Ya vimos en su momento como detectar sniffers en redes conmutadas y no conmutadas. donde también vimos como funciona el protocolo ARP.
En este artículo vamos estudiar como detectar un Arp-poison o Envenenamiento ARP en Tshark.
En esta entrega de Tshark, Wireshark en línea de comandos, avanzamos un poco más en las Estadísticas que vimos ya en la III parte. Esta vez nos centraremos en:
Avanzaremos sobre otras estádisticas vistas en otras entregas, usaremos funciones como SUM(), COUNT(), MIN(), etc. y aplicaremos filtros mostrando resultados por campos tipo -Tfields.
Practicaremos con los filtros y opciones en busca de la información que nos interse.
Seguir leyendo el resto »Seguimos con Tshark. Ahora vamos a ver de forma básica como podemos usar Tshark con el lenguaje de programación de script Lua invocándolo mediante la opción -X como una extensión. No trataremos aquí como programa on Lua, más bien como usar este lenguaje con Tshark.
La sintaxis sería -Xlua_script:nombrefichero.lua
Pero antes que nada. ¿ Que es Lua ?.
Ya vimos en la primera y segunda parte de Tshark las nociones más basicas y algunas más avanzadas del uso de este capturador de paquetes.
En esta tercera entrega vamos a estudiar una característica bastante intersante de Tshark y Wireshark, las estadísticas. Estadísticas que nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas de tal forma que la información obtenida por ellas es altamente personalizable y flexible.
Existe gran variedad de tipos de estádisticas a mostrar por Tshark, protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.
Actualizado a 08-05-2008: Mostrar datos estadísticos en varias columnas.
Seguir leyendo el resto »En esta entrega avanzamos en el estudio de Tshark. Ya vimos en la primera parte las opciones más básicas. Ahora nos adentraremos en las opciones que hacen de Tshark un capturador/analizador de paquetes bastante interesante.
Ya estudiamos en su momento Wireshark, una herramieta multiplataforma de interfaz gráfico para análisis de red, producto de la evolución de Ethereal. Pero si no queremos usar la interfaz gráfica, wireshark incluye la herramienta Tshark para capturas, análisis de red, etc en línea de comandos. Al usar las librerias pcap, su uso es similar a TCPDump y Windump.
Fruto de algún comentario y correos voy a tratar en este artículo la configuración, de forma muy sencilla, de Snort para el envío de las alertas a una base de datos, en este caso MySql. Crearemos la base de datos y toda la configuración necesaria para la comunicación entre Snort y MySql.
Seguir leyendo el resto »Hasta ahora hemos visto como configurar Snort, crear reglas, crear reglas I , actualizar sensores remotos, actualizar reglas, etc. Damos un paso más en este artículo para estudiar las diversas herramientas de análisis de los logs de Snort. Herramientas que nos facilitarán un estudio más completo, estadístico y comprensible de las alertas almacenadas en alert.ids. La primera herramienta que vamos a estudiar es Snortalog.
Snortalog es un script de perl que tras analizar el archivo alert.ids creará un informe personalizado, con gráficos y dividido en secciones correspondientes a los ataques por hora, por métodos, IP origen, protocolos, puerto de destino, etc. Tambíen incluye estadísticas y gráficos con codigo de colores según la importancia de ataque sufrido.
Los pasos a seguir lo resumimos en:
Ya hemos visto en el artículo dedicado a IDS Policy Manager aquí y aquí como, entre otras cosas, podemos actualizar las reglas de varios sensores Snort remotos. Ahora vamos a algo más simple. Vamos a actualizar las reglas Snort de una forma más sencilla a través de Oinkmaster, un script de perl que nos facilita dicha operación. Al ser un sript de perl tenemos varias opciones para ejecutar Oinkmaster en un sistema Windows. Por su facilidad usaremos ActivePerl.
Este artículo es fruto de algunos correos y algún comentario relativo a como filtrar en Wireshrak.
Wireshark contempla dos tipos de Filtros. Filtros de capura y Filtros de visualización. Como ya hemos comentado en otras ocasiones, en Wireshark para los filtros de captura podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria pcap.
Los filtros de captura (Capture Filter) son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro.
Los filtros de visualización (Display Filer) establecen un criterio de filtro sobre las paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son mas flexibles y pontentes.
Vamos a estudiar cada uno de ellos.
Seguir leyendo el resto »
Nauscopio: Winup.es 2.9: Recopilatorio de parches para Windows XP Service Pack 2 (en español) en adelante
Windows XP Service Pack 3 en español. Modificación del número máximo de conexiones TCP/IP abiertas: EvID4226Patch223d.
Tags
Meneame
del.icio.us