Pages

Ads 468x60px

miércoles, 12 de diciembre de 2012

Toma de contacto con Wireshark II de II

------------------------------------------------------
------------------------------------------------------



Retomando el tema de Wireshark, en esta entrada voy a hacer mas lo menos lo mismo para que sea mas ameno. Primero algo de "teoría" y luego vemos un par de ejemplos. Comencemos pues.

Algo de lo que no hable en la primera entrada y que quizá debí hacer, es hablar algo mas sobre Wireshark. Vamos a ver un poco la estructura de este programa.


Imagen del documento: Análisis de tráfico con Wireshark de Inteco


La primera parte (1, en negro) es donde se definen los filtros y donde nos permite hacer búsquedas para ver los protocolos o paquetes que nos interesen.

La segunda parte (2, en rojo) es donde se realiza la captura de paquetes en tiempo real.

La tercera parte (3, en azul) es la que nos permite ver por capas las cabeceras de los paquetes seleccionados en la parte anterior.

La cuarta parte (4, en naranja) vemos en hexadecimal el paquete tal y como lo captura la tarjeta de red.

Hay que tener en cuenta que, obviamente, esto no es todo,  ni mucho menos. Es muy importante conocer a fondo el programa, ver que hay detrás de cada menú y ver que hace cada opción. Pero ese ya es trabajo vuestro xD.

Como dije en la primera entrada, uno de los usos que podemos darle a Wireshark, es ver porque se pierde la conexión o porque se ve reducida la tasa de transferencia.
Para ver esto, debemos fijarnos en los paquetes ICMP (protocolo de mensajes de control de Internet  mas en wikipedia)

Vamos con un ejemplo:
Abrimos Wireshark, nos vamos a "capture"->"options" y desmarcamos las 2 casillas que se ven en la siguiente imagen.



y a continuación le damos a "start".
Abro un "CMD" y escribo: ping -n 10 direccion_ip y a continuación hago un "tracert dominio".





En la parte del "tracert" vemos que hay "problemas". Veamos la parte del Wireshark.





En la parte del protocolo, vemos que hace referencia a ICMP y que hay algunos problemas. Si vamos a "analyze" -> "expert infos" y a la pestaña "details" veremos esto:




*Nota: El "expert infos" es un registro de las anomalías encontradas por Wireshark en un archivo de captura. La idea es tener una mejor visualización de lo que esta pasando en la red.

La forma de interpretarlo es la siguiente:


Cada información tiene un nivel de gravedad específica. Los siguientes niveles de gravedad que se utilizan son:

Chat (gris): información sobre el flujo de trabajo habitual, por ejemplo, un paquete TCP con el flag SYN.

Nota (azul): algo destacable, por ejemplo, una aplicación que ha devuelto un código común de error HTTP 404.

Advertencia (amarillo): indica una advertencia, por ejemplo, la aplicación ha devuelto un "inusual" código de error, como un problema de conexión. Podría ser un posible ataque, así que, hay que prestar especial atención a estos.

Error (rojo): problema grave, por ejemplo, paquete  incorrecto.



También nos encontramos los grupos siguientes:

Checksum: una suma de comprobación no es válida.

Secuencia: secuencias de protocolo sospechosas como, por ejemplo, que el número de secuencia no es continuo o se ha detectado una retransmisión.

Código de Respuesta: problemas con códigos de respuesta de aplicaciones, por ejemplo, la respuesta "HTTP 404 Página no encontrada".

Código de petición: una petición a un aplicación. Por ejemplo, "File Handle == x)". Normalmente se mostrará con criticidad de Chat.

Sin decodificar: disección incompleta o los datos no se pueden decodificar por otros motivos.

Ensamblado: problemas en el reensamblado. Por ejemplo, no se cuenta con todos los fragmentos u ocurrió una excepción durante el proceso.

Protocolo: violación de las especificaciones del protocolo como, por ejemplo, los valores de campo son inválidos o las longitudes ilegales.

Mal formados: paquetes mal formados o en el análisis se produjo un error que produjo que se abortara el análisis.


Y hasta aquí, la entrada xD.

Cabe destacar que incluso podemos usar otros programas para complementar a Wireshark, como por ejemplo Snort, Ettercap (aunque algunos dicen que es muy viejo, como yo) y Metasploit, entre otros.

Espero que os sirva de ayuda.

**Realizado siguiendo varios manuales, entre ellos el del propio Wireshark.
Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates