Hasta ahora, en los artículos publicados sobre análisis de tráfico de red, hemos visto muchos tipos de herramientas y pequeñas utilidades para crear, interpretar, analizar, graficar, etc, tráfico de red a partir de un archivo pcap. Pero en esta ocasión vamos a ver una muy especial; porque se trata de crear / simular trafico de a partir de un archivo, por ejemplo un archivo .pdf. Con la idea de estudiar el tráfico, simular vulnerabilidades, crear reglas Snort / Suricata o estudiar su comportamiento analizando offline con algún IDS como los nombrados más arriba.

Esta herramienta de Cisco’s Talos Intelligence Group, simula el tráfico involucrando el archivo que indiquemos en en la generación del pcap.

Continue reading…

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7

Wireshark III Parte.

En la segunda parte del artículo dedicado a Wireshark, aprendimos: Como salvar los datos de captura. Opciones de captura y salvado múltiple. Navegación por las capturas múltiples. Ring buffer. Truncado de paquetes. Extracción de binarios y uso de Follow TCP Stream. Extracción objetos HTTP.
Estadísticas Wireshark. Estadísticas Service Response Time.
Estadísticas Flow Graph. Otras estadísticas. Estadísticas gráficas. IO Graph y Gráficas tcptrace.

En esta ocasión vamos a ver:

• Geolocalización con Wireshark. GeoIP y filtros.
• El lenguaje Lua.
• Mensajes se error u otros en wireshark; TCP segment of a reassembled PDU y otros.
• Uso remoto de Wireshark.

Vamos a ello…

Continue reading…

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6

Wireshark II Parte.

En la primera parte del artículo dedicado a Wireshark, aprendimos qué era, para que sirve, como usarlo de forma básica, aplicamos filtros y vimos algunos ejemplos. Seguimos avanzando y, además, veremos algunos aspectos más complejos.

En este artículo, más que teoría, y una vez visto los aspectos más básicos, nos centraremos en la práctica.  Qué vamos a ver:

• Salvando los datos de captura. Opciones de captura y salvado múltiple.
• Navegando por las capturas múltiples. Ring buffer.
• Truncado de paquetes.
• Extracción de binarios y uso de Follow TCP Stream.
• Extracción objetos HTTP.
• Estadísticas Wireshark. Estadísticas Service Response Time.
• Estadísticas Flow Graph.
• Otras estadísticas.
• Estadísticas gráficas. IO Graph y Gráficas tcptrace.

Continue reading…

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5

Wireshark I Parte.

.

¿ Qué es Wireshark ?.

Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.

Este es solo una pequeña definición de esta herramienta. Veremos, a lo largo de esta artículo, que Wireshark es capaz de destripar, decodificar, analizar todo nuestro tráfico aportando una grandísima cantidad de datos. Datos que, una vez analizados, nos servirán para optimizar nuestra red, buscar errores, análisis forense, geoposicionamiento, análisis de rendimiento, etc, etc. Vamos a ello.

Antes que nada un apunte sobre este artículo. Escribir sobre Wireshark podría dar para un libro o dos. Así que en este artículo y el siguiente trataremos este tema de forma práctica para aprender a usarlo lo mejor y más rápidamente posible (usuarios principiantes / medio), tocando todos los aspectos posibles pero si mucha profundidad. Otros aspectos más avanzados lo trataremos en otra serie de artículos.

Continue reading…

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4

Estadísticas en Tshark II Parte.

Seguimos con las estádisticas.

Arbol de destinos

Sintáxis: -z dests,tree,filtro

Nos muestra información de número de paquetes, frames capturados, protocolos usados, puertos y ratios atendiendo al tráfico de destino de hosts. Podemos aplicar filtro:

>tshark -i2 -z dests,tree -q

Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler) 314 packets captured  ===================================================================  IP Destinations        value           rate         percent -------------------------------------------------------------------  IP Destinations         312       0.049781   77.238.187.39            54       0.008616          17.31%    TCP                      54       0.008616         100.00%     7775                      3       0.000479           5.56%     7777                     13       0.002074          24.07%     7782                     23       0.003670          42.59%     7780                     11       0.001755          20.37%     7781                      4       0.000638           7.41%   192.168.1.5             114       0.018189          36.54%    TCP                     112       0.017870          98.25%     80                      112       0.017870         100.00%    UDP                       2       0.000319           1.75%     53                        2       0.000319         100.00%   72.51.46.230            138       0.022019          44.23%    TCP                     138       0.022019         100.00%     7762                     25       0.003989          18.12%     7765                     14       0.002234          10.14%     7766                     12       0.001915           8.70%     7768                     25       0.003989          18.12%     7771                     18       0.002872          13.04%     7772                     44       0.007020          31.88%   192.168.1.245             2       0.000319           0.64%    UDP                       2       0.000319         100.00%     31449                     1       0.000160          50.00%     56364                     1       0.000160          50.00%   74.125.43.100             4       0.000638           1.28%    TCP                       4       0.000638         100.00%     7784                      4       0.000638         100.00%  ===================================================================

Arbol de tipo de puerto

Sintáxis: -z ptype,tree

Nos muestra información de tipo de puerto TCP O UDP:

>tshark -i2 -z ptype,tree -q
Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
901 packets captured

===================================================================
 IP Protocol Types        value         rate         percent
-------------------------------------------------------------------
 IP Protocol Types         890       0.016322
  TCP                       815       0.014947          91.57%
  UDP                        67       0.001229           7.53%
  NONE                        8       0.000147           0.90%

===================================================================
 Continue reading...

En anteriores entregas;

Presentación | Parte 1 | Parte 2 | Parte 3

Estadísticas en Tshark.

La estadísticas en Tshark, nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas, de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Existe gran variedad de tipos de estádisticas a mostrar por Tshark: protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.

El comando que invoca a las estadísticas es -z. vamos a ver, a continuación, los tipos de estádisticas y ejemplos. Si añadimos -q no apareceran las capturas en pantalla, solo las estadisticas tras pulsar Control+C.

Vamos a ver, a continuación, uno por uno los tipos de estádisticas.

Estadísticas de protocolo.

Sintáxis: -z io,stat,intervalo, filtro,filtro,

Nos muestra información de número de paquetes / frames capturados en un intervalo determinado de tiempo. Podemos aplicar un filtro o varios filtros.

Ejemplo sin aplicación de filtro:

>tshark -i2 -nqzio,stat,5
Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
3244 packets captured

===================================================================
IO Statistics
Interval: 5.000 secs
Column #0:
                |   Column #0
Time            |frames|  bytes
000.000-005.000      23      8140
005.000-010.000     150     31724
010.000-015.000      96     31060
015.000-020.000      78     19897
020.000-025.000      32      5945
025.000-030.000    1212    580278
030.000-035.000     439    209404
035.000-040.000    1170    755060
040.000-045.000       3       174
045.000-050.000       7       408
050.000-055.000      15      1112
055.000-060.000       2       126
060.000-065.000       2       120
065.000-070.000       4       278
070.000-075.000       0         0
075.000-080.000       3       404
080.000-085.000       2       120
085.000-090.000       6       336
===================================================================

 Continue reading...

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En la segunda hemos avanzado bastante en los filtros e interpretadas algunas capturas. Seguimos ahora con la  herramienta de captura Tshark. Los comandos, aplicación de filtros y formateo de datos, preferencias de columnas, etc.

Introducción a Tshark.

Tshark no es otra cosa que la herramienta de captura de tráfico de red Wirehsark pero en línea de comandos. Se sitúa en un nivel intermedio entre  capturadores como Windump o TCPDump y Wireshark que vermos más adelante.

Sin más dilación comenzamos a usar Tshark.

Listamos las interfaces:

[email protected]:~# tshark -D
1. eth0
2. usbmon1 (USB bus number 1)
3. usbmon2 (USB bus number 2)
4. any (Pseudo-device that captures on all interfaces)
5. lo

Ejecutamos Tshark usando la interface eth0:

[email protected]:~# tshark -i1
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
  0.000000  192.168.1.5 -> 82.159.204.86 TCP 6895 > http [FIN, ACK] Seq=1 Ack=1 Win=64167 Len=0
  0.000752 82.159.204.86 -> 192.168.1.5  TCP http > 6895 [ACK] Seq=1 Ack=2 Win=64581 Len=0
  0.462409 Dell_89:85:5b -> Broadcast    ARP Who has 192.168.1.29?  Tell 192.168.1.239
  2.261727 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.260476 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.913459 Dell_d3:4f:0c -> Broadcast    ARP Who has 192.168.1.28?  Tell 192.168.1.237
  7.211227 MS-NLB-PhysServer-01_00:00:00:00 -> Broadcast    MS NLB MS NLB heartbeat
^C7 packets captured

Condicionando las capturas:

Podemos condicionar las capturas atendiendo, por ejemplo, a criterios de tiempo o de cantidad de paquetes capturados, haciendo que Tshark finalice la captura cuando deseemos:

• -c termina la captura hasta n paquetes
• -aduration n termina la captura hasta n segundos
• –afilesize n termina la captura hasta n Kb. (cuando salvemos a fichero la captura).
• -afiles n termina la captura hasta n ficheros (en caso de múltiples capturas)

Ejemplos:

• La captura termina después de 10 segundos: tshark -i1 -aduration:10
• La captura termina despues de salvar 200 Kb. en el fichero: tshark -i1 -afilesize:200 -w fichero.pcap
• La captura termina después de 10 paquetes capturados: tshark -i1 -c 10

Continue reading…