Página Personal de Alfon. Seguridad y Redes.

Análisis de red con Wireshark. Interpretando los datos.

Alejandro — Thu, 03 Jul 2008 23:46:35 +0100

hola alfon, se pueden capturar paquetes remotos por ejemplo de una ip lejana incluso fuera de mi pais con ethereal? es posible esto? He ledio que se puede hacer con la ayuda de algun software como shell ojala y puedas responder gracias saludos

Posición del sniffer en nuestra red. Redes conmutadas y no conmutadas.

alfon — Fri, 27 Jun 2008 13:12:43 +0100

Gracias Maki, ya está corregido.

Sludos,

Posición del sniffer en nuestra red. Redes conmutadas y no conmutadas.

Maki — Wed, 25 Jun 2008 21:22:40 +0100

Bueno, perdon por el anterior comentario porque me he informado mas sobre el tema y esta fuera de lugar, porque ya lo has explicado antes, supongo que mi router ira por switch.

Por cierto, el link que tienes puesto de envenenamiento ARP lleva a un post equivocado, Wireshark. Tshark. Detectando tráfico P2P en nuestra red.

Saludos y muy buen post y blog ;)

Posición del sniffer en nuestra red. Redes conmutadas y no conmutadas.

Maki — Wed, 25 Jun 2008 13:03:42 +0100

Buenas, gracias por contestar mi anterior comentario y hacer esta entrada =)

Yo no es que sea un experto en este tema precisamente, mas bien tengo unas nociones (demasiado) basicas.
Voy a describir mejor la situacion en la que quiero despejar mi duda:
Tenemos un router WiFi de esos que te da Telefonica cuando te ponen linea.
Tenemos un ordenador y ejecutamos el Wireshark comenzando a capturar paquetes. Vemos los TCP, HTTP, MSNMS, etc. Hasta ahi todo bien.
El problema esta en analizar, no solo los que vienen al primer ordenador (en el que ejecutamos Wireshark), sino todos los que pasan por el router WiFi en el que estamos conectados. Por lo que si hay otro ordenador conectado al mismo router WiFi hacer que los paquetes aparezcan en el Wireshark igual que los que venian especificamente a mi ordenador.
Realmente no se si eso se puede, he leido (y posteado) en foros preguntando por esto y segun dicen marcando la casilla de "modo promiscuo" obtengo lo que quiero, pero que va.
A lo mejor estoy diciendo una barbaridad, pero me gustaria saber si esto que quiero hacer es posible.

Gracias :-)

Análisis de red con Wireshark. Interpretando los datos.

alfon — Wed, 25 Jun 2008 10:29:28 +0100

Estimado Maki,

No hace nada mal. Es lo corrento según la tipología de red y red conmutada. Todo depende de la ubicación del sniffer y si la red es (switch) o no conmutada (hub).

Te contesto en un post que estoy escribiendo.

saludos,

VMware. Creando nuestro laboratorio virtual. (I Parte)

pedro — Tue, 24 Jun 2008 14:58:53 +0100

mandenme este progama a my direcion

Análisis de red con Wireshark. Interpretando los datos.

Maki — Mon, 23 Jun 2008 18:32:15 +0100

Buenas, yo tengo una duda.
Uso Ubuntu y me he bajado el Wireshark. Empiezo a sniffar mi red y veo los paquetes que me llegan, HTTP, TCP, MSNMS e incluso puedo ver las conversaciones de msn que estoy teniendo filtrando el protocolo MSNMS, pero eso no es lo que me interesa.
Quiero ser capaz de hacer todo eso pero usando el trafico de toda la red, no solo el que viene a mi ordenador.
He leido sobre eso y decian que habia que poner la tarjeta WiFi en modo monitor.
La he puesto y empece a capturar con el Wireshark pero no me aparece lo mismo que antes, me vienen infinidad de paquetes Broadcast, WLAN, etc. Nada de HTTP o MSNMS.
Que hago mal?
Gracias :-)

Análisis de red con Wireshark. Interpretando los datos.

alfon — Mon, 23 Jun 2008 12:11:34 +0100

Estimado Joelo,

tienes ya un artículo al respecto sobre tus didas.

saludos,

Análisis de red con Wireshark. Interpretando los datos.

Joelo — Fri, 20 Jun 2008 17:14:37 +0100

hola gracias por las explicaciones la verdad es muy util este sniffer
una pregunta como puedo saber quien esta usando p2p en mi red como pòr ejemplo
ares limeware emule, etc
te lo aradezco en verdad gracias

VMware. Creando nuestro laboratorio virtual. (I Parte)

Fran — Mon, 16 Jun 2008 16:44:08 +0100

Hola!:

Muchas gracias por los manuales, se aprende bastante. Una pregunta, cuándo vamos a poder descargarlos para verlos cuando no tengamos acceso a internet y necesitemos ver algo?.

Gracias de nuevo ;o)

Analisis capturas tráfico red. Interpretación Datagrama IP. (Parte I)

Jorge — Sat, 14 Jun 2008 20:03:57 +0100

Se agradece una explicación tan clara y tan práctica.

Analisis capturas tráfico red. Interpretación Datagrama IP. (Parte I)

tax — Sat, 14 Jun 2008 17:03:10 +0100

hola puedes poner o enviar un tuto de 0 para adm las redes como saber los logs y todo eso.

Análisis de red con Wireshark. Interpretando los datos.

alfon — Wed, 11 Jun 2008 08:07:31 +0100

Estimado Carlos,

Gracias por tus comentarios.
sobre el tema, me gustaría saber algo sobre tu red. Si usas Firewall/proxy, y usas hub o es una red conmutada, etc.
Puedes capturar el tráfico MSN con el display -R "msnms". De esta forma sabrás también quien se conecta. Te responde el resto cuando em des algúndetalle más.
Saludos,

Análisis de red con Wireshark. Interpretando los datos.

Carlos — Tue, 10 Jun 2008 23:10:14 +0100

Estimado Alfonso, buen aporte y gracias por ayudarnos a comprender el uso e interpretacion de los datos que nos genera el sniffer Wireshark. Actualemente me solicito el gerente del area de donde trabajo monitorear la red, por que ve que algunos usuarios se estan conectando ya sea a internet o al msn y necesito saber como lo estan haciendo, seria tan amable de decirme como monitoreo a los usuario del msn y como se conectan. gracias la red es 192.168.25.0.

Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (I).

alfon — Mon, 02 Jun 2008 16:31:08 +0100

Estimado Juan.

Intenta ser más explícito. Buscar una palabra en Internet, tal como lo preguntas, se hace con Google. Otro cosa es que quieras crear una regla que filtre contenidos a través del http y genrerar una alerta. La regla sería algo parecido a:

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"Palabra prohibida"; content:"sexo"; nocase; flow:to_client,established;)

Saludos,

Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (I).

Juan — Mon, 26 May 2008 14:46:38 +0100

Quisiera saber como hago para crear una regla que me busque una palabra en Internet..

Saludos..el blog esta excelente..

Analisis capturas tráfico red. Interpretación Datagrama IP. (Parte I)

Alex — Tue, 20 May 2008 01:30:06 +0100

Muchas gracias por estos posts, me han ayudado bastantes

Análisis de red con Wireshark. Interpretando los datos.

alfon — Mon, 12 May 2008 09:01:13 +0100

Estimado Javier,

Guarda las capturas con -w nombrearchivo.cap. Usa capinfos con el archivo .cap. Con este programa podrás ver estadísticas lo más apreceidos a ancho de banda.

Saludos,

Análisis de red con Wireshark. Interpretando los datos.

javier — Sat, 10 May 2008 23:35:44 +0100

Saludos

como puedo ver cuanto ancho de banda esta consumiendo cada ip por el wireshark

Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (I).

Vicac — Fri, 09 May 2008 04:38:50 +0100

Hola. Muchas gracias por tus manuales de snort me han sido de utilidad ahora que estoy comenzando con esta herramienta.

Tengo una pregunta ¿hay alguna manera de te muestre lo mensajes en la consola en el momento en el se cumple la regla? Es decir, no tener que ir a los logs para ver que es lo que esta sucediendo o sucedio.

Gracias de antemano

pd. Lo uso en linux

Análisis de red con Wireshark. Interpretando los datos.

alfonn — Wed, 30 Apr 2008 17:10:11 +0100

Estimada María,

Wireshark si puede ser usado en línea de comandos siendo así más facil para usarlo en programación en C. Se trata de Tshark. EStoy terminando un pequeño artículo para tratar el tema. Aún así entiendo que es mejor ir directamente a las librerias pcap. También hablaremos de ello próximamente.
Saludos,

Análisis de red con Wireshark. Interpretando los datos.

alfon — Tue, 29 Apr 2008 18:00:09 +0100

Estimado Guerrero,

Depende de la posición de Wireshark, del protocolo que se use para conectar con el router, etc. Si conectas desde dentro a través de telnet es muy facil. Solo tendrás que filtrar las conexiones al puerto 23 em el filtro display de la forma tcp.port == 23 y listo. eliges una conexión y haces un follow tcp y stream y veras el pass.
Saludos,

Análisis de red con Wireshark. Interpretando los datos.

Guerrero — Sun, 27 Apr 2008 12:08:39 +0100

Muchas gracias por ayudarnos a todos a entender esta herramienta. Me gustaría saber si es posible obtener el pass de acceso a un router, por ejemplo filtrando por http a traves de la puerta de enlace, y cómo se obtendría, si en texto plano y visible a primera vista, o cifrado. Gracias

Análisis de red con Wireshark. Interpretando los datos.

alfon — Mon, 21 Apr 2008 11:44:19 +0100

Estimada María,

Wireshark tan solo es un front con unas caraterísticas específicas para capturar packetes, interpretarlos, analizar y realizar estadísticas. Pero siempre usando libpcap. Era por eso mi recomendación. Al ser un programa de interfaz gráfico, poco te queda para integrarlo en unas líneas de programación. Aún así, wireshark puede ser usado por línea de comandos:
http://www.wireshark.org/docs/wsug_html_chunked/ChCustCommandLine.html
http://www.wireshark.org/docs/wsug_html_chunked/AppTools.html

Saludos,

Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (I).

alfon — Mon, 21 Apr 2008 11:37:28 +0100

Estimado Abril,

Revisa el fichero de configuración snort.conf. Seguro que la clave está ahí. si quieres postea aquí mismo la parte concerniente a base de datos.

saludos,

Análisis de red con Wireshark. Interpretando los datos.

Maria — Mon, 21 Apr 2008 11:15:33 +0100

Tu solución seria ideal el problema es que debo hacerlo en wireshark. Si tienes alguna sugerencia te lo agradeceria.
Saludos

Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (I).

Abril García Ramírez — Fri, 18 Apr 2008 05:35:04 +0100

hola:

la página esta super bien, solo tengo algunas dudas ya que nosotros montamos el IDS en plataforma linux distribución ubuntu 7.10, para la realizacion de nuestro proyecto para titularnos, y nuestra base de datos al parecer no conecta las alertas, y no sabemos donde esta el error. es bastante raro, ya que se supone ya del mysql deberia jalarlas no?? o algo por alli nos esta fallando,en algun archivo de configuracion ya que las tablas en la base de datos estan vacias a la hora de hacer algunas simulaciones como escaneos de puertos, pings, etc, no las encontramos reportadas en la base de datos, despues creo que mucho menos se vera en la interfaz grafica que le pusimos que es el BASE en codigo abierto no se si pudiesen ayudarnos??

atte abril

Análisis de red con Wireshark. Interpretando los datos.

alfon — Fri, 11 Apr 2008 13:59:00 +0100

Hola María,

No lo hagas con wireshark. Te será más facil hacerlo con windump o directamente usando las librerías pcap.

Saludos,

Análisis de red con Wireshark. Interpretando los datos.

Maria — Fri, 11 Apr 2008 08:45:34 +0100

Hola Alfon!!!
Tengo un problemita.... estoy trabajando con wireshark, me interesa detectar un tipo determinado de tramas que no esta incluido en el wireshark. Para ello estoy programando en c un disector (un plugin, vamos). Lo que no se, es como enlazar el archivo en c con el programa wireshark.
No lo veo en ningun tutorial.
Gracias de antemano.

Análisis de red con Wireshark. Interpretando los datos.

alfon — Mon, 07 Apr 2008 09:58:44 +0100

Hola Raul,

Gracias por los halagos. Poco más que añadir. Me parece correcto, solo que no hace falta añadir las columnas Hardware src addr y Hardware dest addr. En la zona de Frame capturado, el apartado Cabecera Ethernet II nos muestra esa información, eso si, activando las opciones en Name Resolutions.

saludos,

Análisis de red con Wireshark. Interpretando los datos.

Raul Cereseto — Sun, 06 Apr 2008 15:18:48 +0100

Estimado Alfon:

Me pregunto si podríamos aprovechar tus brillantes conocimientos sobre redes, para que nos ilustres sobre como detectar la puerta de enlace con Wireshark.

En otras palabras, mejorar el útil pero algo intuitivo informe que se exhibe en el siguiente link:

http://www.zero13wireless.net/foro/showthread.php?t=4054

Desde ya, muchas gracias por anticipado

Raul

Análisis de red con Wireshark. Interpretando los datos.

alfon — Mon, 17 Mar 2008 18:30:58 +0100

En Filtos introduces lo siguiente:
ip.addr == xxx.xxx.xxx.xxx Con esta notación le decimos a wireshark que capture todos los paquetes con origen y destino con esa IP.
ip.scr == xxx.xxx.xxx.xxx Capturar con esta IP como origen.
ip.dst == xxx.xxx.xxx.xxx con esta última notación capturamos los paquetes con esa IP de destino. Podemos usar también el operador != (que no sea igual a).
También podemops usar filtros que en vez de especificar IP, especifique direcciones Ethernet: eth.dst == ff:ff:ff:ff:ff:ff.

También lo operadores lógicos:
ip.scr==80.x.x.x or ip.src==200.80.x.x.

Saludos,

Análisis de red con Wireshark. Interpretando los datos.

Gerardo Marciales — Sun, 16 Mar 2008 22:41:52 +0100

Saludos, me gustaria saber como puedo analizar todo el trafico de una IP especifica de mi LAN, necesito saber todos los puertos que utiliza nuestro equipo ATA.

Gracias.

Infografía arquitectónica.

alfon — Wed, 13 Feb 2008 13:15:03 +0100

Gracias siria. En tantos años dedicado a estos he tocado tantos palos de la baraja informática.

Analizando la Red con WinDump / TCPDump. (I Parte)

alfon — Mon, 14 Jan 2008 08:23:34 +0100

Gracias por tu comentario viperEF.
Pues de eso se trata de comenzar desde lo más básico e ir avanzando en sucesivos artículos. Ya casi tengo perparada la tercera parte.

Analizando la Red con WinDump / TCPDump. (I Parte)

viperEF — Sat, 12 Jan 2008 21:09:12 +0100

interesante articulo un poco basico pero bueno para empezar, mejor que el ethereal o el windump mejor usar el WireShark que tb es gratuito y usa las mismas librerias.
http://www.wireshark.org/
http://www.edadfutura.com