host o sistema a auditar y un cliente que será el que realice, contra ese host u objetivo, el análisis o auditoría de forma remota. No es ésta la única forma de uso, podemos usar Argus en un solo host capturando, auditando y tratando un fichero .pcap o a través de una interface de red en modo live.capture.

Ya sea de forma remota o a través de un fichero de captura de red  .pcap que previamente hemos de convertir al formato entendible por Argus los datos capturados.

Leer más…

Tags: , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (9/10) Parte 2

Escrito por Alfon el 26/01/2012
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8 | Parte 9 / 1

Afterglow, InetVis, TNV, Argus, INAV.

 

Seguimos con las herramientas que nos proporcionarán una visión gráfica de nuestras capturas. En esta Parte 2 vamos a ver InetVis.

InetVis es una herramientas diferente ya que la representación gráfica del tráfico de red se realizará a través de una representación tridimensional 3D mediante un cubo. Lo vemos…

 

Qué es InetVis.

 

InetVis está basado en el concepto de Spinning Cube of Potencial Doom. Se trata de una herramienta de visualicación tridimensional del tráfico de red  que, además, puede visualizarse reproduciéndose a lo largo del tiempo.

Su objetivo principal es el análisis de tráfico anómalo y scan de puertos a través de una serie de patrones.

InetVis está disponible tanto para sistemas Linux como windows y lo podemos descargar desde:

En esta ocasión vamos a usarlo desde un entorno Windows.

Leer más…

Tags: , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (9/10) Parte 1

Escrito por Alfon el 16/01/2012
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8

Afterglow, InetVis, TNV, Argus, INAV.

 


Dejamos atrás Wireshark, visto en la parte 8 de esta serie, para ver otras herramientas que nos facilitan, cada una con sus propiedades y ventajas, la interpretación de nuestras captura y la obtención de datos y, en resumen, el análisis del tráfico de red.

En esta ocasión veremos una serie de herramientas que nos proporcionarán una visión gráfica de nuestras capturas.  Son las siguientes:

  • Afterglow
  • TNV
  • InetVis
  • INAV
  • NetGrok

Esta parte (9/10) la dividiremos a su vez en 2 o 3 más. En esta primera veremos AfterGlow:

Leer más…

Tags: , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (8/10)

Escrito por Alfon el 04/05/2011
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7

Wireshark III Parte.


En la segunda parte del artículo dedicado a Wireshark, aprendimos: Como salvar los datos de captura. Opciones de captura y salvado múltiple. Navegación por las capturas múltiples. Ring buffer. Truncado de paquetes. Extracción de binarios y uso de Follow TCP Stream. Extracción objetos HTTP.
Estadísticas Wireshark. Estadísticas Service Response Time.
Estadísticas Flow Graph. Otras estadísticas. Estadísticas gráficas. IO Graph y Gráficas tcptrace.

En esta ocasión vamos a ver:

  • Geolocalización con Wireshark. GeoIP y filtros.
  • El lenguaje Lua.
  • Mensajes se error u otros en wireshark; TCP segment of a reassembled PDU y otros.
  • Uso remoto de Wireshark.

Vamos a ello…

Leer más…

Tags: , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (7/10)

Escrito por Alfon el 27/01/2011
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6

Wireshark II Parte.

En la primera parte del artículo dedicado a Wireshark, aprendimos qué era, para que sirve, como usarlo de forma básica, aplicamos filtros y vimos algunos ejemplos. Seguimos avanzando y, además, veremos algunos aspectos más complejos.

En este artículo, más que teoría, y una vez visto los aspectos más básicos, nos centraremos en la práctica.  Qué vamos a ver:

  • Salvando los datos de captura. Opciones de captura y salvado múltiple.
  • Navegando por las capturas múltiples. Ring buffer.
  • Truncado de paquetes.
  • Extracción de binarios y uso de Follow TCP Stream.
  • Extracción objetos HTTP.
  • Estadísticas Wireshark. Estadísticas Service Response Time.
  • Estadísticas Flow Graph.
  • Otras estadísticas.
  • Estadísticas gráficas. IO Graph y Gráficas tcptrace.

Leer más…

Tags: , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (6/10)

Escrito por Alfon el 01/12/2010
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5

Wireshark I Parte.

.

¿ Qué es Wireshark ?.

Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.

Este es solo una pequeña definición de esta herramienta. Veremos, a lo largo de esta artículo, que Wireshark es capaz de destripar, decodificar, analizar todo nuestro tráfico aportando una grandísima cantidad de datos. Datos que, una vez analizados, nos servirán para optimizar nuestra red, buscar errores, análisis forense, geoposicionamiento, análisis de rendimiento, etc, etc. Vamos a ello.

Antes que nada un apunte sobre este artículo. Escribir sobre Wireshark podría dar para un libro o dos. Así que en este artículo y el siguiente trataremos este tema de forma práctica para aprender a usarlo lo mejor y más rápidamente posible (usuarios principiantes / medio), tocando todos los aspectos posibles pero si mucha profundidad. Otros aspectos más avanzados lo trataremos en otra serie de artículos.

Leer más…

Tags: , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (5/10)

Escrito por Alfon el 21/10/2010
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4

Estadísticas en Tshark II Parte.

Seguimos con las estádisticas.

Arbol de destinos

Sintáxis: -z dests,tree,filtro

Nos muestra información de número de paquetes, frames capturados, protocolos usados, puertos y ratios atendiendo al tráfico de destino de hosts. Podemos aplicar filtro:

>tshark -i2 -z dests,tree -q

Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler) 314 packets captured  ===================================================================  IP Destinations        value           rate         percent -------------------------------------------------------------------  IP Destinations         312       0.049781   77.238.187.39            54       0.008616          17.31%    TCP                      54       0.008616         100.00%     7775                      3       0.000479           5.56%     7777                     13       0.002074          24.07%     7782                     23       0.003670          42.59%     7780                     11       0.001755          20.37%     7781                      4       0.000638           7.41%   192.168.1.5             114       0.018189          36.54%    TCP                     112       0.017870          98.25%     80                      112       0.017870         100.00%    UDP                       2       0.000319           1.75%     53                        2       0.000319         100.00%   72.51.46.230            138       0.022019          44.23%    TCP                     138       0.022019         100.00%     7762                     25       0.003989          18.12%     7765                     14       0.002234          10.14%     7766                     12       0.001915           8.70%     7768                     25       0.003989          18.12%     7771                     18       0.002872          13.04%     7772                     44       0.007020          31.88%   192.168.1.245             2       0.000319           0.64%    UDP                       2       0.000319         100.00%     31449                     1       0.000160          50.00%     56364                     1       0.000160          50.00%   74.125.43.100             4       0.000638           1.28%    TCP                       4       0.000638         100.00%     7784                      4       0.000638         100.00%  ===================================================================

Arbol de tipo de puerto

Sintáxis: -z ptype,tree

Nos muestra información de tipo de puerto TCP O UDP:

>tshark -i2 -z ptype,tree -q
Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
901 packets captured

===================================================================
 IP Protocol Types        value         rate         percent
-------------------------------------------------------------------
 IP Protocol Types         890       0.016322
  TCP                       815       0.014947          91.57%
  UDP                        67       0.001229           7.53%
  NONE                        8       0.000147           0.90%

===================================================================
 Leer más...

Tags: , , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (4/10)

Escrito por Alfon el 17/09/2010
Seguridad Informática

En anteriores entregas;

Presentación | Parte 1 | Parte 2 | Parte 3

Estadísticas en Tshark.

La estadísticas en Tshark, nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas, de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Existe gran variedad de tipos de estádisticas a mostrar por Tshark: protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.

El comando que invoca a las estadísticas es -z. vamos a ver, a continuación, los tipos de estádisticas y ejemplos. Si añadimos -q no apareceran las capturas en pantalla, solo las estadisticas tras pulsar Control+C.

Vamos a ver, a continuación, uno por uno los tipos de estádisticas.

Estadísticas de protocolo.

Sintáxis: -z io,stat,intervalo, filtro,filtro,

Nos muestra información de número de paquetes / frames capturados en un intervalo determinado de tiempo. Podemos aplicar un filtro o varios filtros.

Ejemplo sin aplicación de filtro:

>tshark -i2 -nqzio,stat,5
Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
3244 packets captured

===================================================================
IO Statistics
Interval: 5.000 secs
Column #0:
                |   Column #0
Time            |frames|  bytes
000.000-005.000      23      8140
005.000-010.000     150     31724
010.000-015.000      96     31060
015.000-020.000      78     19897
020.000-025.000      32      5945
025.000-030.000    1212    580278
030.000-035.000     439    209404
035.000-040.000    1170    755060
040.000-045.000       3       174
045.000-050.000       7       408
050.000-055.000      15      1112
055.000-060.000       2       126
060.000-065.000       2       120
065.000-070.000       4       278
070.000-075.000       0         0
075.000-080.000       3       404
080.000-085.000       2       120
085.000-090.000       6       336
===================================================================

 Leer más...

Tags: , , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (3/10)

Escrito por Alfon el 30/07/2010
Seguridad Informática

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En la segunda hemos avanzado bastante en los filtros e interpretadas algunas capturas. Seguimos ahora con la  herramienta de captura Tshark. Los comandos, aplicación de filtros y formateo de datos, preferencias de columnas, etc.

Introducción a Tshark.

Tshark no es otra cosa que la herramienta de captura de tráfico de red Wirehsark pero en línea de comandos. Se sitúa en un nivel intermedio entre  capturadores como Windump o TCPDump y Wireshark que vermos más adelante.

Sin más dilación comenzamos a usar Tshark.

Listamos las interfaces:

[email protected]:~# tshark -D
1. eth0
2. usbmon1 (USB bus number 1)
3. usbmon2 (USB bus number 2)
4. any (Pseudo-device that captures on all interfaces)
5. lo

Ejecutamos Tshark usando la interface eth0:

[email protected]:~# tshark -i1
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
  0.000000  192.168.1.5 -> 82.159.204.86 TCP 6895 > http [FIN, ACK] Seq=1 Ack=1 Win=64167 Len=0
  0.000752 82.159.204.86 -> 192.168.1.5  TCP http > 6895 [ACK] Seq=1 Ack=2 Win=64581 Len=0
  0.462409 Dell_89:85:5b -> Broadcast    ARP Who has 192.168.1.29?  Tell 192.168.1.239
  2.261727 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.260476 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.913459 Dell_d3:4f:0c -> Broadcast    ARP Who has 192.168.1.28?  Tell 192.168.1.237
  7.211227 MS-NLB-PhysServer-01_00:00:00:00 -> Broadcast    MS NLB MS NLB heartbeat
^C7 packets captured

Condicionando las capturas:

Podemos condicionar las capturas atendiendo, por ejemplo, a criterios de tiempo o de cantidad de paquetes capturados, haciendo que Tshark finalice la captura cuando deseemos:

  • -c termina la captura hasta n paquetes
  • -aduration n termina la captura hasta n segundos
  • afilesize n termina la captura hasta n Kb. (cuando salvemos a fichero la captura).
  • -afiles n termina la captura hasta n ficheros (en caso de múltiples capturas)

Ejemplos:

  • La captura termina después de 10 segundos: tshark -i1 -aduration:10
  • La captura termina despues de salvar 200 Kb. en el fichero: tshark -i1 -afilesize:200 -w fichero.pcap
  • La captura termina después de 10 paquetes capturados: tshark -i1 -c 10

Leer más…

Tags: , , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (2/10)

Escrito por Alfon el 21/07/2010
Seguridad Informática

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En este segunda parte veremos el resto de la parte dedicada a filtros y comenzaremos con la interpretación de las capturas.

Filtros.

Seguimos con la aplicación de filtros pcap que comenzamos en la primera parte. Recordamos lo último que vimos sobre expresiones en formato hexadecimal y seguimos.

Expresiones en formato Hexadecimal.

Para especificar una dirección IP, TCPdump / Windump, etc,  trabaja mejor con el formato hexadecimal.

Para una dirección 192.168.1.5, su equivalente en hexadecimal sería:

192 > C0
168 > A8
1 > 01
5 > 05

es decir: C0A80405

Para Windump, añadimos el indicativo de que se trata de formato hexadecimal: 0x

y nos quedaría: 0xC0A80105

Apliquemos esto a nuestros ejemplos de filtros y a lo ya visto hasta ahora en la primera parte:

  • Datagramas IP cuyo IP de origen sea 0xC0A80105 o 192.168.1.5
windump -i1 -qtn "ip[12:4] = 0xC0A80105"
IP 192.168.1.5.26495 > 192.168.1.245.53: UDP, length 30
IP 192.168.1.5.5879 > 192.168.1.245.53: UDP, length 31
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 621
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 640
  • Datagramas IP cuyo IP de origen sea mayor que 192.168.1.5
windump -i1 -qtn "ip[12:4] > 0xC0A80105"
IP 192.168.1.200 > 224.0.0.251: igmp
IP 192.168.1.11 > 239.255.255.250: igmp
IP 192.168.1.202 > 224.0.0.251: igmp
IP 192.168.1.201 > 224.0.1.60: igmp
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
  • Datagramas IP cuyo valor TTL sea mayor que 5
windump -i1 -qnt "ip[8]> 5"
IP 192.168.1.239.138 > 192.168.1.255.138: UDP, length 201
IP 192.168.1.30.138 > 192.168.1.255.138: UDP, length 201

Sobre datagramas IP, TTL, etc. más información en Seguridad y Redes:
http://seguridadyredes.nireblog.com/post/2009/11/05/wireshark-windump-analisis-capturas-trafico-red-interpretacian-datagrama-ip-actualizacian.

Leer más…

Tags: , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red. (1/10 )

Escrito por Alfon el 14/07/2010
Hardware, Seguridad Informática

Comenzamos aquí lo que será la primera parte de Herramientas para la interpretación de capturas de red que dedicaremos a Windump (Windows), y TCPDump para sistemas basados en GNU/Linux-UNIX. Hablaremos de los dos indistíntamente.

El propósito de Windump / TCPDump es la captura y análisis del tráfico de red. Es un sniffer. Aquí teneís información sobre detección de sniffers: Detectando Sniffers en nuestra red. Redes conmutadas y no conmutadas.

Estan basados en la librería de captura de paquetes Pcap / Winpcap. Estas dos librerías son usadas por otras herramientas como Ethereal o Snort, e incluyen un lenguaje de filtros común para todos. Quizás, como ya hablamos en la introducción, Windump/TCPDump no sea la herramienta perfecta atendiendo a la interpretación fácil de los datos reportados, pero sí que es de las mejores en cuanto a su potencia y flexibilidad. Veremos el uso de estas herramientas desde un enfoque lo más práctico posible.

Enlaces para descarga de TCPDump y Windump:

Una vez instalada la librería y el programa en sí, tan sólo debemos de introducir en la línea de comandos (haremos referencia a Windump, para Windows, aunque casi todo es válido para su versión GNU/Linux).

Comenzando.

Antes que nada tendremos que averiguar cuales son las interfaces de red de que disponemos y, de ellas, cual vamos a usar:

[email protected]:~# tcpdump -D
1.eth0
2.usbmon1 (USB bus number 1)
3.usbmon2 (USB bus number 2)
4.any (Pseudo-device that captures on all interfaces)
5.lo

Las opciones básicas para comenzar a usar son las siguientes:

-i(interface) interface que vamos ausar para la captura
-n no resolver los nombres de host
-v -vv cantidad de información que nos devuelve
-t elimina marcas de tiempo.
-q estableceremos el indicador de salida rápida que hará que nos devuelva menos información y que las líneas sean más cortas. Se puede combinar con -v y -vv

Vemos estas opciones iniciales con un ejemplo: Leer más…

Tags: , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Herramientas para la interpretación de capturas de red.

Escrito por Alfon el 07/07/2010
Seguridad Informática

Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8 | Parte 9 / 1 | Parte 9 / 2

Hola a todos. Soy Alfon, más sobre mí en mi Blog: http://seguridadyredes.nireblog.com/. Esta va a ser mi primera colaboración en este gran sitio que es Daboweb. Mis áreas de interés, que serán en las que centre mis colaboraciones, son todo lo concerniente a Snort, Wireshark. Análisis tráfico de redes y forense, IDS, Scapy, Nmap, Antisniffers, etc. Espero que sea de vuestro interés. Gracias a todo el equipo de Daboweb por darme la oportunidad de coloborar en el sitio.

Para interpretar y correlacionar una captura realizada en un determinado sniffer, disponemos, en los diferentes programas de captura de paquetes, de una serie de herramientas que facilitan esta labor. No es siempre totalmente necesario, pero si es una ayuda a la hora de extraer información, evidencias forenses, o cualquier tipo de dato que necesitemos de una forma más rápida, sencilla y, en algunos casos, más visual, sobre todo cuando se trata de grandes archivos de captura.

Antes de seguir. ¿Qué es una captura de red ?. Una captura de red no es otra cosa que la recolección de los paquetes transmitidos y recibidos en la red por hosts o dispositivos que se encuentran en una red local. Para esta función, el dispositivo de red o tarjeta de red debe estar configurada en modo promíscuo.

De esta forma no se descartan las tramas de red no destinada a la MAC en la cual se encuentra el software capturador de red o sniffer y, de esta forma, se puede “ver” todo el tráfico que circula por la red. Esto es así en una red no conmutada o, dicho de forma más sencilla, una red mediante hubs.

Si la red está formada por switches, el poner la tarjeta de red en modo promíscuo solo nos serivirá para “ver” nuestro tráfico (unicast) y el tráfico broadcast. Sobre la posición de un capturador de red o sniffer, dependiendo de la arquitectura o topología de red, tenemos más información en este enlace de mi blog personal.

Si realizamos una captura con TCPDump ó WinDump para sistemas Windows, la salida que obtendremos será algo parecido a esto:

Código:

 

>windump -i1 -tn tcp
windump: listening on \Device\NPF_{024A36DD-4864-4F08-918F-2C5CBA916541}
IP 192.168.1.5.2335 > 63.245.217.36.80: S 4142637947:4142637947(0) win 64512 <ms
s 1460,nop,nop,sackOK>
IP 63.245.217.36.80 > 192.168.1.5.2335: S 1131876005:1131876005(0) ack 414263794
8 win 65535 <mss 1460,nop,nop,sackOK>
IP 192.168.1.5.2335 > 63.245.217.36.80: . ack 1 win 64512
IP 192.168.1.5.2335 > 63.245.217.36.80: P 1:581(580) ack 1 win 64512
IP 63.245.217.36.80 > 192.168.1.5.2335: . ack 581 win 64955
IP 192.168.1.5.2337 > 209.85.227.147.80: S 1497586508:1497586508(0) win 64512 <m
ss 1460,nop,nop,sackOK>
IP 63.245.217.36.80 > 192.168.1.5.2335: P 1:487(486) ack 581 win 64955
IP 209.85.227.147.80 > 192.168.1.5.2337: S 1076404124:1076404124(0) ack 14975865
09 win 65535 <mss 1460,nop,nop,sackOK>
IP 192.168.1.5.2337 > 209.85.227.147.80: . ack 1 win 64512
IP 192.168.1.5.2337 > 209.85.227.147.80: P 1:626(625) ack 1 win 64512
IP 192.168.1.5.2341 > 208.122.31.3.80: S 3188780077:3188780077(0) win 64512 <mss
 1460,nop,nop,sackOK>
IP 209.85.227.147.80 > 192.168.1.5.2337: P 1:237(236) ack 626 win 64910
IP 209.85.227.147.80 > 192.168.1.5.2337: . 237:1697(1460) ack 626 win 64910
IP 209.85.227.147.80 > 192.168.1.5.2337: P 1697:2048(351) ack 626 win 64910
IP 192.168.1.5.2337 > 209.85.227.147.80: . ack 2048 win 64512

De esta captura podemos extraer algunos datos. Solo tenemos tres IP involucradas. Obtenemos las IP, puertos, banderas o flags, números de secuencia, acuse de recibo, tamaño de ventana,… También vemos un establecimiento de conexión a tres pasos, etc.

Pero si se trata de una captura con decenas de IPs, varios protocolos, etc. La interpretación de los datos y su correlación se hace más compleja. Solo disponemos de la gestión de filtros para obtener una información algo más detallada según los propósitos y objetivos de la captura, pero poco más, nosotros tendremos que interpretar los datos, que está pasando o qué problema tenemos en nuestra red analizando la secuencia de los paquetes .

Otros programas como Tshark, incluyen, además de filtros, diferentes tipos de estadísticas. De esta forma, tenemos una ayuda a la interpretación de la captura que nos permite obtener una información partiendo de un fichero de captura .pcap o una captura normal. Las estadísticas nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc.

Además podemos aplicar filtros a las estadísticas de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Un ejemplo de estadísticas con Tshark.

Si ejecutamos tshark -i1 -nqzio,stat,1,ip,tcp,icmp,”tcp.port == 80″ el resultado es:

Código:

 

>tshark -i1 -nqzio,stat,1,ip,tcp,icmp,"tcp.port == 80"

Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
252 packets captured

===================================================================
IO Statistics
Interval: 1.000 secs
Column #0: ip
Column #1: tcp
Column #2: icmp
Column #3: tcp.port == 80
                |   Column #0    |   Column #1    |   Column #2    |   Column #3
Time            |frames|  bytes  |frames|  bytes  |frames|  bytes  |frames|  bytes
000.000-001.000       4       285      3       193      0         0      0         0
001.000-002.000       2       184      0         0      0         0      0         0
002.000-003.000       1        92      0         0      0         0      0         0
003.000-004.000       1        92      0         0      0         0      0         0
004.000-005.000       0         0      0         0      0         0      0         0
005.000-006.000       0         0      0         0      0         0      0         0
006.000-007.000       0         0      0         0      0         0      0         0
007.000-008.000       0         0      0         0      0         0      0         0
008.000-009.000       0         0      0         0      0         0      0         0
009.000-010.000      17      2299     15      2115      0         0     15      2115
010.000-011.000     142     38665    141     38573      0         0    141     38573
011.000-012.000      37      8062     36      7970      0         0     36      7970
012.000-013.000       2       184      0         0      0         0      0         0
013.000-014.000      15       890     14       798      0         0     14       798
014.000-015.000       9       548      8       456      0         0      8       456
015.000-016.000       3       240      0         0      2       148      0         0
016.000-017.000       2       148      0         0      2       148      0         0
017.000-018.000       2       148      0         0      2       148      0         0
018.000-019.000       2       148      0         0      2       148      0         0
019.000-020.000       0         0      0         0      0         0      0         0
020.000-021.000       1        92      0         0      0         0      0         0
===================================================================

Como veis, podemos establecer estadísticas por protocolos y por aplicación de filtros. Todo ello ordenado por columnas que nos mostrarán información sobre número de paquetes y bytes.

Si seguimos complicando la cosa, Wireshark (aquí para descargar) por ejemplo, contempla dos tipos de filtros: de captura y de visualización. Una vez filtrados los paquetes, Wireshark dispone de varias herramientas para interpretar y analizar el resultado de las capturas  como Expert Infos y Expert Info Composite, Follow TCP Stream, IO Graph, Geolocalización, varios tipos de estadísticas, etc.

En otro nivel, disponemos de Xplico. Con esta herramienta podemos abrir una fichero de captura .pcap y tener ordenado y clasificado el tráfico por categorías tales como Web, Mail, VoIp, Chat, Imágenes, videos, Geolocalización con Google Earth…. incluso decodificar tráfico teniendo en cuenta las aplicaciones tales como programas de mensajería, Telnet, Facebook, etc.

Abajo. Interface de Xplico.

En el último nivel podemos situar un tipo de software como NetWitness Investigator. Netwitness posee una gran capacidad de captura de paquetes, con lo que necesita también, un buen soporte de almacenamiento y procesamiento.

Además, podemos importar nuestros ficheros .pcap generados mediante TCPDump, Windump, Tshark, Wireshark, etc. Pero la característica más importante de esta herramienta es su altísima capacidad de análisis de los datos obtenidos, correlación, clasificación, rapidez de análisis, interpretación visual e intuitiva de datos compaginado con la muestra de datos en bruto, contenido de los paquetes diferenciando los campos y cabeceras. Es capaz también de analizar los datos por sesiones.

Podemos incluso interpretar los datos dentro del contexto, dentro de una lógica. De esta forma, se convierte un una herramienta de análisis forenses con capacidad de  descubrimiento de amenazas, malware, fugas de información, investigación forense y otros aspectos dentro de un ambiente corporativo.

Otro tipo de ayuda para la interpretación del tráfico de red es la del tipo visual, es decir, las gráficas. De esta forma podemos representar mediante gráficas, de varios tipos, las relaciones y diálogos entre host, puerto, etc. Otra variante de este tipo de herramietnas puede ser la representación grafíca, no ya de los host, sino de los paquetes y los atos de campos contenidos en ellos. dos herramietnas de este tipo que veremos serán AfterGlow y TNV.

Hasta aquí un resumen del objetivo y de lo que será esta serie de artículos dedicado a las herramientas y ayudas a la interpretación de capturas de red. Iremos mostrando de que forma podemos interpretar los datos usando las herramientas que nos proporcionan, a distintos niveles: WinDump / TCPDump, Wireshark, Xplico y NetWitness.

Tags: , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

[Breves] Actualizada la sección “Sniffers y Redes” (por Alfon).

Escrito por Destroyer el 18/10/2012
[Breves], Manuales y Tutoriales

SnifferSólo queríamos haceros saber que la sección “Sniffers y Redes“, donde encontraréis todas las entregas de “Herramientas para la interpretación de capturas de tráfico en Red”, ha sido puesta al día durante este pasado mes tanto en sus contenidos, como en lo gráfico actualizando alguna captura de pantalla.

Volvemos a felicitar a nuestro compañero Alfon de Seguridad y Redes por su gran labor con esta sección que irá actualizando periódicamente.

Tags: , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Sniffers y Redes

Escrito por Dabo el 15/06/2012

En esta sección, vamos recopilando todas las entradas de Alfon (su blog personal es “Seguridad y Redes“) dedicadas al “Sniffing” y la interpretación de capturas de tráfico en una Red. Con herramientas al alcance de cualquiera (todas con licencias abiertas) y paso a paso para que cualquiera se pueda iniciar en este campo. Su twitter es @seguridadyredes.

También, los relacionados con otras herramientas destinadas a auditar una red local o remota y un servidor.

Artículos publicados:

“Herramientas para la interpretación de capturas de tráfico en Red”.

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8 | Parte 9 / 1 | Parte 9 / 2 | Parte 9 / 3

 

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

Análisis de capturas de red con CACE Pilot Personal Edition.

Escrito por Alfon el 12/05/2011
Seguridad Informática

Hemos visto, a lo largo de varios artículos, como analizar captura de red a través de ficheros en formato .pcap o  de una interface de red. Las opciones y herramientas de análisis para esta herramientas son muchas, sin embargo, en ocasiones es necesario un conocimiento medio o avanzado para análisis más complejos o simplemente para usar algunos filtros, gráficas, información estadística, etc.

Hoy vamos a ver una herramienta que facilitará mucho las operaciones más complejas, incluso las más usuales de forma, si cabe, más visual e intuitiva, proporcionando una forma más eficaz para detectar problemas en una red.   Se trata de CACE Pilot, de Riverbed Technology.

Algunas características de CACE Pilot Personal Edition.

Ya hemos visto qué es CACE Pilot Personal Edition.

Destacamos entre otras:

  • Manejo eficiente de gran volumen de información almacenada en ficheros .pcap de hasta varios gigabytes.
  • Disponemos de una colección de vistas o métricas para la rápida identificación de un problema u obtención de diversos tipos de información sobre tráfico, protocolos, conversaciones, etc, etc.
  • Manejo de líneas de tiempo para capturas de mucha duración.
  • Manejo en tiempo real de estadísticas en capturas de mucho volumen de forma muy rápida.
  • Creación de distintos tipos de informes.
  • Integración completa con Wireshark.
  • Disponemos de filtros y disectores.
  • Diferentes tipos de gráficas.
  • Drill-Down una caraterística de CACE para el análisis más porfundo de capturas.
  • Disparadores de activación de alertas según una determinada condición.
  • y otras muy interesdantes que las iremos viendo.

Leer más…

Tags:

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.