Ya vimos en el artículo Tshark. Detectando borrado de archivos de la red y otros eventos., algunos eventos SMB a través de Wireshark, tales como borrado de archivos y toda la información que se podía extraer capturando sesiones SMB, etc. A petición de lectores que me piden este artículo usando Wireshark en vez de Tshark, aprovecho, también, para explicar y avanzar un poco más en los protocolos SMB, CIFS Y NETBIOS.

SMB (Server Message Block), básicamente se trata de un protocolo que permitre compartir archivos, impresoras, puertos serie, etc entre hosts conectados en red. Pertenece a la capa de aplicación OSI y es un protocolo del tipo cliente-servidor. SMB se encuentra por encima de NETBIOS, que es la que se encarga de la resolución de Nombre host / IP.

CIFS (Common Internet File System) es una implementación que supone, también, una evolución de SMB para el sistema Windows en sus versiones más modernas. Al tratarse de un protocolo de alto nivel, necesita apoyarse en protocolos de transporte como NETBIOS. Al ser una evolución e implementación de SMB, es también un protocolo cliente-servidor.

La forma de trabajar de CIFS, como envía paquetes request de cliente a servidor, como responde, etc, etc.

Todo esto lo veremos, como siempre, con ejemplos de capturas Wireshark.

Seguir leyendo el resto »

En el anterior artículo dedicado a Wireshark y GeoIP / GeoLite , tratamos la geolocalización a partir de una determinada IP, mostrantdo datos como Paises, Ciudades, Longitud y Latitud, etc, en las estadísticas. Ahora, veremos como Wireshark y Tshark disponen de una serie de Filtros de visualización ( Display Filters ) para GeoIP.

Seguir leyendo el resto »

GeoIP es un recurso que nos sirve para, a partir de una determinada IP, saber la ubicación geográfica correspondiente. Podemos usar GeoIP con ASP, con APIs, puede integrarse en un Web Server, etc. Pero lo más importante para nosotros es su integración con Wireshark. Para ello usaremos la versión gratuíta GeoLite.

Seguir leyendo el resto »

En Wireshark, puede ocurrir que realicemos una captura que se prolonge demasiado en el tiempo o que se trate de una captura con gran trasiego de de datos. En ambos casos el archivo de captura .cap será demasiado grande y puede ser intratable.  Para ello disponemos de una serie de opciones que nos facilitará el trabajo.

Vamos a estudiar estas opciones.

Seguir leyendo el resto »

Ya vimos en su día el uso de Iperf  para medir el ancho de banda entre dos host. En este artículo avanzaremos un poco más y estudiaremo la versión gráfica basada en Java de Iperf: Jperf.

Seguir leyendo el resto »

En este artículo vamos a ver otra forma de capturar el tráfico de red. Acostumbrados a usar Wireshark / Tshark o cualquier otro software de captura en modo local o usando archivos de captura .pcap, veremos que también podemos conectar nuestro Wireshark o Tshark a un interfaz de red remoto. Esto último usando una utulidad contenida en Winpcap llamada RPCAPD.

RPCAPD es una herramienta que nos sirve para conetarnos a una interfaz de red en un host remoto. Se encuentra por defecto en C:\Archivos de programa\WinPcap.

Seguir leyendo el resto »

Siguiendo con los artículos dedicados al análisis de protocolos de red, y servicios, como puede ser TCP, IP, UDP, SMTP, problemas de red, etc, en esta ocasión vamos a analizar el servicio FTP.

De forma básica, podemos decir que FTP es un protocolo de red para la transferencia de archivos de un sistema a otro conectados a una red TCP, basado en la arquitectura cliente-servidor y de una forma fiable y eficiente.

Dicho esto, vamos, a continuación, estudiar la captura realizada.

Seguir leyendo el resto »

Seguimos con las pequeñas utilidades o herramientas. En este caso hablaremos de STRINGS. Voy a explicar su uso con un ejemplo práctico como puede ser el análisis de los archivos contenidos en la carpeta Prefetch de Windows.

STRINGS de Sysinternals es una utilidad que nos sirve para encontrar cadenas ASCII  o UNICODE en un archivo determinado

Pero, como he dicho, vamos a verlo con un ejemplo....

Seguir leyendo el resto »

Iniciamos, en esta ocasión, una serie de referencias a utilidades que nos ayudarán a realizar tareas de mantenimiento, administración, enumeración, etc, en nuestra red local. Todo esto a sugerencia de mis amables lectores.

Comenzamos con NBTSCAN (NETBIOS nameserver scanner).Recalcar que tan solo se trata de referencias y no un manual de uso. Más que nada por la sencillez de uso de las herramientas.

Decir, también, que sigo con las series de articulos ya comenzadas en este blog y profundizando en otros aspectos de la serguridad y las redes con artículos nuevos.

Seguir leyendo el resto »