Ya vimos algunos mensajes informativos o de error de Wireshark tales como Error TCP Bad Cheksum, TCP fast retransmission, TCP Dup ACK, etc. Ahora vamos a ver otro muy común: TCP segment of a reassembled PDU, información que a muchos induce a pensar que existe algún error en la red o conexión.
Ya hemos visto como detectar algunos errores en nestra red usando Wireshark y algunos conceptos como ACKs duplicados, segmentos fuera de orden, Retransmisiones, Retransmisiones rápidas, etc. Ahora vamos a ver estos mismos coneceptos usando la herramienta IO Graph de Wireshark y como relacionarlos.
Ocurre, en ocasiones, que cuando analizamos los paquetes capturados en una sesión Wireshark / Tshark, nos encontramos una serie de errores que por su número y/o descripción parece que tenemos un problema grave en un host o en la red.
Vamos a estudiar porqué ocurre esto, si es tan grave como parece y como solucionarlo.
Uno de los usos más importantes que podemnos aplicar a Tshark / Wireshark es el análisis de nuestras conexiones y la detección de posibles problemas en la transmisión de paquetes. La pérdida de paquetes y/o conexión es uno de estos problemas. Vamos a estudiar en esta ocasión como detectar está pérdida de paquetes.
Después del primer artículo referido a las heramientas gráficas de Wireshark: Análisis de red con Wireshark. Interpretando Las graficas. (I Parte), seguimos estudiando, de momento de forma básica, otras de estas herramintas herramientas, en este caso, tcptrace.
Ya vimos, en su momento, como interpretar los datos mostrados en las capturas de Wireshark. Hemos visto también otros aspectos de Wireshark como la detección de tráfico P2P, detección de archivos borrados y otros eventos, detección de Arp-poison, interpretación de captura de correo, etc.
Vamos ahora a iniciar una serie de capítulos dedicados a las gráficas.
Fruto de algún que otro comentario y algunos correos, en esta entrada voy a dar algunas pistas para tratar de descubrir y analizar el tráfico P2P en nuestra red. El tráfico generado por Ares, Emule / Edonkey, BitTorrent, etc, deja una serie de huellas con las que podemos trabajar para su descubrimiento. Para ello podemos usar cualquier sniffer tal como windump / tcpdump, Wireshark o Tshark, aunque son estos dos últimos los que continenen algunas utilidades que nos hará el trabajo más facil. De Esta forma nos será también más facil bloquearlos.
Vamos a analizar una captura correspondiente al envio de correo a través del protocolo SMTP, lo que sería el diálogo entre cliente y servidor SMTP. Diálogo constituido por un conjunto de comandos en formato texto ASCII.
Ya hemos visto como detectar el envenenamiento de la cache ARP. Ahora vamos a ver como detectar el borrado de archivos en red en una red no conmutada haciendo uso de Tshark y los filtros SMB (Server Message Block Protocol). Es posible hacerlo también en una red conmutanda capturando los paquetes mediante envenenamiento de la caché ARP.
Usaremos el filtro smb.cmd de comando SMB, aunque también podríamos usar smb.disposition.delete_on_close de borrado o cerrado de archivo, dependiendo pues de la forma de borrar el fichero por parte del cliente.
Actualización. 21-05-2008. Registro de eventos de apertura y escritura de archivos.
NOTA: Publicada (29-10-2009) la primera parte de una serie de artículos en los que avanzaremos en estos temas (SMB, CIFS, NETBIOS): Wireshark. Analizando eventos SMB / CIFS - NetBIOS. Parte 1.
Ya vimos en su momento como detectar sniffers en redes conmutadas y no conmutadas. donde también vimos como funciona el protocolo ARP.
En este artículo vamos estudiar como detectar un Arp-poison o Envenenamiento ARP en Tshark.
Página personal de Alfon. Repositorio de artículos própios y artículos mios publicados en otros medios.
OTROS SEGURIDAD:
Filtrado, Bloqueo y Ocultación de la publicidad en Opera: Fanboy's Adblock List
Método maty para la Creación de Contraseñas Seguras, en la Antigua Nautopía
Tags
Meneame
del.icio.us