Wireshark es una herramieta multiplataforma de análisis de red, producto de la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Este artículo es fruto de varios correos que me han llegado sobre como interpretar los datos mostrados en una captura.

Relacionado:
Análisis de red con Wireshark. Interpretando Las graficas. (I Parte).

Seguir leyendo el resto »

Ya vimos en la primera parte y segunda parte de este estudio sobre Análisis de capturas de tráfico de red la interpretación del datagrama IP y el segmento TCP, la interpretación de los valores hexadecimales de la salida de TCPDump/WinDump referente al datagrama IP y segmento TCP. Ahora vamos a estudiar e interpretar el datagrama UDP. UDP es el protocolo del nivel de transporte que, a diferencia de TCP, no es orientado a conexión y no es fiable. Es el protocolo más sencillo, más rápido, usado para aplicaciones multimedia y comunicaciones en las que se puede permitir la perdida de algún datagrama. Los datagramas UDP se encapsulan dentro de la parte de datos de un datagrama IP.

Seguir leyendo el resto »

Ya vimos en la primera parte de este estudio sobre Análisis de capturas de tráfico de red la interpretación del datagrama IP, la interpretación de los valores hexadecimales de la salida de TCPDump/WinDump referente al datagrama IP. Ahora vamos a estudiar e interpretar el segmento TCP. TCP es el protocolo del nivel de transporte orientado a conexión. Veremos los mecanismos que implementa TCP para dar la mayor fiabilidad posible a dicha conexión. Mecanismos como los números de secuencia y las confirmaciones de recepción. También veremos en modo de apéndice, para comprender mejor lo estudiado, el establecimento de una conexión TCP.

Seguir leyendo el resto »

Yoggie's Gatekeeper Pico es una nueva forma de ver la seguridad personal. Se trata de un dispositivo portátil, similar a un USB. Un pequeño microordenador con S.O. basado en Linux con una serie de aplicaciones de protección instaladas tales como Snort, IPTables, Antivirus de Karspesky

Seguir leyendo el resto »

Seguimos avanzando en el estudio y creación de las reglas Snort que iniciamos en el capítulo dedicado a las reglas.

Hemos visto que las reglas snort se dividen en cabecera y opciones. Vamos a estudiar a continuación las opciones. Opciones que en las que establecemos los mensajes, decisiones a tomar por la regla o los valores del los campos que debe tener el paquete que cumpla la condición de la cabecera.

lo vemos en el siguiente ejemplo:

alert icmp 192.168.1.10 any -> $RED_EXTERNA any (msg:"lanzando un ping";icode:0;itype:8;sid:00001;classtype:reglas_personales;rev:0;)

Las opciones están entre paréntesis. Cada opción esta separada de la siguiente mediante un ;.

Seguir leyendo el resto »

Ya vimos en el Capítulo I de Snort el funcionamiento de este IDS y su implementación en nuestra red. Ahora vamos a aprender a crear nuestras propias reglas.

Introducción.

El lenguaje usado por Snort es flexible y potente, basado en una serie de normas que serán las que nos sirvan de guía para la escritura de las reglas.

Dentro de estas normas tenemos:

• la descripción de cada regla
• cabecera
• opciones
• uso de preprocesadores

Las reglas Snort (Snort Rules) deben ser escritas en una sola línea, de lo contrario habrá que usar el carácter de escape (\):

alert tcp any 110 -> (content: "filename=\"TOMOFONICA.TXT.vbs\"";\
nocase; msg: "Virus tomofonica";)

La reglas Snort las podemos dividir en dos secciones lógicas, a saber: cabecera de la regla y opciones:

• La cabecera contiene la acción de la regla en sí, protocolo, IPs, máscaras de red, puertos origen y destino y destino del paquete o dirección de la operación.
• La sección opciones contiene los mensajes y la información necesaria para la decisión a tomar por parte de la alerta en forma de opciones.

Resumiendo lo visto hasta ahora, las reglas Snort las dividiremos de la siguiente manera:

CABECERA

• Acción
• Protocolos involucrados
• Direcciones IP
• Números de puerto
• Dirección de la operación

Seguir leyendo el resto »

Seguimos, al igual que en los anteriores capítulos avanzando con los filtros de Windump / TCPDump. Este cápitulo forma parte de nuevos contenidos relacionado con los artículos refereridos a Análisis de Red con WinDump / TCPDump.

Otra manera de establecer filtros avanzados es el siguiente:

Teniendo el siguiente datagrama IP.

IP 192.168.1.240.139 > 192.168.1.3.1098: tcp 60 (DF)
0x0000 4500 0064 8a01 4000 8006 ec4e c0a8 01f0 E..d..@....N....
0x0010 c0a8 0103 008b 044a fcea 6aaf 60e5 ea5b .......J..j.`..[
0x0020 5018 fd34 8917 0000 0000 0038 ff53 4d42 P..4.......8.SMB
0x0030 7500 0000 0098 07c8 0000 0000 0000 0000 u...............<
0x0040 0000 0000 04b0 fffe 01a8 c000 07ff 0038 ...............8
0x0050 0001 00ff 0100 00ff 0100 0007 0049 5043 .............IPC
0x0060 0000 0000


Seguir leyendo el resto »

NOTA: Este artículo se encuentra actualizado, ampliado los conceptos y con nuevos contenidos aquí:

Wireshark / Windump. Analisis capturas tráfico red. Interpretación Datagrama IP. (Actualización).

-------------------------------------------------------------------------------

Una de las tareas habituales de un administrador de red es el análisis de los logs de tráfico de la red. Análisis que puede ser de rendimiento o seguridad. Tráfico de la LAN, entrante y saliente a través de cortafuegos, análisis de Sistemas de Detección de Intrusos, etc.

Para ello contamos con variadas herramientas. Entre ellas Snort, TCPDump/Windump, Ethereal (ahora WireShark), etc. Destaco esta tres últimas por estar basadas en la librería libpcap.

En este artículo vamos a analizar las capturas en hexadecimal de estas herramientas para obtener todos los datos posibles de las cabeceras IP, segmentos TCP, además de comprender de forma más visual los conceptos TCP/IP.

Seguir leyendo el resto »

Introducción.

Vimos en los capítulos capítulo I y capítulo II los filtros avanzados de Windump / TCPDump y el uso del formato: proto[x:y] = valor para leer datos en cabeceras de protocolos a monitorizar. Por ejemplo:

C:\scan>windump icmp[0] = 8

En este capítulo vamos a seguir avanzando en ello y complicando los ejemplos y casos prácticos. Por ejemplo:

C:\scan>windump -qn "ip[0] & 0x0f > 5"

Seguir leyendo el resto »

WinDump/TCPDump. Casos de estudio.

Analizamos aquí las salidas de TCPDump / Windump ante escaneos básicos nmap y otras utilidades en la red para su estudio. De esta manera aprenderemos a identificar los problemas o intrusiones a la red.

Seguir leyendo el resto »