el flujo de datos a través de una red con el fin de entender que sucede. Generalmente se realiza a través de un Sniffer (Capturador de Paquetes) Ventajas: • Entender las características de la red • Comprender quién está en la red • Determinar quien y que está utilizando el ancho de banda • Identificar picos de tráfico • Identificar posibles ataques o actividad maliciosa • Encontrar aplicaciones inseguras Análisis de Paquetes (Análisis de protocolos o captura de paquetes) Captura y Análisis de paquetes de Red
el flujo de datos a través de una red con el fin de entender que sucede. Generalmente se realiza a través de un Sniffer (Capturador de Paquetes) Ventajas: • Entender las características de la red • Comprender quién está en la red • Determinar quien y que está utilizando el ancho de banda • Identificar picos de tráfico • Identificar posibles ataques o actividad maliciosa • Encontrar aplicaciones inseguras Análisis de Paquetes (Análisis de protocolos o captura de paquetes) Captura y Análisis de paquetes de Red
ASCII, MPEG,JPEG, MIDI Sesión NetBIOS, SDP, SAP, NWLink Transporte TCP, UPD, SPX Red IP, IPX Enlace de Datos Ethernet, Token Ring, AppleTalk Física Captura y Análisis de paquetes de Red
Datos Física HTTP HTTP TCP | HTTP TCP | HTTP IP | TCP | HTTP IP | TCP | HTTP Ethernet | IP | TCP | HTTP Ethernet | IP | TCP | HTTP Captura y Análisis de paquetes de Red
• Se recomienda su uso como primera medida ya que no deja huella en la red y no se generan paquetes adicionales • No genera interrupción de la operación TAP • Genera interrupción (desconexión) mientras se instala el TAP • Única opción para la captura sobre fibra óptica • Genera sobrecosto ya que se deben adquirir o elaborar los dispositivos • Viable para redes de gran velocidad Envenenamiento • Puede ser efectivo cuando se requiere maniobrar rápidamente considerando que se debe evitar la interrupción y no se cuenta con la opción de puerto espejo. • Es una técnica que debe usarse con mucha precaución ya que deben inyectar paquetes para enrutar el tráfico. Instalación directa • Generalmente no se recomienda ya que contamina la evidencia en este caso el host • La tarjeta no requiere estar en modo promiscuo • Recomendada para entornos de laboratorio, o análisis de paquetes previamente capturados. Captura y Análisis de paquetes de Red
BPF es llamado expresión, cada expresión está compuesta por primitivas, cada primitiva está formada por calificadores. Calificador Descripción Ejemplo Tipo Identifica a que nombre de identificador o número se refiere host, net, port Dir Especifica una dirección de transferencia hacia un nombre de identificador o número. src, dst Proto Restringe basado en un protocolo particular ether, ip, tcp, udp, http, ftp Captura y Análisis de paquetes de Red
port 25 Primitiva Primitiva Operador Calificador Calificador ID ID Calificador Operadores Concatenación Y && Alternación O || Negación NO ! Captura y Análisis de paquetes de Red
host 192.168.0.10 Captura el tráfico asociado con la dirección IPv4 establecida host fe80::f21f:afff:fe49:ec98 Captura únicamente el tráfico asociado con la dirección IPv6 establecida host demoserver Captura el tráfico del dispositivo con el nombre de host establecido ether host f0-1f-af-49-ec-98 Filtra basado en la dirección MAC establecida src host 192.168.0.10 Captura basado en host de origen dst host 192.168.0.10 Captura basado en host de destino Captura y Análisis de paquetes de Red
Filtra con base en el puerto establecido !port 8080 Captura todo el tráfico omitiendo los paquetes del puerto establecido dst port 80 Captura el tráfico con destino al puerto establecido icmp Permite capturar unicamente tráfico icmp !ip6 Omite el tráfico IPv6 Captura y Análisis de paquetes de Red
condiciones deben ser verdaderas or Cualquiera de las condiciones debe ser verdadera xor Una y solo una de las condiciones debe ser verdadera not Ninguna de las condiciones es verdadera ip.addr==192.168.0.10 or ip.addr==192.168.0.2 and http (ip.addr==172.16.16.128 or ip.addr==192.168.0.10) and http (ip.addr==172.16.16.128 or ip.addr==192.168.0.10) http Puede obtener resultados no esperados Sintaxis correcta Error de Sintaxis Captura y Análisis de paquetes de Red
permite re-ensamblar el flujo de datos TCP en un formato de fácil lectura, esta característica es de gran utilidad para visualizar los datos de protocolos que transmiten en texto claro como HTTP, FTP, TELNET Captura y Análisis de paquetes de Red
de expertos es un tipo de log de anomalías encontradas por wireshark en un archivo de captura. Permite tener mejor visualización del comportamiento poco común en la red.
Chat Información de flujo de datos normal Paquete TCP con la bandera SYN establecida Note Elementos notables Error normal de una aplicación por ejemplo HTTP 404 Warn Peligro La aplicación devuelve algo inusual por ejemplo un problema de conexión Error Problema serio Paquete malformado Captura y Análisis de paquetes de Red
dos o más archivos de captura en uno solo. mergecap archivo1 archivo2 .. -w archivosalida mergecap -v latency1.pcap latency2.pcap latency3.pcap latency4.pcap -w /tmp/latency.pcap
archivos pcap a partir de paquetes aleatorios randpkt { -b maxbytes} { -c cantidad de paquetes} { -t tipo} nombreDeArchivo randpkt -b500 -t syslog rand_syslog.pcap arp Address Resolution Protocol bgp Border Gateway Protocol bvlc BACnet Virtual Link Control dns Domain Name Service eth Ethernet fddi Fiber Distributed Data Interface giop General Inter-ORB Protocol icmp Internet Control Message Protocol ip Internet Protocol llc Logical Link Control m2m WiMAX M2M Encapsulation Protocol megaco MEGACO nbns NetBIOS-over-TCP Name Service ncp2222 NetWare Core Protocol sctp Stream Control Transmission Protocol syslog Syslog message tds TDS NetLib tcp Transmission Control Protocol tr Token-Ring udp User Datagram Protocol usb Universal Serial Bus usb-linux Universal Serial Bus with Linux specific header