cómo identificar el abuso de la red con wireshark
TRANSCRIPT
1
Cómo identificar el abuso de la red con Wireshark
Wireshark es la navaja suiza de las herramientas de análisis de red. Ya sea que usted
está buscando para el tráfico peer-to-peer de la red o simplemente quieres ver qué sitios
web una dirección IP específica es el acceso, Wireshark puede trabajar para usted.
Nos hemos dado anteriormente una introducción a Wireshark . y este mensaje se basa en
nuestros posts anteriores. Tenga en cuenta que debe estar capturando en un lugar en la
red donde se puede ver lo suficiente el tráfico de red. Si usted hace una captura en su
estación de trabajo local, es muy probable que no se ve la mayoría del tráfico en la red.
Wireshark puede realizar capturas desde una ubicación remota - echa un vistazo a nuestro
mensaje trucos Wireshark para obtener más información al respecto.
La identificación de Peer-to-Peer Traffic
Columna de protocolo de Wireshark muestra el tipo de protocolo de cada paquete. Si
usted está buscando en una captura de Wireshark, es posible que vea BitTorrent u otro
tráfico peer-to-peer que acechan en ella.
2
Usted puede ver lo que los protocolos se están utilizando en la red de la herramienta
Jerarquía de Protocolo, situada en el menú Estadística.
3
Esta ventana muestra un desglose de uso de la red por el protocolo. A partir de aquí,
podemos ver que casi el 5% de los paquetes en la red son los paquetes de BitTorrent. Eso
no suena como mucho, pero BitTorrent también utiliza paquetes UDP. El casi 25% de los
paquetes clasificados como paquetes de datos UDP son también el tráfico de BitTorrent
aquí.
4
Podemos ver sólo los paquetes BitTorrent, haga clic en el protocolo y su aplicación como
filtro. Usted puede hacer lo mismo con otros tipos de tráfico peer-to-peer que pueda estar
presente, como Gnutella, eDonkey o Soulseek.
5
Utilizando la opción de aplicar el filtro se aplica el filtro "bittorrent". Puede omitir el menú
del botón derecho y ver el tráfico de un protocolo, escriba su nombre directamente en el
cuadro Filtro.
Desde el tráfico filtrado, podemos ver que la dirección IP local de 192.168.1.64 está
usando BitTorrent.
6
Para ver todas las direcciones IP que utilizan BitTorrent, podemos seleccionar puntos
finales en el menú Estadística.
7
Haga click en la pestaña de IPv4 y permitir el "Límite para mostrar filtro" casilla de
verificación. Verá tanto las direcciones IP remotas y locales asociados con el tráfico de
BitTorrent. Las direcciones IP locales deben aparecer en la parte superior de la lista.
8
Si quieres ver los diferentes tipos de protocolos Wireshark apoya y sus nombres de filtro,
seleccione Protocolos habilitados en el menú Analizar.
10
Control de sitios web de acceso
Ahora que sabemos cómo romper el tráfico por protocolo, podemos escribir "http" en la
caja de filtro para ver sólo el tráfico HTTP. Con la opción "Habilitar la red de resolución de
nombres" marcada, vamos a ver los nombres de los sitios web que se accede en la red.
12
Haga click en la pestaña de IPv4 y permitir el "Límite para mostrar filtro" casilla de nuevo.
También debe asegurarse de que la casilla "Nombre de resolución" está habilitada o si sólo
va a ver las direcciones IP.
A partir de aquí, podemos ver los sitios web que se accede. Redes de publicidad y sitios
web de terceros que se utilizan scripts de acogida en otros sitios web también aparecerá
en la lista.
13
Si queremos descomponerlo por una dirección IP específica para ver lo que está
navegando por una única dirección IP, podemos hacer eso también. Utilice el filtro
combinado http y ip.addr == [dirección IP] para ver el tráfico HTTP asociada a una
dirección IP específica.
14
Abra el diálogo de Endpoints de nuevo y verás una lista de sitios web que se accede
mediante la dirección IP específica.
15
Todo esto es sólo arañando la superficie de lo que puede hacer con Wireshark. Se puede
construir filtros más avanzados, o incluso utilizar la herramienta ACL Reglas de Firewall de
nuestro mensaje trucos Wireshark para bloquear fácilmente los tipos de tráfico que
encontrarás aquí.
16
5 trucos asesino de obtener el máximo provecho de Wireshark
Wireshark tiene unos cuantos trucos bajo la manga, a partir de la captura de tráfico remoto a la
creación de reglas de firewall basado en paquetes capturados. Siga leyendo para conocer algunos
consejos más avanzados si desea utilizar Wireshark como un profesional.
Ya hemos cubierto el uso básico de Wireshark , así que asegúrese de leer nuestro artículo original
para una introducción a esta poderosa herramienta de análisis de redes.
Resolución de nombres de red
Aunque la captura de paquetes, usted podría estar molesto de que Wireshark sólo muestra las
direcciones IP. Puede convertir las direcciones IP a nombres de dominio a ti mismo, pero eso no es
demasiado conveniente.
17
Wireshark puede resolver automáticamente estas direcciones IP a nombres de dominio, aunque esta
característica no está habilitada de forma predeterminada. Al habilitar esta opción, verá los nombres
de dominio en lugar de direcciones IP siempre que sea posible. La desventaja es que Wireshark
tendrá que buscar cada nombre de dominio, la contaminación del tráfico capturado con las
peticiones DNS adicionales.
Puede habilitar esta configuración, abra la ventana de preferencias de Edición -> Preferencias, haga
clic en el panel de resolución de nombres y haga clic en la casilla "Enable Network Name
Resolution" cheque.
Iniciar Captura automática
18
Puede crear un acceso directo especial con argumentos de línea de comandos de Wirshark si desea
iniciar la captura de paquetes sin demora. Usted necesita saber el número de la interfaz de red que
desea utilizar, basado en el orden Wireshark muestra las interfaces.
Crear una copia de acceso directo del Wireshark, haga clic en él, entra en su ventana de Propiedades
y cambiar los argumentos de la línea de comandos. Add-i #-k al final del acceso directo,
sustituyendo # por el número de la interfaz que desea utilizar. La opción-i especifica la interfaz,
mientras que la opción-k dice Wireshark para iniciar la captura de inmediato.
19
Si está utilizando Linux u otro sistema operativo que no sea Windows, basta con crear un acceso
directo con el siguiente comando, o ejecutarlo desde un terminal para iniciar la captura de
inmediato:
wireshark-i #-k
Para obtener más métodos abreviados de línea de comandos, echa un vistazo a la página del manual
de Wireshark .
Capturar el tráfico desde ordenadores remotos
Wireshark captura el tráfico de interfaces locales de su sistema por defecto, pero esto no siempre es
la ubicación que desea capturar. Por ejemplo, es posible que desee para capturar el tráfico de un
router, servidor o en otro equipo en otra ubicación de la red. Aquí es donde la función de captura
remota de Wireshark entra en juego Esta función sólo está disponible en Windows en el momento -
la documentación oficial de Wireshark recomienda que los usuarios de Linux usan un túnel SSH .
20
En primer lugar, usted tendrá que instalar WinPcap en el sistema remoto. WinPcap viene con
Wireshark, por lo que no tiene que instalar WinPCap si ya tienes Wireshark instalado en el sistema
remoto.
Después de que se isntalled, abra la ventana Servicios en el equipo remoto - haga clic en Inicio,
escriba services.msc en el cuadro de búsqueda del menú Inicio y pulse Enter. Busque el servicio de
protocolo de captura remota de paquetes en la lista y ponerlo en marcha. Este servicio está
desactivado por defecto.
Haga clic en enlace de la opción de captura de s en Wireshark, seleccione remoto de la caja de
interfaz.
21
Introduzca la dirección del sistema remoto y 2002 como puerto. Debe tener acceso al puerto 2002 en
el sistema remoto para conectar, por lo que es posible que tenga que abrir este puerto en un firewall.
Una vez conectado, puede seleccionar una interfaz en el sistema remoto desde el cuadro desplegable
Interface. Haga clic en Inicio después de seleccionar la interfaz para iniciar la captura remota.
22
Wireshark en un Terminal (TShark)
Si usted no tiene una interfaz gráfica en su sistema, puede utilizar Wireshark desde un terminal con
el comando TShark.
En primer lugar, ejecute el comando tshark-D. Este comando le dará el número de sus interfaces de
red.
23
Una vez, ejecute el-i tshark # comando, sustituyendo # por el número de la interfaz que desea
capturar en.
TShark actúa como Wireshark, la impresión de que el tráfico que captura a la terminal. Utilice Ctrl-
C cuando se desea detener la captura.
Impresión de los paquetes a la terminal no es el comportamiento más útil. Si queremos inspeccionar
el tráfico con más detalle, podemos tener TShark volcado en un archivo que puede inspeccionar más
tarde. Utilice este comando en lugar de volcar el tráfico a un archivo:
tshark-i-w # nombre del archivo
24
TShark no le mostrará los paquetes que están siendo capturados, pero va a contar con ellos, ya que
los captura. Usted puede utilizar el File -> opción Abrir en Wireshark para abrir el archivo de
captura más tarde.
Para obtener más información acerca de las opciones de línea de comandos de tshark, echa un
vistazo a su página de manual .
Crear Firewall ACL Reglas
Si usted es un administrador de la red a cargo de un firewall y está usando Wireshark para echar un
vistazo, es posible que desee tomar medidas basadas en el tráfico se ve - tal vez para bloquear una
parte del tráfico sospechoso. Firewall herramienta Reglas ACL de Wireshark genera los comandos
que necesitará para crear reglas de firewall en el servidor de seguridad.
Primero, seleccione un paquete que desea crear una regla de firewall basado en haciendo clic en él.
Después de eso, haga clic en el menú Herramientas y seleccione Firewall Reglas ACL.
25
Utilice el menú del producto para seleccionar el tipo de servidor de seguridad. Wireshark soporta
Cisco IOS, los diferentes tipos de cortafuegos de Linux, incluyendo iptables y el servidor de
seguridad de Windows.
Usted puede utilizar el cuadro de filtro para crear una regla basada en la dirección de cualquiera de
los sistemas MAC, la dirección IP, el puerto, o bien la dirección IP y el puerto. Es posible que
aparezca un menor número de opciones de filtro, en función de su producto firewall.
De forma predeterminada, la herramienta crea una regla que niega el tráfico entrante. Usted puede
modificar el comportamiento de la regla desactivando la entrada o Denegar casillas. Después de
crear una regla, utilice el botón Copiar para copiar, y luego ejecutarlo en su firewall para aplicar la
regla.