Ya vimos en la serie dedicadda a Snort, en uno de los capítulos dedicado a la creación de reglas Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (II). Opciones de las reglas. ,la opcion content. Recordemos:

Content busca un determinado patrón en el contenido del paquete. Es sensible a mayúsculas/minúsculas. Puede ser texto, binario o una mezcla de ambos. el contenido binario se encierra entre || y se representa en hexadecimal. Podemos negar también un contenido.

Pero hay más. Content entiende también de expresiones regulares mediante PCRE.

Seguir leyendo el resto »

Ya hemos visto como detectar el envenenamiento de la cache ARP. Ahora vamos a ver como detectar el borrado de archivos en red en una red no conmutada haciendo uso de Tshark y los filtros SMB (Server Message Block Protocol). Es posible hacerlo también en una red conmutanda capturando los paquetes mediante envenenamiento de la caché ARP.

Usaremos el filtro smb.cmd de comando SMB, aunque también podríamos usar smb.disposition.delete_on_close de borrado o cerrado de archivo, dependiendo pues de la forma de borrar el fichero por parte del cliente.

Actualización. 21-05-2008. Registro de eventos de apertura y escritura de archivos.

NOTA: Publicada (29-10-2009) la primera parte de una serie de artículos en los que avanzaremos en estos temas (SMB, CIFS, NETBIOS): Wireshark. Analizando eventos SMB / CIFS - NetBIOS. Parte 1.

Seguir leyendo el resto »

Ya vimos en su momento como detectar sniffers en redes conmutadas y no conmutadas. donde también vimos como funciona el protocolo ARP.

En este artículo vamos estudiar como detectar un Arp-poison o Envenenamiento ARP en Tshark.

Seguir leyendo el resto »

En esta entrega de Tshark, Wireshark en línea de comandos, avanzamos un poco más en las Estadísticas que vimos ya en la III parte. Esta vez nos centraremos en:

• dests,tree
• ptype,tree
• ip_hosts,tree
• smb,rtt

Avanzaremos sobre otras estádisticas vistas en otras entregas, usaremos funciones como SUM(), COUNT(), MIN(), etc. y aplicaremos filtros mostrando resultados por campos tipo -Tfields.

Practicaremos con los filtros y opciones en busca de la información que nos interse.

Seguir leyendo el resto »

Seguimos con Tshark. Ahora vamos a ver de forma básica como podemos usar Tshark con el lenguaje de programación de script Lua invocándolo mediante la opción -X como una extensión. No trataremos aquí como programa on Lua, más bien como usar este lenguaje con Tshark.

La sintaxis sería -Xlua_script:nombrefichero.lua

Pero antes que nada. ¿ Que es Lua ?.

Seguir leyendo el resto »

Ya vimos en la primera y segunda parte de Tshark las nociones más basicas y algunas más avanzadas del uso de este capturador de paquetes.

En esta tercera entrega vamos a estudiar una característica bastante intersante de Tshark y Wireshark, las estadísticas. Estadísticas que nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Existe gran variedad de tipos de estádisticas a mostrar por Tshark, protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.

Actualizado a 08-05-2008: Mostrar datos estadísticos en varias columnas.

Seguir leyendo el resto »

En esta entrega avanzamos en el estudio de Tshark. Ya vimos en la primera parte las opciones más básicas. Ahora nos adentraremos en las opciones que hacen de Tshark un capturador/analizador de paquetes bastante interesante.

Seguir leyendo el resto »