Alfredo José Feijóo González in Tutoriales en Español, Ingenieros y Técnicos, Telecomunicaciones e Informática Seguridad Informatica, Análisis y Gestion de Riesgos Sep 10, 2017 · 5 min read · 3.1K

Análisis de tráfico de red, con, SNORT, Wireshark, TCPDUMP, Bmon

 Ante todo y sin ánimo de ser pesado, quiero agradeceros a tod@s, las muestras de animo, no podria contestaros a todos personalmente y quiero que me disculpeis, por ello, pero como os comentaba me entero muy a posteriori.

Hoy vamos a tocar un tema delicado, como analizar el trafico de nuestra red y su vulnerabilidad ante ataques externos. Este articulo es una versión resumida, si quereis mas información, podeís descargaros el pdf.

Análisis de tráfico de red, con, SNORT, Wireshark, TCPDUMP, Bmon

                     Análisis de tráfico de red, con, SNORT, Wireshark, TCPDUMP, Bmon


Se llama análisis de tráfico al proceso de monitorizar información a partir de las características del tráfico de comunicación sin analizar la información que se intercambian los comunicantes. Para obtener información podemos basarnos por ejemplo en el origen y destino de las comunicaciones, su tamaño, su frecuencia, la temporicación, patrones de comunicación, etc.
El análisis de tráfico está muy relacionado con el análisis de paquetes y se suelen usar de forma conjunta. En el análisis de paquetes se estudia la información contenida en los paquetes que circulan por la red y a partir de eso trata de inferir información.


Wireshark: Herramienta de sniffing y analizador de protocolos.

Un sniffer es una herramienta que se emplea para observar los mensajes que intercambian dos
entidades en comunicación a través de una red. El sniffer (literalmente "olfateador") captura las
tramas a nivel de enlace que se envían/reciben a través de los interfaces de red de nuestra
computadora.

Un dato importante es que un "sniffer" es un elemento pasivo: observa los mensajes que
intercambian aplicaciones y protocolos, pero ni genera información por sí mismo, ni es destinatario
de ésta. Las tramas que captura son siempre una copia (exacta) de las que en realidad se
envían/reciben en nuestro ordenador.

Un  analizador de protocolos es un sniffer al que se le ha dotado de funcionalidad suficiente como para entender y traducir los protocolos que se están hablando en la red. Es de utilidad para desarrollar y depurar protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto (HTTP, TCP, ICMP,...) y mostrar al usuario la información decodificada. De esta forma, el usuario puede ver todo aquello que en un momento concreto está circulando por la red que se está analizando.

Esto último es muy importante para un programador que esté desarrollando un protocolo, o cualquierprograma que transmita y reciba datos en una red, ya que le permite comprobar lo que realmente hace el programa. Además de para los programadores, estos analizadores son muy útiles para todos aquellos que quieren experimentar o comprobar cómo funcionan ciertos protocolos de red, analizando la estructura y funcionalidad de las unidades de datos que se intercambian. También,
gracias a estos analizadores, se puede ver la relación que hay entre diferentes protocolos, para así
comprender mejor su funcionamiento.

Wireshark es un analizador de protocolos de red, con interfaz gráfico, que nos permitirá capturar
las tramas que entran y salen de nuestro ordenador para luego "diseccionarlas" y estudiar el contenido de los mismas. Wireshark, emplea la misma librería de captura de paquetes (libpcap) que otros sniffers conocidos, como tcpdump, aunque es capaz de leer muchos otros tipos de formato de captura.

Además es un software de libre distribución que puede correr en distintas plataformas (Windows,
Linux/Unix, y Mac). Pero, probablemente, lo más destacable sea su interfaz gráfica y la potente
capacidad de filtrado que presenta.

Nos vamos a centrar ahora en exponer unas nociones básicas de la forma en la que el analizador
de protocolos Wireshark presenta la información capturada.

Los caracteres no imprimibles (los que no equivalen a letras, números o símbolos) se representan como un punto. Esto puede ser útil en ciertas tramas que contengan PDUs con datos en modo texto. Nótese que el panel inferior y el panel central son la misma cosa vista de dos modos diferentes. No hay más que ver como al haber seleccionado el campo “Type” en el panel central, en el panel inferior podemos ver resaltado un par de octetos de la trama, que son precisamente el 08 y 00, el valor que tiene dicho campo “Type”. Hay que precisar que el analizador nos muestra en este panel inferior toda la trama Ethernet versión 2 o IEEE 802.3 salvo los 64 bits primeros del preámbulo. Es decir, que el octeto primero que podremos ver será el primer octeto de la dirección MAC destino. Otro campo que muchas veces no aparece será la cola de la trama (el FCS, “Frame
Check Sequence) pues hay tarjetas que son incapaces de proporcionar este dato en el momento de la
captura.

Finalmente, por encima de estas tres secciones aparecen otros dos elementos: los menús de
comandos (menús desplegables y barra de herramientas) y el campo de filtrado de visualización.

Utilizando Wireshark

Para ejecutar wireshark necesitamos permisos de supersusuario, como no lo somos, utilizaremos
desde una consola de comandos (xterm) el comando

gksu   , que permite ejecutar programas con los  privilegios de seguridad de root;
$ gksu wireshark

Por ahora, en nuestras pantallas, las distintas áreas que hemos comentado anteriormente aparecen
en blanco. Capturemos los primeros paquetes y veamos qué sucede.

Analicemos, a continuación, las tramas capturadas ayudándose para ello de las siguientes cuestiones.

Para la trama Ethernet que contiene el mensaje "echo request":

1.¿Cuál es la dirección Ethernet de 48-bit del interfaz de red de tu ordenador?

2.¿Cuál es la dirección Ethernet destino dentro de la trama Ethernet? ¿A qué dispositivo

pertenece dicha dirección?

3.¿Cuál es el valor hexadecimal del campo Tipo de Trama (Frame Type)?

4.¿Qué tamaño tiene el campo de datos de esta trama Ethernet?

Y para la trama Ethernet que contiene el mensaje de respuesta "echo reply":

1.¿Cuál es la dirección Ethernet origen dentro de la trama Ethernet? ¿A qué dispositivo

pertenece dicha dirección?

2.¿Cuál es la dirección destino dentro de la trama Ethernet? ¿A qué dispositivo pertenece dicha

dirección?

3.¿Cuál es el valor hexadecimal del campo Tipo de Trama (Frame Type)?

4.¿Qué tamaño tiene el campo de datos de esta trama Ethernet?

Empleo de tcpdump

Hemos estado revisando el contenido de paquetes desde una herramienta gráfica y de muy fácil

manejo, como es Wireshark. Esta vez vamos a ver el contenido desde una herramienta de consola de

comandos:

tcpdump

.

Como ya comentamos con anterioridad, la librería de captura de Wireshark (libpcap) es la misma

que empleatcpdump, y la sintaxis de filtrado es muy similar; pero para un mejor conocimiento de la

herramienta, consultad las páginas de manual disponibles para

tcpdump:

En Linux

man tcpdump

Online

http://www.tcpdump.org/tcpdump_man.html

Ahora analizaremos las tramas que se intercambianentre un cliente y un servidor de ftp. Para ello,

mientras el programa tcpdump se esté ejecutando, realizaremos una conexión ftp a un servidor, luego

haremos un GET sobre un archivo y seguidamente analizaremos la captura realizada.

Ejecute el programa

tcpdump

con la opción

-w

que permite guardar las tramas capturadas en un

fichero para un posterior análisis de las mismas. Es importante que en este paso no se introduzca

ninguna opción (a excepción de la ya indicada), ni ningún filtro, ya que se pretende capturar todas las

tramas que llegan a nuestro interfaz.

Estos son los pasos que tendremos que dar para capturar nuestras tramas:

1.

Lanzar en un terminal el programa

tcpdump

. Grabaremos las tramas capturadas en el fichero

tcpdump.out

2.

Conectarse mediante ftp a la máquina

87.98.200.117

(

ftp 87.98.200.117

). En login

introduciremos

anonymous

y como password

anonymous.

3.

Hacer

get welcome.txt

para "bajarse" el fichero

welcome.txt

a su ordenador.

4.

Terminar la conexión tecleando

quit

.

5.

Terminar la captura del tcpdump (

CONTROL-C

Análisis de tráfico de red para la detección de ataques

Para realizar este análisis de red, vamos a emplear SNORT y WIRESHARK. Snort nos permitirá apuntar a los paquetes que realmente sean sospechosos, mediante la configuración de las alertas de la propia herramienta, mientras que Wireshark permitirá analizar la traza del intercambio de paquetes en general, para tener una mayor visibilidad acerca del ataque sufrido.

Para realizar este análisis de red, vamos a emplear SNORT y WIRESHARK. Snort nos permitirá apuntar a los paquetes que realmente sean sospechosos, mediante la configuración de las alertas de la propia herramienta, mientras que Wireshark permitirá analizar la traza del intercambio de paquetes en general, para tener una mayor visibilidad acerca del ataque sufrido.

Configurando SNORT

El primer paso será configurar Snort. Encendemos nuestra máquina Kali Linux y simplemente ejecutamos los siguientes comandos que servirán para llevar a cabo la instalación de Snort:

apt-get update

Análisis del tráfico de red

Para este post, hemos escogido un archivo pcap de un reto lanzado por honeynet.org, donde facilitaban un archivo que contiene varios ataques de red bastante interesantes.

Con el siguiente comando, analizamos el fichero y comprobamos qué alertas lanza Snort:

snort -A console -i et

En la segunda parte, analizaremos en detalle los paquetes de las sesiones detectadas como potencialmente peligrosas.

Con estps 6 comandos en Linux nos devolverán información sobre el rendimiento de nuestro sistema. Control de la red, memoria, disco duro, swap, cpu, etc.


    dstat:
    Ofrece la combinación de vmstat, iostat, ifstat y netstat. Podremos observar la utilización del HD o de nuestra red, entre otros datos.
    dag.wieers.com/home-made/dstat

    iftop
    Hace lo mismo que top para la CPU pero, en este caso, para monitorizar el consumo de la interfaz de red seleccionada.
    ex-parrot.com/pdw/iftop

    bmon
    Se trata de una herramienta portátil de monitoreo del consumo de ancho de banda. Ofrece los resultados en la terminal o en html y también se pueden distribuir entre los otros nodos de la red.
    freshmeat.net/projects/bmon

    ifstat
    Herramienta multiplataforma para monitorizar el consumo de ancho de banda. Si tenemos instalada la aplicación net-snmp es posible obtener estadísticas de routers o switches remotos.
    gael.roualland.free.fr/ifstat

    sysstat
    Colección de herramientas de monitoreo de rendimiento en sistemas 32 y 64 bits: sar, sadf, mpstat, iostat y pidstat, entre otras. Así, podremos obtener estadísticas de nuestra cpu, nuestra memoria, swap, consumo de energía, actividad de red, actividad del servidor y cliente NFS, etc.
    pagesperso-orange.fr/sebastien.godard



Manuales on-line



https://secmotic.com/blog/analisis-de-trafico-de-red-para-la-deteccion-de-ataques-parte-i/


manual tcpdump


Manual WIRESHARK




Descargar archivo pdf


Josean Rueda Cardenas Sep 10, 2017 · #2

Como analizar el tráfico de red con linux

Josean - www.seox.es

0
Josean Rueda Cardenas Sep 10, 2017 · #1

Hola @Alfredo José Feijóo González, gracias por el producer. Veo que compartimos pasión por Linux/GNU :)

0