Posted by Daboon noviembre 02, 2012 Seguridad Informática /
Comentarios desactivados en Publicado en Daboweb, octubre 2012
Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweben octubre de 2012 por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).
Posted by Destroyeron octubre 18, 2012 [Breves], Manuales y Tutoriales /
Comentarios desactivados en [Breves] Actualizada la sección «Sniffers y Redes» (por Alfon).
Sólo queríamos haceros saber que la sección «Sniffers y Redes«, donde encontraréis todas las entregas de “Herramientas para la interpretación de capturas de tráfico en Red”, ha sido puesta al día durante este pasado mes tanto en sus contenidos, como en lo gráfico actualizando alguna captura de pantalla.
Volvemos a felicitar a nuestro compañero Alfon de Seguridad y Redes por su gran labor con esta sección que irá actualizando periódicamente.
Posted by Alfonon junio 15, 2012 Seguridad Informática /
Comentarios desactivados en Herramientas para la interpretación de capturas de red. (9/10) Parte 3
Seguimos con las herramientas que nos proporcionarán una visión gráfica de nuestras capturas. En esta Parte 3 vamos a ver Argus.
Argus no es exactamente una herramienta de visualización gráfica, aunque sí tiene herramientas como ragraph que la genera. Por tanto usaremos Argus para generar gráficas sobre tráfico de red. De esta forma, estudiaremos las siguientes vertientes:
el análisis de tráfico de red,
generación de gráficas con ragraph, afterglow, xplot.
Qué es Argus.
Argus (Network Activity Audit System) es un conjunto de herramientas para el análisis de tráfico de red. Está basado en una arquitectura cliente-servidor. Un servidor que será el host o sistema a auditar y un cliente que será el que realice, contra ese host u objetivo, el análisis o auditoría de forma remota. No es ésta la única forma de uso, podemos usar Argus en un solo host capturando, auditando y tratando un fichero .pcap o a través de una interface de red en modo live.capture.
Ya sea de forma remota o a través de un fichero de captura de red .pcap que previamente hemos de convertir al formato entendible por Argus los datos capturados.
Posted by Alfonon enero 26, 2012 Seguridad Informática /
Comentarios desactivados en Herramientas para la interpretación de capturas de red. (9/10) Parte 2
Seguimos con las herramientas que nos proporcionarán una visión gráfica de nuestras capturas. En esta Parte 2 vamos a ver InetVis.
InetVis es una herramientas diferente ya que la representación gráfica del tráfico de red se realizará a través de una representación tridimensional 3D mediante un cubo. Lo vemos…
Qué es InetVis.
InetVis está basado en el concepto de Spinning Cube of Potencial Doom. Se trata de una herramienta de visualicación tridimensional del tráfico de red que, además, puede visualizarse reproduciéndose a lo largo del tiempo.
Su objetivo principal es el análisis de tráfico anómalo y scan de puertos a través de una serie de patrones.
InetVis está disponible tanto para sistemas Linux como windows y lo podemos descargar desde:
Posted by Alfonon enero 16, 2012 Seguridad Informática /
Comentarios desactivados en Herramientas para la interpretación de capturas de red. (9/10) Parte 1
Dejamos atrás Wireshark, visto en la parte 8 de esta serie, para ver otras herramientas que nos facilitan, cada una con sus propiedades y ventajas, la interpretación de nuestras captura y la obtención de datos y, en resumen, el análisis del tráfico de red.
En esta ocasión veremos una serie de herramientas que nos proporcionarán una visión gráfica de nuestras capturas. Son las siguientes:
Afterglow
TNV
InetVis
INAV
NetGrok
Esta parte (9/10) la dividiremos a su vez en 2 o 3 más. En esta primera veremos AfterGlow:
En la segunda parte del artículo dedicado a Wireshark, aprendimos: Como salvar los datos de captura. Opciones de captura y salvado múltiple. Navegación por las capturas múltiples. Ring buffer. Truncado de paquetes. Extracción de binarios y uso de Follow TCP Stream. Extracción objetos HTTP.
Estadísticas Wireshark. Estadísticas Service Response Time.
Estadísticas Flow Graph. Otras estadísticas. Estadísticas gráficas. IO Graph y Gráficas tcptrace.
En esta ocasión vamos a ver:
Geolocalización con Wireshark. GeoIP y filtros.
El lenguaje Lua.
Mensajes se error u otros en wireshark; TCP segment of a reassembled PDU y otros.
En la primera parte del artículo dedicado a Wireshark, aprendimos qué era, para que sirve, como usarlo de forma básica, aplicamos filtros y vimos algunos ejemplos. Seguimos avanzando y, además, veremos algunos aspectos más complejos.
En este artículo, más que teoría, y una vez visto los aspectos más básicos, nos centraremos en la práctica. Qué vamos a ver:
Salvando los datos de captura. Opciones de captura y salvado múltiple.
Navegando por las capturas múltiples. Ring buffer.
Truncado de paquetes.
Extracción de binarios y uso de Follow TCP Stream.
Extracción objetos HTTP.
Estadísticas Wireshark. Estadísticas Service Response Time.
Estadísticas Flow Graph.
Otras estadísticas.
Estadísticas gráficas. IO Graph y Gráficas tcptrace.
Posted by Alfonon diciembre 01, 2010 Seguridad Informática /
Comentarios desactivados en Herramientas para la interpretación de capturas de red. (6/10)
Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.
Este es solo una pequeña definición de esta herramienta. Veremos, a lo largo de esta artículo, que Wireshark es capaz de destripar, decodificar, analizar todo nuestro tráfico aportando una grandísima cantidad de datos. Datos que, una vez analizados, nos servirán para optimizar nuestra red, buscar errores, análisis forense, geoposicionamiento, análisis de rendimiento, etc, etc. Vamos a ello.
Antes que nada un apunte sobre este artículo. Escribir sobre Wireshark podría dar para un libro o dos. Así que en este artículo y el siguiente trataremos este tema de forma práctica para aprender a usarlo lo mejor y más rápidamente posible (usuarios principiantes / medio), tocando todos los aspectos posibles pero si mucha profundidad. Otros aspectos másavanzados lo trataremos en otra serie de artículos.
Nos muestra información de número de paquetes, frames capturados, protocolos usados, puertos y ratios atendiendo al tráfico de destino de hosts. Podemos aplicar filtro:
Posted by Destroyeron octubre 01, 2010 Seguridad Informática /
Comentarios desactivados en Publicado en Daboweb, Septiembre de 2010
Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweben Septiembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).
Posted by Alfonon septiembre 17, 2010 Seguridad Informática /
Comentarios desactivados en Herramientas para la interpretación de capturas de red. (4/10)
La estadísticas en Tshark, nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas, de tal forma que la información obtenida por ellas es altamente personalizable y flexible.
Existe gran variedad de tipos de estádisticas a mostrar por Tshark: protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.
El comando que invoca a las estadísticas es -z. vamos a ver, a continuación, los tipos de estádisticas y ejemplos. Si añadimos -q no apareceran las capturas en pantalla, solo las estadisticas tras pulsar Control+C.
Vamos a ver, a continuación, uno por uno los tipos de estádisticas.
Estadísticas de protocolo.
Sintáxis: -z io,stat,intervalo, filtro,filtro,
Nos muestra información de número de paquetes / frames capturados en un intervalo determinado de tiempo. Podemos aplicar un filtro o varios filtros.
Posted by Destroyeron septiembre 01, 2010 Seguridad Informática /
Comentarios desactivados en Publicado en Daboweb, Julio y Agosto de 2010
Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb (meses de Julio y Agosto de 2010) por si en el día a día de la publicación, (y más teniendo en cuenta las vacaciones de verano), alguna que pudiera interesarte se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).
Tshark no es otra cosa que la herramienta de captura de tráfico de red Wirehsark pero en línea de comandos. Se sitúa en un nivel intermedio entre capturadores como Windump o TCPDump y Wireshark que vermos más adelante.
Sin más dilación comenzamos a usar Tshark.
Listamos las interfaces:
root@bt:~# tshark -D
1. eth0
2. usbmon1 (USB bus number 1)
3. usbmon2 (USB bus number 2)
4. any (Pseudo-device that captures on all interfaces)
5. lo
Ejecutamos Tshark usando la interface eth0:
root@bt:~# tshark -i1
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 192.168.1.5 -> 82.159.204.86 TCP 6895 > http [FIN, ACK] Seq=1 Ack=1 Win=64167 Len=0
0.000752 82.159.204.86 -> 192.168.1.5 TCP http > 6895 [ACK] Seq=1 Ack=2 Win=64581 Len=0
0.462409 Dell_89:85:5b -> Broadcast ARP Who has 192.168.1.29? Tell 192.168.1.239
2.261727 3Com_dd:e9:07 -> Broadcast ARP Who has 192.168.1.1? Tell 192.168.1.56
6.260476 3Com_dd:e9:07 -> Broadcast ARP Who has 192.168.1.1? Tell 192.168.1.56
6.913459 Dell_d3:4f:0c -> Broadcast ARP Who has 192.168.1.28? Tell 192.168.1.237
7.211227 MS-NLB-PhysServer-01_00:00:00:00 -> Broadcast MS NLB MS NLB heartbeat
^C7 packets captured
Condicionando las capturas:
Podemos condicionar las capturas atendiendo, por ejemplo, a criterios de tiempo o de cantidad de paquetes capturados, haciendo que Tshark finalice la captura cuando deseemos:
-c termina la captura hasta n paquetes
-adurationn termina la captura hasta n segundos
–afilesize n termina la captura hasta n Kb. (cuando salvemos a fichero la captura).
-afilesn termina la captura hasta n ficheros (en caso de múltiples capturas)
Ejemplos:
La captura termina después de 10 segundos: tshark -i1 -aduration:10
La captura termina despues de salvar 200 Kb. en el fichero: tshark -i1 -afilesize:200 -w fichero.pcap
La captura termina después de 10 paquetes capturados: tshark -i1 -c 10
En este segunda parte veremos el resto de la parte dedicada a filtros y comenzaremos con la interpretación de las capturas.
Filtros.
Seguimos con la aplicación de filtros pcap que comenzamos en la primera parte. Recordamos lo último que vimos sobre expresiones en formato hexadecimal y seguimos.
Expresiones en formato Hexadecimal.
Para especificar una dirección IP, TCPdump / Windump, etc, trabaja mejor con el formato hexadecimal.
Para una dirección 192.168.1.5, su equivalente en hexadecimal sería:
192 > C0
168 > A8
1 > 01
5 > 05
es decir: C0A80405
Para Windump, añadimos el indicativo de que se trata de formato hexadecimal: 0x
y nos quedaría: 0xC0A80105
Apliquemos esto a nuestros ejemplos de filtros y a lo ya visto hasta ahora en la primera parte:
Datagramas IP cuyo IP de origen sea 0xC0A80105 o 192.168.1.5
windump -i1 -qtn "ip[12:4] = 0xC0A80105"
IP 192.168.1.5.26495 > 192.168.1.245.53: UDP, length 30
IP 192.168.1.5.5879 > 192.168.1.245.53: UDP, length 31
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 621
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 640
Datagramas IP cuyo IP de origen sea mayor que 192.168.1.5
windump -i1 -qtn "ip[12:4] > 0xC0A80105"
IP 192.168.1.200 > 224.0.0.251: igmp
IP 192.168.1.11 > 239.255.255.250: igmp
IP 192.168.1.202 > 224.0.0.251: igmp
IP 192.168.1.201 > 224.0.1.60: igmp
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
Datagramas IP cuyo valor TTL sea mayor que 5
windump -i1 -qnt "ip[8]> 5"
IP 192.168.1.239.138 > 192.168.1.255.138: UDP, length 201
IP 192.168.1.30.138 > 192.168.1.255.138: UDP, length 201
Posted by Alfonon julio 14, 2010 Hardware, Seguridad Informática /
Comentarios desactivados en Herramientas para la interpretación de capturas de red. (1/10 )
Comenzamos aquí lo que será la primera parte de Herramientas para la interpretación de capturas de red que dedicaremos a Windump (Windows), y TCPDump para sistemas basados en GNU/Linux-UNIX. Hablaremos de los dos indistíntamente.
Estan basados en la librería de captura de paquetes Pcap / Winpcap. Estas dos librerías son usadas por otras herramientas como Ethereal o Snort, e incluyen un lenguaje de filtros común para todos. Quizás, como ya hablamos en la introducción, Windump/TCPDump no sea la herramienta perfecta atendiendo a la interpretación fácil de los datos reportados, pero sí que es de las mejores en cuanto a su potencia y flexibilidad. Veremos el uso de estas herramientas desde un enfoque lo más práctico posible.
Una vez instalada la librería y el programa en sí, tan sólo debemos de introducir en la línea de comandos (haremos referencia a Windump, para Windows, aunque casi todo es válido para su versión GNU/Linux).
Comenzando.
Antes que nada tendremos que averiguar cuales son las interfaces de red de que disponemos y, de ellas, cual vamos a usar:
root@bt:~# tcpdump -D
1.eth0
2.usbmon1 (USB bus number 1)
3.usbmon2 (USB bus number 2)
4.any (Pseudo-device that captures on all interfaces)
5.lo
Las opciones básicas para comenzar a usar son las siguientes:
-i(interface) interface que vamos ausar para la captura -n no resolver los nombres de host -v -vv cantidad de información que nos devuelve -t elimina marcas de tiempo. -q estableceremos el indicador de salida rápida que hará que nos devuelva menos información y que las líneas sean más cortas. Se puede combinar con -v y -vv
Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)
Ver