Ya vimos en el capítulo Analisis capturas tráfico red. Interpretación Datagrama IP. (Parte I) los campos contenidos en la cabecera de un datagrama IP. Ante la petición de aclaración y mejor explicación de estos conceptos en comentarios y algún correo, paso a actualizar el mencionado artículo, avanzar y explicar mejor todos los conceptos involucarados.

Decíamos en el artículo de referencia......:

Una de las tareas habituales de un administrador de red es el análisis de los logs de tráfico de la red. Análisis que puede ser de rendimiento ó seguridad. Tráfico de la LAN, entrante y saliente a través de cortafuegos, análisis de Sistemas de Detección de Intrusos, capturas de tráfico de red, etc.

Para ello contamos con variadas herramientas. Entre ellas Snort, TCPDump/Windump, WireShark, etc. (Destaco estas tres últimas por estar basadas en la librería libpcap).

En este artículo vamos a analizar las capturas en hexadecimal de estas herramientas para obtener todos los datos posibles de las cabeceras IP, segmento TCP, además de comprender de forma más visual los conceptos TCP/IP.

En esta actualización del artículo, veremos también estos conceptos, no solo a través de una captura tcpdump / windump, tambíen a través de WireShark.

Seguir leyendo el resto »

Seguimos avanzando en el análisis de eventos SMB / CIFS y NETBIOS. Ya vimos en la primera parte de esta serie (Wireshark. Analizando eventos SMB / CIFS - NetBIOS. Parte 1.) algunos eventos SMB, a través de Wireshark, involucrados en una conexión de un host a otro para usar un  determinado recurso compartido. En el primer artículo nos centramos en la petición de resolución de nombre de host mediante Name query NB. En esta segunda parte la dedicaremos a la respuesta Name query response NB.

Seguir leyendo el resto »

Ya vimos en el artículo Tshark. Detectando borrado de archivos de la red y otros eventos., algunos eventos SMB a través de Wireshark, tales como borrado de archivos y toda la información que se podía extraer capturando sesiones SMB, etc. A petición de lectores que me piden este artículo usando Wireshark en vez de Tshark, aprovecho, también, para explicar y avanzar un poco más en los protocolos SMB, CIFS Y NETBIOS.

SMB (Server Message Block), básicamente se trata de un protocolo que permitre compartir archivos, impresoras, puertos serie, etc entre hosts conectados en red. Pertenece a la capa de aplicación OSI y es un protocolo del tipo cliente-servidor. SMB se encuentra por encima de NETBIOS, que es la que se encarga de la resolución de Nombre host / IP.

CIFS (Common Internet File System) es una implementación que supone, también, una evolución de SMB para el sistema Windows en sus versiones más modernas. Al tratarse de un protocolo de alto nivel, necesita apoyarse en protocolos de transporte como NETBIOS. Al ser una evolución e implementación de SMB, es también un protocolo cliente-servidor.

La forma de trabajar de CIFS, como envía paquetes request de cliente a servidor, como responde, etc, etc.

Todo esto lo veremos, como siempre, con ejemplos de capturas Wireshark.

Seguir leyendo el resto »

En el anterior artículo dedicado a Wireshark y GeoIP / GeoLite , tratamos la geolocalización a partir de una determinada IP, mostrantdo datos como Paises, Ciudades, Longitud y Latitud, etc, en las estadísticas. Ahora, veremos como Wireshark y Tshark disponen de una serie de Filtros de visualización ( Display Filters ) para GeoIP.

Seguir leyendo el resto »

GeoIP es un recurso que nos sirve para, a partir de una determinada IP, saber la ubicación geográfica correspondiente. Podemos usar GeoIP con ASP, con APIs, puede integrarse en un Web Server, etc. Pero lo más importante para nosotros es su integración con Wireshark. Para ello usaremos la versión gratuíta GeoLite.

Seguir leyendo el resto »

En Wireshark, puede ocurrir que realicemos una captura que se prolonge demasiado en el tiempo o que se trate de una captura con gran trasiego de de datos. En ambos casos el archivo de captura .cap será demasiado grande y puede ser intratable.  Para ello disponemos de una serie de opciones que nos facilitará el trabajo.

Vamos a estudiar estas opciones.

Seguir leyendo el resto »

Ya vimos en su día el uso de Iperf  para medir el ancho de banda entre dos host. En este artículo avanzaremos un poco más y estudiaremo la versión gráfica basada en Java de Iperf: Jperf.

Seguir leyendo el resto »

En este artículo vamos a ver otra forma de capturar el tráfico de red. Acostumbrados a usar Wireshark / Tshark o cualquier otro software de captura en modo local o usando archivos de captura .pcap, veremos que también podemos conectar nuestro Wireshark o Tshark a un interfaz de red remoto. Esto último usando una utulidad contenida en Winpcap llamada RPCAPD.

RPCAPD es una herramienta que nos sirve para conetarnos a una interfaz de red en un host remoto. Se encuentra por defecto en C:\Archivos de programa\WinPcap.

Seguir leyendo el resto »

Siguiendo con los artículos dedicados al análisis de protocolos de red, y servicios, como puede ser TCP, IP, UDP, SMTP, problemas de red, etc, en esta ocasión vamos a analizar el servicio FTP.

De forma básica, podemos decir que FTP es un protocolo de red para la transferencia de archivos de un sistema a otro conectados a una red TCP, basado en la arquitectura cliente-servidor y de una forma fiable y eficiente.

Dicho esto, vamos, a continuación, estudiar la captura realizada.

Seguir leyendo el resto »

Ya vimos algunos mensajes informativos o de error de Wireshark tales como Error TCP Bad Cheksum, TCP fast retransmission,  TCP Dup ACK, etc. Ahora vamos a ver otro muy común: TCP segment of a reassembled PDU, información que a muchos induce a pensar que existe algún error en la red o conexión.

Seguir leyendo el resto »