Administra tu Blog

¡Crea tu Blog Ya! Fácil y Gratis

23-02-2009 GTM 1

Seguridad y Redes: Wireshark. Detección de problemas en la red. Uso de IO Graph.

alfon @ 18:14

Seguimos añadiendo nuevos contenidos relacionados con Wireshark. En este caso nos centraremos en la detección de problemas en nuestra red, haciendo uso tanto del análisis de los paquetes como de herramientas como del IO Graph en
http://seguridadyredes.nireblog.com

Wireshark IO Graphs

Una de la aplicaciones más importantes de Tshark / Wireshark es el análisis de nuestras conexiones en busca de posibles problemas en la transmisión de paquetes. La pérdida de paquetes y/o conexión es una de estas anomalías:

Ocurre, en ocasiones, que cuando analizamos los paquetes capturados en una sesión Wireshark / Tshark, nos encontramos una serie de errores que por su número y/o descripción parece que tenemos un problema grave en un host o en la red:

Ya hemos visto cómo detectar algunos errores en nestra red usando Wireshark y algunos conceptos como ACKs duplicados, segmentos fuera de orden, Retransmisiones, Retransmisiones rápidas, etc. Ahora vamos a ver estos mismos conceptos usando la herramienta IO Graph de Wireshark y cómo relacionarlos:

Tags:

Categorías : seguridad | software |
MeneameMeneame | del.icio.us

Comentarios(20) »

    [ "Age quod agis et bene agis" - Hagas lo que hagas hazlo bien ]

  • maty — 24-02-2009 - 10:05:01 GMT 1

    Xavier Caballé Eina: sslstrip

    ...eina que segresta el tràfic HTTP d'una xarxa, identifica els enllaços i redireccions HTTPS i ofereix una mostra de com realitzar atacs "man-in-the-middle" en les connexions SSL

    Xavier Caballé pcapr, repositori de captures de tràfic de xarxa

    Permet recollir, compartir, marcar i cercar dins de les captures de tràfic i, amb els resultats, construir, reescriure i crear fluxos de tràfic, extreure contingut, fragmentar paquets i convertir qualsevol dels paquets en un autèntic generador de DDoS...

    Xavier Caballé OpenSSH 5.2

    * Canvi del mètode de xifrat per defecte per tal de preferir la modalitat CRT d'AES i la modalitat arcfour256 enlloc de CBC, que són vulnerables a l'atac anomenat "plaintext recovery attack against SSH"...

  • alfon — 24-02-2009 - 12:08:13 GMT 1

    Siguiendo la reseña sobre Emails cifrados en Windows de Kritópolis, vamos a recordar algunos artículos sobre el mismo tema en la vieja Nautopía:

    Nautopia: Cifrado fuerte, PGP, GnuPG, cifrado en The BAT, etc.

  • maty — 24-02-2009 - 15:30:21 GMT 1

    Seguridad y Redes Wireshark básico. Expert infos y Expert info Composite.

    Vamos a estudiar en esta ocasión dos herramientas básicas de Wireshark: Expert Infos y Expert Info Composite. Herramientas con las que podemos ver un resumen de las anomalías, eventos de información y errores aparecidos durante una sesión de captura de funa forma clara y sencilla...

  • maty — 05-03-2009 - 12:37:08 GMT 1

    Seguridad y Redes Snort. Preprocesadores ( I ) Parte.

    Después de varios artículos sobre opciones de la reglas Snort, relacionadas con el contenido y no relacionadas con el contenido, hacemos un paréntesis para hablar de los proprocesadores.

    Los preprocesadores, básicamente, son unos módulos, añadidos o plugins que usa Snort para arreglar, rearmar, modificar tramas que vienen del decodificador de paquetes antes de que pasen por el motor de detección y las reglas. Pero donde se sitúan, como actúan, que preprocesadores tiene Snort y como funcionan....

    Cryptex Nagios version 3.1.0

    Comprehensive Network Monitoring
    - Windows
    - Linux/Unix
    - Routers, Switches, Firewalls
    - Printers
    - Services
    - Applications

    Immediate Awareness and Insight
    - Receive immediate notifications of problems via email, pager and cellphone
    - Multi-user notification escalation capabilities
    - See detailed status information through the Nagios web interface

    Reporting Options
    - SLA availability reports
    - Alert and notification history reports
    - Trending reports through integration with Cacti and RRD-based addons

    Customizable Code
    - Open Source Software
    - Full access to source code
    - Released under the GPL license

  • maty — 06-03-2009 - 13:55:28 GMT 1

    Seguridad y Redes Snort. Preprocesadores. frag3

    Este preprocesador sustituye a frag2. Es más rápido y sencillo en su funcionamiento interno.

    Frag3 tiene como objetivo principal la detección de evasión del IDS por fragmentación. Es decir, se encarga del reensamblaje de paquetes fragmentados para que al pasar al motor de detección se pueda comparar el contenido de los paquetes o payload con las reglas de detección de ataques. Reconstruye el flujo lógico de los datos...

  • Luis — 07-03-2009 - 13:53:38 GMT 1

    Hola. La combinación de un SO con una seguridad muy restrictiva con una máquina virtual con otro sistema prescindible y restaurable a un punto anterior, es segura?

  • maty — 09-03-2009 - 22:36:24 GMT 1

    Seguridad y Redes Wireshark / Tshark. TCP segment of a reassembled PDU

    Ya vimos algunos mensajes informativos o de error de Wireshark tales como Error TCP Bad Cheksum, TCP fast retransmission,  TCP Dup ACK, etc. Ahora vamos a ver otro muy común: TCP segment of a reassembled PDU, información que a muchos induce a pensar que existe algún error en la red o conexión...

  • maty — 16-06-2009 - 10:42:58 GMT 1

    FileHippo Wireshark 1.2.0

  • maty — 17-07-2009 - 14:43:08 GMT 1

    Nmap Nmap 5.00 Released

    Before we go into the detailed changes, here are the top 5 improvements in Nmap 5:

    1. The new Ncat tool aims to be your Swiss Army Knife for data transfer, redirection, and debugging. We released a whole users' guide detailing security testing and network administration tasks made easy with Ncat.
    2. The addition of the Ndiff scan comparison tool completes Nmap's growth into a whole suite of applications which work together to serve network administrators and security practitioners. Ndiff makes it easy to automatically scan your network daily and report on any changes (systems coming up or going down or changes to the software services they are running). The other two tools now packaged with Nmap itself are Ncat and the much improved Zenmap GUI and results viewer.
    3. Nmap performance has improved dramatically. We spent last summer scanning much of the Internet and merging that data with internal enterprise scan logs to determine the most commonly open ports. This allows Nmap to scan fewer ports by default while finding more open ports. We also added a fixed-rate scan engine so you can bypass Nmap's congestion control algorithms and scan at exactly the rate (packets per second) you specify.
    4. We released Nmap Network Scanning, the official Nmap guide to network discovery and security scanning. From explaining port scanning basics for novices to detailing low-level packet crafting methods used by advanced hackers, this book suits all levels of security and networking professionals. A 42-page reference guide documents every Nmap feature and option, while the rest of the book demonstrates how to apply those features to quickly solve real-world tasks. More than half the book is available in the free online edition.
    5. The Nmap Scripting Engine (NSE) is one of Nmap's most powerful and flexible features. It allows users to write (and share) simple scripts to automate a wide variety of networking tasks. Those scripts are then executed in parallel with the speed and efficiency you expect from Nmap. All existing scripts have been improved, and 32 new ones added. New scripts include a whole bunch of MSRPC/NetBIOS attacks, queries, and vulnerability probes; open proxy detection; whois and AS number lookup queries; brute force attack scripts against the SNMP and POP3 protocols; and many more. All NSE scripts and modules are described in the new NSE documentation portal...

  • maty — 21-07-2009 - 09:37:43 GMT 1

    Wireshark.org Wireshark 1.2.1 Released

    Several security-related bugs have been fixed. See the advisory for details.

    Many other bugs have been fixed, including a bug that prevents startup in some cases on Windows.

    For a complete list of changes, please refer to the 1.2.1 release notes...

  • maty — 20-10-2009 - 11:05:21 GMT 1

    Seguridad y Redes Wireshark / Tshark. Análisis protocolo FTP.

  • maty — 21-10-2009 - 08:48:57 GMT 1

    Seguridad y Redes Wireshark / Tshark. Capturar el tráfico de red de forma remota. RPCAPD.

    En este artículo vamos a ver otra forma de capturar el tráfico de red. Acostumbrados a usar Wireshark / Tshark o cualquier otro software de captura en modo local o usando archivos de captura .pcap, veremos que también podemos conectar nuestro Wireshark o Tshark a un interfaz de red remoto. Esto último usando una utilidad contenida en Winpcap llamada RPCAPD...

  • maty — 26-10-2009 - 11:34:38 GMT 1

    Seguridad y Redes Wireshark. Usando múltiples archivos de captura.

  • maty — 27-10-2009 - 13:51:35 GMT 1

    Seguridad y Redes Wireshark. Estadísticas y GeoIP.

    GeoIP es un recurso que nos sirve para, a partir de una determinada IP, saber la ubicación geográfica correspondiente. Podemos usar GeoIP con ASP, con APIs, puede integrarse en un Web Server, etc. Pero lo más importante para nosotros es su integración con Wireshark. Para ello usaremos la versión gratuíta GeoLite...

  • maty — 28-10-2009 - 13:49:50 GMT 1

    Seguridad y Redes Wireshark / Tshark. Filtros GeoIP.

    En el anterior artículo dedicado a Wireshark y GeoIP / GeoLite , tratamos la geolocalización a partir de una determinada IP, mostrantdo datos como Paises, Ciudades, Longitud y Latitud, etc, en las estadísticas. Ahora, veremos como Wireshark y Tshark disponen de una serie de Filtros de visualización ( Display Filters ) para GeoIP...

  • maty — 29-10-2009 - 13:12:38 GMT 1

    Seguridad y Redes Wireshark. Analizando eventos SMB / CIFS - NetBIOS. Parte 1.

    Ya vimos en el artículo Tshark. Detectando borrado de archivos de la red y otros eventos., algunos eventos SMB a través de Wireshark, tales como borrado de archivos y toda la información que se podía extraer capturando sesiones SMB, etc. A petición de lectores que me piden este artículo usando Wireshark en vez de Tshark, aprovecho, también, para explicar y avanzar un poco más en los protocolos SMB, CIFS Y NETBIOS...

  • maty — 03-11-2009 - 18:06:06 GMT 1

    Seguridad y Redes Wireshark. Analizando eventos SMB / CIFS - NetBIOS. Parte 2.

    Seguimos avanzando en el análisis de eventos SMB / CIFS y NETBIOS. Ya vimos en la primera parte de esta serie (Wireshark. Analizando eventos SMB / CIFS - NetBIOS. Parte 1.) algunos eventos SMB, a través de Wireshark, involucrados en una conexión de un host a otro para usar un  determinado recurso compartido. En el primer artículo nos centramos en la petición de resolución de nombre de host mediante Name query NB. En esta segunda parte la dedicaremos a la respuesta Name query response NB...

  • maty — 05-11-2009 - 12:06:29 GMT 1

    Seguridad y Redes Wireshark / Windump. Análisis capturas tráfico red. Interpretación Datagrama IP. (Actualización).

    Ya vimos en el capítulo Análisis capturas tráfico red. Interpretación Datagrama IP. (Parte I) los campos contenidos en la cabecera de un datagrama IP.

    Ante la petición de aclaración y mejor explicación de estos conceptos en comentarios y algún correo, paso a actualizar el mencionado artículo, avanzar y explicar mejor todos los conceptos involucrados...

  • maty — 16-11-2009 - 17:27:24 GMT 1

    Seguridad y Redes Wireshark. Analizando eventos SMB / CIFS - NetBIOS. Parte 3.

    En los dos primeros capítulos de esta serie dedicada a los eventos SMB / CIFS - NETBIOS, hemos visto los mensajes del tipo  Name query NB y Name query response NB.

    En esta tercera parte nos centraremos en los pasos previos a Negotiate protocol Request y Negotiate protocol Response. Estos pasos previos son, primero:

    • Echo ping request
    • Echo ping reply

  • maty — 17-11-2009 - 13:05:45 GMT 1

    Seguridad y Redes Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1

    Es decir, que en principio, descifrar una conversación Skype es algo prácticamente imposible. Además, el software o protocolo de seguridad de Skype es propietario, cerrado y secreto.

    En este artículo nos centraremos en como bloquear el uso de este software. Eso sí, haciendo uso de las herramientas de captura de tráfico como Wireshark, y Snort en todo lo que nos sea posible. Además no servirá para bloquear otros tipos de tráfico usando la misma "técnica"...

TrackBack URI

Dejar un Comentario


<a href> <em> <blockquote> <strong> <cite> <code> <ul> <li> <dl> <dt> <dd>