Después de algún comentario y correos, vamos a estudiar el posicionamiento o colocación de un sniffer en nuestra red para obtener los resultados que esperamos.
Todo depende de la topología de red y el uso de hub o switch.
Este artículo es válido para cualquier sniffer de los que ya hemos visto. Wireshark, Tshark, WinDump / TCPdump, etc.
Fruto de algún que otro comentario y algunos correos, en esta entrada voy a dar algunas pistas para tratar de descubrir y analizar el tráfico P2P en nuestra red. El tráfico generado por Ares, Emule / Edonkey, BitTorrent, etc, deja una serie de huellas con las que podemos trabajar para su descubrimiento. Para ello podemos usar cualquier sniffer tal como windump / tcpdump, Wireshark o Tshark, aunque son estos dos últimos los que continenen algunas utilidades que nos hará el trabajo más facil. De Esta forma nos será también más facil bloquearlos.
Para la evaluación de rendimientos en las comunicaciones en nuestra red local y posterior optimización de los parámetros, disponemos de multitud de herramientas multiplataforma. Una de ellas es IPerf.
Con IPerf podemos medir el ancho de banda y rendimiento de una conexión entre dos host. Se trata, pues, de una herramienta cliente-servidor.
Aunque estamos viendo, en los diferentes artículos al respecto, las opciones para crear reglas Snort, y, en general, todo lo respecto a Snort com IDS (Sistema Detección de Intrusos), vamos a realizar una parada, para estudiarlo con más detenimiento, en content, opción de la regla que busca contenidos en la carga útil de un paquete o payload y las opciones de content como pueden ser:
Vamos a analizar una captura correspondiente al envio de correo a través del protocolo SMTP, lo que sería el diálogo entre cliente y servidor SMTP. Diálogo constituido por un conjunto de comandos en formato texto ASCII.
Una de las ventajas de las tecnologías de virtualización es que podemos crear un host virtual para nuestro propio entorno de pruebas. O mejor aún, crear una pequeña red virtual para analizar el comportamiento del herramientas como Snort, Wireshark, Windump, trabajar con sniffers y su detección, etc con aplicaciones maliciosas, virus o cualquier tipo de de tráfico de paquetes que pudiera comprometer un entorno físico o productivo pero no uno virtual de pruebas.
Herramientas de virtualización hay varias, aquí nos centraremos en VMware Server, VMware Converter y VMware Player, por ser las tres libres.
Ya vimos en la serie dedicadda a Snort, en uno de los capítulos dedicado a la creación de reglas Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (II). Opciones de las reglas. ,la opcion content. Recordemos:
Content busca un determinado patrón en el contenido del paquete. Es sensible a mayúsculas/minúsculas. Puede ser texto, binario o una mezcla de ambos. el contenido binario se encierra entre || y se representa en hexadecimal. Podemos negar también un contenido.
Pero hay más. Content entiende también de expresiones regulares mediante PCRE.
Ya hemos visto como detectar el envenenamiento de la cache ARP. Ahora vamos a ver como detectar el borrado de archivos en red en una red no conmutada haciendo uso de Tshark y los filtros SMB (Server Message Block Protocol). Es posible hacerlo también en una red conmutanda capturando los paquetes mediante envenenamiento de la caché ARP.
Usaremos el filtro smb.cmd de comando SMB, aunque también podríamos usar smb.disposition.delete_on_close de borrado o cerrado de archivo, dependiendo pues de la forma de borrar el fichero por parte del cliente.
Actualización. 21-05-2008. Registro de eventos de apertura y escritura de archivos.
Ya vimos en su momento como detectar sniffers en redes conmutadas y no conmutadas. donde también vimos como funciona el protocolo ARP.
En este artículo vamos estudiar como detectar un Arp-poison o Envenenamiento ARP en Tshark.
En esta entrega de Tshark, Wireshark en línea de comandos, avanzamos un poco más en las Estadísticas que vimos ya en la III parte. Esta vez nos centraremos en:
Avanzaremos sobre otras estádisticas vistas en otras entregas, usaremos funciones como SUM(), COUNT(), MIN(), etc. y aplicaremos filtros mostrando resultados por campos tipo -Tfields.
Practicaremos con los filtros y opciones en busca de la información que nos interse.
Nauscopio: Winup.es 2.9: Recopilatorio de parches para Windows XP Service Pack 2 (en español) en adelante
Windows XP Service Pack 3 en español. Modificación del número máximo de conexiones TCP/IP abiertas: EvID4226Patch223d.
Tags
Meneame
del.icio.us