Siguiendo con los artículos dedicados al análisis de protocolos de red, y servicios, como puede ser TCP, IP, UDP, SMTP, problemas de red, etc, en esta ocasión vamos a analizar el servicio FTP.

De forma básica, podemos decir que FTP es un protocolo de red para la transferencia de archivos de un sistema a otro conectados a una red TCP, basado en la arquitectura cliente-servidor y de una forma fiable y eficiente.

Dicho esto, vamos, a continuación, estudiar la captura realizada.

Seguir leyendo el resto »

Ya vimos algunos mensajes informativos o de error de Wireshark tales como Error TCP Bad Cheksum, TCP fast retransmission,  TCP Dup ACK, etc. Ahora vamos a ver otro muy común: TCP segment of a reassembled PDU, información que a muchos induce a pensar que existe algún error en la red o conexión.

Seguir leyendo el resto »

Ya sabemos que son los preprocesadores de Snort, como funcionan y donde se sitúan. Ahora vamos a ir estudiendo uno a uno. Empezamos con frag3.

Seguir leyendo el resto »

Después de varios artículos sobre opciones de la reglas Snort, relacionadas con el contenido y no relacionadas con el contenido, hacemos un paréntesis para hablar de los proprocesadores.

Los preprocesadores, básicamente, son unos módulos, añadidos o plugins que usa Snort para arreglar, rearmar, modificar tramas que vienen del decodificador de paquetes antes de que pasen por el motor de detección y las reglas. Pero donde se sitúan, como actúan, que preprocesadores tiene Snort y como funcionan....

Seguir leyendo el resto »

Ya hemos visto como detectar algunos errores en nestra red usando Wireshark y algunos conceptos como ACKs duplicados, segmentos fuera de orden, Retransmisiones, Retransmisiones rápidas, etc. Ahora vamos a ver estos mismos coneceptos usando la herramienta IO Graph de Wireshark y como relacionarlos.

Seguir leyendo el resto »

Ocurre, en ocasiones, que cuando analizamos los paquetes capturados en una sesión Wireshark / Tshark, nos encontramos una serie de errores que por su número y/o descripción parece que tenemos un problema grave en un host o en la red.

Vamos a estudiar porqué ocurre esto, si es tan grave como parece y como solucionarlo.

Seguir leyendo el resto »

Uno de los usos más importantes que podemnos aplicar a Tshark / Wireshark es el análisis de nuestras conexiones y la detección de posibles problemas en la transmisión de paquetes. La pérdida de paquetes y/o conexión es uno de estos problemas. Vamos a estudiar en esta ocasión como detectar está pérdida de paquetes.

Seguir leyendo el resto »

Después del primer artículo referido a las heramientas gráficas de Wireshark: Análisis de red con Wireshark. Interpretando Las graficas. (I Parte), seguimos estudiando, de momento de forma básica, otras de estas herramintas herramientas, en este caso, tcptrace.

Seguir leyendo el resto »

Ya vimos, en su momento, como interpretar los datos mostrados en las capturas de Wireshark. Hemos visto también otros aspectos de Wireshark como la detección de tráfico P2P, detección de archivos borrados y otros eventos, detección de Arp-poison, interpretación de captura de correo, etc.

Vamos ahora a iniciar una serie de capítulos dedicados a las gráficas.

Seguir leyendo el resto »

Seguimos con las opciones de Snort que no está relacionadas con el contenido o Payload. Ya vimos en la primera parte las opciones Fragoffset y Fragbits. También vimos en la segunda parte TTL, ID, Dsize, Seq, Ack, Icode, Itype y Tos, que forman parte de campos de la cabecera IP, segmento TCP, e ICMP.

En este capítulo terminaremos con este tipo de opciones de reglas con ipopts, flags, flow y window.

Seguir leyendo el resto »