Wireshark es un potente analizador de red que se puede utilizar para analizar el tráfico que pasa a través de la interfaz de red de su computadora. Es posible que lo necesite para detectar y resolver problemas de red, depurar sus aplicaciones web, programas o sitios de red. Wireshark le permite ver completamente el contenido de un paquete en todos los niveles, para que pueda comprender mejor cómo funciona la red en un nivel bajo.
Todos los paquetes se capturan en tiempo real y se proporcionan en un formato fácil de leer. El programa admite un sistema de filtrado muy potente, resaltado de colores y otras funciones que le ayudarán a encontrar los paquetes adecuados. En este tutorial, veremos cómo utilizar Wireshark para analizar el tráfico. Recientemente, los desarrolladores comenzaron a trabajar en la segunda rama del programa Wireshark 2.0, se le realizaron muchos cambios y mejoras, especialmente en la interfaz. Esto es lo que usaremos en este artículo.
Antes de pasar a considerar formas de analizar el tráfico, es necesario considerar con más detalle qué funciones admite el programa, con qué protocolos puede trabajar y qué puede hacer. Estas son las características principales del programa:
- Capture paquetes en tiempo real desde interfaces de red cableadas o de cualquier otro tipo, así como lea desde un archivo;
- Se admiten las siguientes interfaces de captura: Ethernet, IEEE 802.11, PPP e interfaces virtuales locales;
- Los paquetes se pueden filtrar según muchos parámetros mediante filtros;
- Todos los protocolos conocidos están resaltados en la lista con diferentes colores, por ejemplo TCP, HTTP, FTP, DNS, ICMP, etc.
- Soporte para capturar tráfico de llamadas VoIP;
- Se admite el descifrado del tráfico HTTPS si hay un certificado disponible;
- Descifrado de tráfico WEP y WPA de redes inalámbricas mediante clave y protocolo de enlace;
- Mostrar estadísticas de carga de la red;
- Ver el contenido del paquete para todas las capas de la red;
- Muestra la hora de envío y recepción de paquetes.
El programa tiene muchas otras características, pero estas fueron las principales que podrían interesarte.
Cómo utilizar Wireshark
Supongo que ya tienes el programa instalado, pero si no, puedes instalarlo desde los repositorios oficiales. Para hacer esto, escriba el comando en Ubuntu:
sudo apto instalar wireshark
Después de la instalación, puedes encontrar el programa en el menú principal de la distribución. Debe ejecutar Wireshark con derechos de superusuario, porque de lo contrario no podrá analizar los paquetes de red. Esto se puede hacer desde el menú principal o mediante la terminal usando el comando para KDE:
Y para Gnome/Unity:
La ventana principal del programa se divide en tres partes: la primera columna contiene una lista de interfaces de red disponibles para el análisis, la segunda, opciones para abrir archivos y la tercera, ayuda.
Análisis del tráfico de red.
Para iniciar el análisis, seleccione una interfaz de red, por ejemplo eth0, y haga clic en el botón Comenzar.
Luego de esto se abrirá la siguiente ventana, ya con un flujo de paquetes que pasan por la interfaz. Esta ventana también se divide en varias partes:
- Parte superior- se trata de menús y paneles con varios botones;
- Lista de paquetes- luego se muestra el flujo de paquetes de red que analizará;
- contenidos del paquete- justo debajo está el contenido del paquete seleccionado, dividido en categorías según el nivel de transporte;
- Rendimiento real- en la parte inferior se muestra el contenido del paquete en formato real y también en formato HEX.
Puede hacer clic en cualquier paquete para analizar su contenido:
Aquí vemos un paquete de solicitud DNS para obtener la dirección IP del sitio, en la solicitud misma se envía el dominio y en el paquete de respuesta recibimos nuestra pregunta y la respuesta.
Para una visualización más cómoda, puede abrir el paquete en una nueva ventana haciendo doble clic en la entrada:
Filtros Wireshark
Revisar manualmente los paquetes para encontrar los que necesita es muy inconveniente, especialmente con un hilo activo. Por tanto, para esta tarea es mejor utilizar filtros. Hay una línea especial debajo del menú para ingresar filtros. Puedes hacer clic Expresión para abrir el diseñador de filtros, pero hay muchos, así que veremos los más básicos:
- ip.dst- dirección IP de destino;
- ip.src- dirección IP del remitente;
- dirección.ip- IP del remitente o destinatario;
- protocolo ip- protocolo;
- tcp.dstport- Puerto de destino;
- tcp.srcport- puerto del remitente;
- ip.ttl- Filtro TTL, determina la distancia de la red;
- http.request_uri- la dirección del sitio solicitado.
Para especificar la relación entre un campo y un valor en un filtro, puede utilizar los siguientes operadores:
- == - es igual;
- != - no es igual;
- < - menos;
- > - más;
- <= - menor o igual;
- >= - más o igual;
- partidos- expresión regular;
- contiene- contiene.
Para combinar múltiples expresiones puedes usar:
- && - ambas expresiones deben ser verdaderas para el paquete;
- || - una de las expresiones puede ser cierta.
Ahora echemos un vistazo más de cerca a varios filtros usando ejemplos e intentemos comprender todos los signos de una relación.
Primero, filtremos todos los paquetes enviados a 194.67.215. Escriba una cadena en el campo de filtro y haga clic en Aplicar. Para mayor comodidad, los filtros de Wireshark se pueden guardar usando el botón Ahorrar:
ip.dst == 194.67.215.125
Y para recibir no solo los paquetes enviados, sino también los recibidos en respuesta de este nodo, puedes combinar dos condiciones:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
También podemos seleccionar archivos grandes transferidos:
http.content_length > 5000
Al filtrar el tipo de contenido, podemos seleccionar todas las imágenes que se han subido; Analicemos el tráfico de Wireshark, paquetes que contienen la palabra imagen:
http.content_type contiene una imagen
Para borrar el filtro, puede presionar el botón Claro. Sucede que no siempre conoces toda la información necesaria para filtrar, sino que solo quieres explorar la red. Puede agregar cualquier campo de un paquete como columna y ver su contenido en la ventana general de cada paquete.
Por ejemplo, quiero mostrar el TTL (tiempo de vida) de un paquete como una columna. Para hacer esto, abra la información del paquete, busque este campo en la sección IP. Luego llame al menú contextual y seleccione la opción Aplicar como columna:
De la misma forma, puedes crear un filtro basado en cualquier campo deseado. Selecciónelo y abra el menú contextual, luego haga clic en Aplicar como filtro o Preparar como filtro, luego seleccione Seleccionado para mostrar sólo los valores seleccionados, o No seleccionado para eliminarlos:
Se aplicará el campo especificado y su valor o, en el segundo caso, se insertará en el campo de filtro:
De esta forma, puedes agregar un campo de cualquier paquete o columna al filtro. También existe esta opción en el menú contextual. Para filtrar protocolos, puede utilizar condiciones más simples. Por ejemplo, analicemos el tráfico de Wireshark para los protocolos HTTP y DNS:
Otra característica interesante del programa es el uso de Wireshark para rastrear una sesión específica entre la computadora del usuario y el servidor. Para hacer esto, abra el menú contextual del paquete y seleccione Seguir el flujo TCP.
Se abrirá entonces una ventana en la que encontrarás todos los datos transferidos entre el servidor y el cliente:
Diagnóstico de problemas de Wireshark
Quizás se pregunte cómo utilizar Wireshark 2.0 para detectar problemas en su red. Para hacer esto, hay un botón redondo en la esquina inferior izquierda de la ventana; cuando haces clic en él, se abre una ventana Herramientas expertas. En él, Wireshark recopila todos los mensajes de error y problemas de red:
La ventana está dividida en pestañas como Errores, Advertencias, Avisos, Chats. El programa puede filtrar y encontrar muchos problemas de red, y aquí podrás verlos muy rápidamente. Los filtros Wireshark también son compatibles aquí.
Análisis de tráfico de Wireshark
Puede comprender muy fácilmente qué descargaron los usuarios y qué archivos vieron si la conexión no estaba cifrada. El programa hace un muy buen trabajo extrayendo contenido.
Para hacer esto, primero debe detener la captura de tráfico usando el cuadrado rojo en el panel. Luego abre el menú Archivo -> Exportar objetos -> HTTP:
Olfateadores- estos son programas que interceptan
todo el tráfico de la red. Los rastreadores son útiles para el diagnóstico de red (para administradores) y
para interceptar contraseñas (está claro para quién :)). Por ejemplo, si obtuvo acceso a
una máquina de red e instalé un rastreador allí,
luego pronto todas las contraseñas de
sus subredes serán tuyas. Conjunto de rastreadores
tarjeta de red en escucha
modo (PROMISC), es decir, reciben todos los paquetes. Localmente puedes interceptar
todos los paquetes enviados desde todas las máquinas (si no está separado por ningún concentrador),
Entonces
¿Cómo se practica la radiodifusión allí?
Los rastreadores pueden interceptarlo todo
paquetes (lo cual es muy inconveniente, el archivo de registro se llena terriblemente rápido,
pero para un análisis de red más detallado es perfecto)
o sólo los primeros bytes de todo tipo de
ftp, telnet, pop3, etc. (Esta es la parte divertida, normalmente en los primeros 100 bytes).
contiene nombre de usuario y contraseña :)). Olfateadores ahora
divorciado... Hay muchos rastreadores
tanto en Unix como en Windows (incluso en DOS lo hay :)).
Los rastreadores pueden
solo admite un eje específico (por ejemplo, linux_sniffer.c, que
soporta Linux :)), o varios (por ejemplo Sniffit,
funciona con BSD, Linux, Solaris). Los rastreadores se han vuelto tan ricos porque
que las contraseñas se transmitan a través de la red en texto claro.
tales servicios
mucho. Estos son telnet, ftp, pop3, www, etc. Estos servicios
usa mucho
gente :). Después del boom de los sniffer, varios
algoritmos
cifrado de estos protocolos. Apareció SSH (una alternativa
soporte telnet
cifrado), SSL (Secure Socket Layer, un desarrollo de Netscape que puede cifrar
sesión www). Todo tipo de Kerberous, VPN (Virtual Private
Red). Se utilizaron algunos AntiSniffs, ifstatus, etc. Pero esto fundamentalmente no es
cambió la situación. Servicios que utilizan
pasar la contraseña usando texto plano
se aprovechan al máximo :). Por lo tanto, estarán olfateando durante mucho tiempo :).
Implementaciones de sniffer de Windows
linsniffer
Este es un rastreador sencillo de interceptar.
inicios de sesión/contraseñas. Compilación estándar (gcc -o linsniffer
linsniffer.c).
Los registros se escriben en tcp.log.
linux_sniffer
linux_sniffer
requerido cuando quieras
Estudie la red en detalle. Estándar
Compilacion. Da todo tipo de basura extra,
como is, ack, syn, echo_request (ping), etc.
Huela esto
Sniffit - modelo avanzado
Sniffer escrito por Brecht Claerhout. Instalar (necesidad
libcap):
#./configurar
#hacer
Ahora lancemos
oledor:
#./huela esto
uso: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
puerto] [(-r|-R) archivo de registro]
[-l sniflen] [-L logparam] [-F snifdevice]
[Complemento -M]
[-D tty] (-t
(-yo|-yo) | -C
Complementos disponibles:
0 - ficticio
Enchufar
1 - Complemento DNS
Como puedes ver, sniffit soporta muchos
opciones. Puedes utilizar el sniffak de forma interactiva.
Aunque huele
Un programa bastante útil, pero no lo uso.
¿Por qué? Porque olfatear
Grandes problemas con la protección. Ya se han lanzado un root remoto y un dos para Sniffit
¡Linux y Debian! No todos los rastreadores se permiten hacer esto :).
CAZA
Este
mi olfateo favorito. Es muy fácil de usar,
apoya mucho genial
chips y actualmente no tiene problemas de seguridad.
Además no mucho
exigentes con las bibliotecas (como linsniffer y
Linux_sniffer). Él
puede interceptar conexiones actuales en tiempo real y
volcado limpio desde una terminal remota. EN
en general, secuestro
reglazz :). recomiendo
todos para un uso mejorado :).
Instalar:
#hacer
Correr:
#cazar -yo
LEERMB
El rastreador READSMB se corta de LophtCrack y se traslada a
Unix (por extraño que parezca :)). Readsmb intercepta SMB
paquetes.
TCPDUMP
tcpdump es un analizador de paquetes bastante conocido.
Escrito
persona aún más famosa: Van Jacobson, quien inventó la compresión VJ para
PPP y escribí un programa traceroute (¿y quién sabe qué más?).
Requiere una biblioteca
Libcap.
Instalar:
#./configurar
#hacer
Ahora lancemos
su:
#tcpdump
tcpdump: escuchando en ppp0
Todas sus conexiones se muestran en
Terminal. Aquí hay un ejemplo de salida de ping.
ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.dominio: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.dominio > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: eco
pedido
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: eco
responder
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: eco
pedido
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: eco
responder
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: eco
pedido
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: eco
responder
En general, sniff es útil para depurar redes,
solución de problemas y
etc.
Dsniff
Dsniff requiere libpcap, ibnet,
libnids y OpenSSH. Los registros solo ingresan comandos, lo cual es muy conveniente.
A continuación se muestra un ejemplo de un registro de conexión.
en unix-shells.com:
02/18/01
03:58:04 tcp mi.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
es
persona con discapacidad
OMS
último
salida
Aquí
dsniff interceptó el nombre de usuario y la contraseña (stalsen/asdqwe123).
Instalar:
#./configurar
#hacer
#hacer
instalar
Protección contra rastreadores
La forma más segura de protegerse contra
rastreadores -
use CIFRADO (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL, etc.). Bien
y si no desea renunciar a los servicios de texto sin formato e instalar servicios adicionales
paquetes :)? Entonces es hora de usar paquetes anti-rastreadores...
Antisniff para Windows
Este producto fue lanzado por un grupo famoso.
Desván. Fue el primer producto de este tipo.
AntiSniff como se indica en
Descripción:
"AntiSniff es una herramienta impulsada por una interfaz gráfica de usuario (GUI) para
detectar tarjetas de interfaz de red (NIC) promiscuas en su red local
segmento". En general, atrapa cartas en modo promisco.
Soporta enormes
número de pruebas (prueba DNS, prueba ARP, prueba de ping, delta de tiempo ICMP)
Prueba, prueba de eco, prueba de PingDrop). Se puede escanear como un coche,
y la grilla. Hay
soporte de registro. AntiSniff funciona en win95/98/NT/2000,
aunque recomendado
Plataforma NT. Pero su reinado duró poco y pronto
En ese momento apareció un rastreador llamado AntiAntiSniffer :),
escrito por mike
Perry (Mike Perry) (puede encontrarlo en www.void.ru/news/9908/snoof.txt).
basado en LinSniffer (que se analiza a continuación).
Detección del rastreador de Unix:
Oledor
se puede encontrar con el comando:
#ifconfig-a
lo Encapsulación de enlace:Local
Bucle invertido
Dirección Internet: 127.0.0.1 Máscara: 255.0.0.0
ARRIBA.
BUCLE EN EJECUCIÓN MTU:3924 Métrica:1
Paquetes RX: 2373 errores: 0
eliminado: 0 excesos: 0 fotograma: 0
Paquetes TX: 2373 errores: 0 descartados: 0
sobrecostos:0 transportista:0
colisiones:0 txqueuelen:0
Enlace ppp0
encap: protocolo punto a punto
dirección de Internet: 195.170.y.x
P-t-P:195.170.y.x Máscara:255.255.255.255
PROMISCO DE PUNTO ARRIBA
EJECUTANDO NOARP MULTICAST MTU:1500 Métrica:1
Paquetes RX: 3281
errores: 74 descartados: 0 desbordamientos: 0 fotograma: 74
Paquetes TX: 3398 errores: 0
caído: 0 excesos: 0 transportista: 0
colisiones:0 txqueuelen:10
Cómo
verá que la interfaz ppp0 está en modo PROMISC. Cualquiera de los operadores
subido sniff para
comprobaciones de red, o ya te tienen... Pero recuerda,
que ifconfig se puede hacer de forma segura
parodia, así que utiliza el cable trampa para detectar
cambios y todo tipo de programas
para comprobar si hay olfateos.
AntiSniff para Unix.
Trabaja para
BSD, Solaris y
Linux. Soporta prueba de tiempo ping/icmp, prueba arp, prueba de eco, dns
prueba, prueba de etherping, en general un análogo de AntiSniff para Win, solo para
Unix:).
Instalar:
#hacer Linux-todo
Centinela
También es un programa útil para
atrapar olfateadores. Soporta muchas pruebas.
Facil de
usar.
Instalar: #make
#./centinela
./centinela [-t
Métodos:
[ -una prueba ARP ]
[ -d prueba de DNS
]
[ -i Prueba de latencia de ping ICMP ]
[ -e Prueba de etherping ICMP
]
Opciones:
[-f
[ -v Mostrar versión y
salida ]
[ -norte
[ -I
]
Las opciones son tan simples que no
comentarios.
MÁS
Aquí hay algunos más
utilidades para verificar su red (por
Unix):
packagestorm.securify.com/UNIX/IDS/scanpromisc.c -remoto
Detector de modo PROMISC para tarjetas ethernet (para red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Detector de red Ethernet promiscua (requiere libcap y Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- escanea los dispositivos del sistema para detectar olfateos.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
— ifstatus prueba las interfaces de red en modo PROMISC.
Los analizadores de paquetes de red, o rastreadores, se desarrollaron originalmente como un medio para resolver problemas de red. Son capaces de interceptar, interpretar y almacenar paquetes transmitidos a través de la red para su posterior análisis. Por un lado, esto permite a los administradores de sistemas y a los ingenieros de soporte técnico observar cómo se transfieren los datos a través de la red, diagnosticar y solucionar los problemas que surjan. En este sentido, los rastreadores de paquetes son una poderosa herramienta para diagnosticar problemas de red. Por otro lado, como muchas otras herramientas poderosas que originalmente estaban destinadas a la administración, con el tiempo, los rastreadores comenzaron a usarse para propósitos completamente diferentes. De hecho, un rastreador en manos de un atacante es una herramienta bastante peligrosa y puede utilizarse para obtener contraseñas y otra información confidencial. Sin embargo, no debe pensar que los rastreadores son una especie de herramienta mágica a través de la cual cualquier pirata informático puede ver fácilmente información confidencial transmitida a través de la red. Y antes de demostrar que el peligro que representan los rastreadores no es tan grande como suele creerse, consideremos con más detalle los principios de su funcionamiento.
Principios operativos de los rastreadores de paquetes
Más adelante en este artículo consideraremos únicamente rastreadores de software diseñados para redes Ethernet. Un rastreador es un programa que opera en el nivel del adaptador de red NIC (tarjeta de interfaz de red) (capa de enlace) e intercepta en secreto todo el tráfico. Debido a que los rastreadores operan en la capa de enlace de datos del modelo OSI, no tienen que seguir las reglas de los protocolos de capa superior. Los rastreadores evitan los mecanismos de filtrado (direcciones, puertos, etc.) que los controladores Ethernet y la pila TCP/IP utilizan para interpretar los datos. Los rastreadores de paquetes capturan del cable todo lo que pasa a través de él. Los rastreadores pueden almacenar fotogramas en formato binario y luego descifrarlos para revelar información de nivel superior oculta en su interior (Figura 1).
Para que el rastreador capture todos los paquetes que pasan a través del adaptador de red, el controlador del adaptador de red debe admitir el modo promiscuo. Es en este modo de funcionamiento del adaptador de red que el rastreador puede interceptar todos los paquetes. Este modo de funcionamiento del adaptador de red se activa automáticamente cuando se inicia el rastreador o se configura manualmente mediante la configuración correspondiente del rastreador.
Todo el tráfico interceptado pasa a un decodificador de paquetes, que identifica y divide los paquetes en los niveles jerárquicos apropiados. Dependiendo de las capacidades de un rastreador en particular, la información del paquete proporcionado se puede analizar y filtrar posteriormente.
Limitaciones del uso de rastreadores
Los rastreadores representaban el mayor peligro en aquellos días en que la información se transmitía a través de la red en texto claro (sin cifrado) y las redes locales se construían sobre la base de concentradores (hubs). Sin embargo, esos días quedaron atrás para siempre y hoy en día utilizar rastreadores para obtener acceso a información confidencial no es una tarea fácil.
El hecho es que al construir redes locales basadas en concentradores, existe un determinado medio de transmisión de datos común (cable de red) y todos los nodos de la red intercambian paquetes, compitiendo por el acceso a este medio (Fig.2), y un paquete enviado por una red. El nodo se transmite a todos los puertos del hub y este paquete es escuchado por todos los demás nodos de la red, pero sólo el nodo al que está dirigido lo recibe. Además, si se instala un rastreador de paquetes en uno de los nodos de la red, puede interceptar todos los paquetes de red relacionados con un segmento de red determinado (la red formada por el concentrador).
Los conmutadores son dispositivos más inteligentes que los centros de transmisión y aíslan el tráfico de red. El conmutador conoce las direcciones de los dispositivos conectados a cada puerto y transmite paquetes solo entre los puertos necesarios. Esto le permite descargar otros puertos sin tener que reenviarles todos los paquetes, como lo hace un concentrador. Por lo tanto, un paquete enviado por un determinado nodo de la red se transmite solo al puerto del conmutador al que está conectado el destinatario del paquete, y todos los demás nodos de la red no pueden detectar este paquete (Fig. 3).
Por lo tanto, si la red está construida sobre la base de un conmutador, entonces un rastreador instalado en una de las computadoras de la red es capaz de interceptar solo aquellos paquetes que se intercambian entre esta computadora y otros nodos de la red. Como resultado, para poder interceptar paquetes que la computadora o el servidor de interés para el atacante intercambia con otros nodos de la red, es necesario instalar un rastreador en esta computadora (servidor) en particular, lo cual en realidad no es tan simple. Sin embargo, debes tener en cuenta que algunos rastreadores de paquetes se inician desde la línea de comandos y es posible que no tengan una interfaz gráfica. Estos rastreadores, en principio, pueden instalarse y ejecutarse de forma remota y pasar desapercibidos para el usuario.
Además, también debe tener en cuenta que, si bien los conmutadores aíslan el tráfico de red, todos los conmutadores administrados tienen funcionalidad de reenvío de puertos o duplicación de puertos. Es decir, el puerto del conmutador se puede configurar de tal manera que todos los paquetes que lleguen a otros puertos del conmutador se dupliquen en él. Si en este caso se conecta una computadora con un rastreador de paquetes a dicho puerto, entonces puede interceptar todos los paquetes intercambiados entre computadoras en un segmento de red determinado. Sin embargo, como regla general, la capacidad de configurar el conmutador solo está disponible para el administrador de la red. Esto, por supuesto, no significa que no pueda ser un atacante, pero un administrador de red tiene muchas otras formas de controlar a todos los usuarios de la red local, y es poco probable que lo monitoree de una manera tan sofisticada.
Otra razón por la que los rastreadores ya no son tan peligrosos como antes es que la mayoría de los datos confidenciales ahora se transmiten cifrados. Los servicios abiertos y no cifrados están desapareciendo rápidamente de Internet. Por ejemplo, al visitar sitios web se utiliza cada vez más el protocolo SSL (Secure Sockets Layer); Se utiliza SFTP (FTP seguro) en lugar de FTP abierto, y las redes privadas virtuales (VPN) se utilizan cada vez más para otros servicios que no utilizan cifrado de forma predeterminada.
Por lo tanto, aquellos preocupados por el potencial de uso malicioso de los rastreadores de paquetes deben tener en cuenta lo siguiente. En primer lugar, para representar una amenaza grave para su red, los rastreadores deben estar ubicados dentro de la propia red. En segundo lugar, los estándares de cifrado actuales hacen que sea extremadamente difícil interceptar información confidencial. Por lo tanto, en la actualidad, los rastreadores de paquetes están perdiendo gradualmente su relevancia como herramientas de piratería, pero al mismo tiempo siguen siendo una herramienta eficaz y poderosa para diagnosticar redes. Además, los rastreadores se pueden utilizar con éxito no sólo para diagnosticar y localizar problemas de red, sino también para auditar la seguridad de la red. En particular, el uso de analizadores de paquetes le permite detectar tráfico no autorizado, detectar e identificar software no autorizado, identificar protocolos no utilizados para eliminarlos de la red, generar tráfico para pruebas de penetración (prueba de penetración) para verificar el sistema de seguridad, trabajar con sistemas de detección de intrusiones (Sistema de detección de intrusiones (IDS).
Descripción general de los rastreadores de paquetes de software
Todos los rastreadores de software se pueden dividir en dos categorías: rastreadores que admiten el inicio desde la línea de comandos y rastreadores que tienen una interfaz gráfica. Sin embargo, observamos que existen rastreadores que combinan ambas capacidades. Además, los rastreadores se diferencian entre sí por los protocolos que admiten, la profundidad del análisis de los paquetes interceptados, la capacidad de configurar filtros y la posibilidad de compatibilidad con otros programas.
Normalmente, la ventana de cualquier sniffer con interfaz gráfica consta de tres áreas. El primero de ellos muestra los datos resumidos de los paquetes interceptados. Normalmente, esta área muestra un mínimo de campos, a saber: tiempo de interceptación de paquetes; Direcciones IP del remitente y del destinatario del paquete; Direcciones MAC del remitente y del destinatario del paquete, direcciones de los puertos de origen y destino; tipo de protocolo (red, transporte o capa de aplicación); alguna información resumida sobre los datos interceptados. La segunda área muestra información estadística sobre el paquete individual seleccionado y, finalmente, la tercera área muestra el paquete en forma de caracteres hexadecimales o ASCII.
Casi todos los rastreadores de paquetes le permiten analizar paquetes decodificados (razón por la cual los rastreadores de paquetes también se denominan analizadores de paquetes o analizadores de protocolos). El rastreador distribuye los paquetes interceptados entre capas y protocolos. Algunos rastreadores de paquetes son capaces de reconocer el protocolo y mostrar la información capturada. Este tipo de información suele mostrarse en la segunda área de la ventana del sniffer. Por ejemplo, cualquier rastreador puede reconocer el protocolo TCP y los rastreadores avanzados pueden determinar qué aplicación generó este tráfico. La mayoría de los analizadores de protocolos reconocen más de 500 protocolos diferentes y pueden describirlos y decodificarlos por su nombre. Cuanta más información pueda decodificar un rastreador y mostrar en la pantalla, menos será necesario decodificar manualmente.
Un problema que pueden encontrar los rastreadores de paquetes es la incapacidad de identificar correctamente un protocolo utilizando un puerto distinto del puerto predeterminado. Por ejemplo, para mejorar la seguridad, algunas aplicaciones conocidas pueden configurarse para utilizar puertos distintos de los predeterminados. Entonces, en lugar del tradicional puerto 80, reservado para el servidor web, este servidor se puede reconfigurar a la fuerza al puerto 8088 o cualquier otro. Algunos analizadores de paquetes en esta situación no pueden determinar correctamente el protocolo y solo muestran información sobre el protocolo de nivel inferior (TCP o UDP).
Hay rastreadores de software que vienen con módulos analíticos de software como complementos o módulos integrados que le permiten crear informes con información analítica útil sobre el tráfico interceptado.
Otro rasgo característico de la mayoría de los programas analizadores de paquetes es la capacidad de configurar filtros antes y después de capturar el tráfico. Los filtros seleccionan ciertos paquetes del tráfico general según un criterio determinado, lo que le permite deshacerse de información innecesaria al analizar el tráfico.
El análisis de tráfico es un proceso cuya importancia es conocida por cualquier profesional de TI, independientemente de si trabaja para una pequeña empresa o una gran corporación. Después de todo, identificar y corregir problemas de red es un verdadero arte, que depende directamente tanto del instinto del propio especialista como de la profundidad y calidad de los datos con los que opera. Y el analizador de tráfico es exactamente la herramienta que le proporciona estos datos. Una solución de análisis de tráfico de red bien elegida no sólo puede ayudarle a descubrir cómo se envían, reciben y transmiten de forma segura los paquetes a través de su red, sino que también puede hacer mucho, mucho más.
Actualmente existe en el mercado una gran cantidad de variaciones de software para analizar el tráfico de red. Es más, algunos de ellos son capaces de evocar recuerdos nostálgicos entre los especialistas de la “vieja escuela”; utilizan una fuente de terminal y una interfaz de línea de comandos y, a primera vista, parecen difíciles de usar. Otras soluciones, por el contrario, destacan por su facilidad de instalación y están dirigidas a un público con percepción visual (están literalmente sobresaturadas de diversos gráficos). El rango de precios de estas soluciones también difiere significativamente: desde soluciones gratuitas hasta soluciones con una licencia corporativa muy cara.
Para que usted, en función de sus tareas y preferencias, pueda elegir la mejor solución para analizar el tráfico de red, le presentamos una lista de los productos de software más interesantes disponibles actualmente en el mercado para el análisis de tráfico, así como una Breve descripción general de la funcionalidad integrada en ellos para extraer, procesar y presentar visualmente diversa información de la red. Algunas de estas funciones son similares para todas las soluciones para analizar el tráfico de red presentadas en esta revisión (le permiten ver los paquetes de red enviados y recibidos con uno u otro nivel de detalle), pero casi todas tienen algunas características que las hacen únicas. cuando se utiliza en determinadas aplicaciones, situaciones o entornos de red. En última instancia, recurrimos al análisis del tráfico de red cuando tenemos un problema de red, pero no podemos limitarlo rápidamente a una máquina, dispositivo o protocolo específico, y tenemos que realizar una búsqueda más profunda. Le ayudaremos a elegir la solución de software de análisis de tráfico más adecuada para estos fines.
Analizador de ancho de banda de red SolarWinds
El fabricante posiciona esta solución como un paquete de software de dos productos: Network Performance Monitor (solución básica) y NetFlow Traffic Analyzer (extensión modular). Como se indicó, tienen una funcionalidad similar, pero aún diferente, para analizar el tráfico de red, y se complementan cuando se usan dos productos juntos.
Network Performance Monitor, como su nombre indica, monitorea el rendimiento de la red y es una opción tentadora si desea obtener una descripción general de lo que sucede en su red. Al comprar esta solución, está pagando por la capacidad de monitorear el estado general de su red: basándose en una gran cantidad de estadísticas, como la velocidad y confiabilidad de la transmisión de datos y paquetes, en la mayoría de los casos podrá identificar rápidamente los problemas. en el funcionamiento de su red. Y las capacidades intelectuales avanzadas del programa para identificar problemas potenciales y las amplias capacidades para presentar visualmente los resultados en forma de tablas y gráficos con advertencias claras sobre posibles problemas harán que este trabajo sea aún más fácil.
La extensión modular NetFlow Traffic Analyzer está más centrada en analizar el tráfico en sí. Mientras que la funcionalidad de la solución de software básica Network Performance Monitor está más diseñada para proporcionar una descripción general del rendimiento de la red, NetFlow Traffic Analyzer se centra en un análisis más detallado de los procesos que ocurren en la red. En particular, esta parte del paquete de software analizará la congestión o los aumentos anormales en el ancho de banda y proporcionará estadísticas clasificadas por usuario, protocolo o aplicación. Tenga en cuenta que este programa sólo está disponible para el entorno Windows.
Wireshark
Es una herramienta relativamente nueva en la gran familia de soluciones de diagnóstico de redes, pero durante este tiempo ya se ha ganado el reconocimiento y el respeto de los profesionales de TI. WireShark hace un excelente trabajo analizando el tráfico y hace su trabajo perfectamente por usted. Los desarrolladores pudieron encontrar un punto medio entre los datos originales y la representación visual de estos datos, por lo que en WireShark no encontrará sesgos en una dirección u otra, que son comunes en la mayoría de las otras soluciones para analizar el tráfico de red. WireShark es simple, compatible y portátil. Con WireShark, obtienes exactamente lo que esperas y lo obtienes rápidamente.
WireShark tiene una excelente interfaz de usuario, muchas opciones de filtrado y clasificación y, como muchos de nosotros apreciaremos, el análisis de tráfico de WireShark funciona muy bien con cualquiera de las tres familias de sistemas operativos más populares: *NIX, Windows y macOS. Agregue a todo lo anterior el hecho de que WireShark es de código abierto y gratuito, y tendrá una excelente herramienta para diagnosticar rápidamente su red.
tcpdump
El analizador de tráfico tcpdump parece una especie de herramienta antigua y, para ser completamente honesto, en términos de funcionalidad también funciona. A pesar de que hace su trabajo y lo hace bien, utilizando la menor cantidad posible de recursos del sistema, a muchos especialistas modernos les resultará difícil comprender la gran cantidad de tablas "secas" con datos. Pero hay situaciones en la vida en las que el uso de soluciones de corte y que requieren un uso intensivo de recursos puede resultar útil. En algunos entornos o en PC de bajo rendimiento, el minimalismo puede ser la única opción viable.
La solución de software tcpdump se desarrolló originalmente para el entorno *NIX, pero actualmente también funciona con varios puertos de Windows. Tiene todas las funciones básicas que esperarías ver en cualquier analizador de tráfico (captura, grabación, etc.), pero no puedes pedirle mucho más.
Kismet
El analizador de tráfico Kismet es otro ejemplo de software de código abierto diseñado para resolver problemas específicos. Kismet no sólo analiza el tráfico de la red, sino que también le proporciona una funcionalidad mucho más avanzada. Por ejemplo, es capaz de analizar el tráfico de redes ocultas e incluso de redes inalámbricas que no difunden su SSID. Una herramienta de análisis de tráfico como esta puede resultar extremadamente útil cuando hay algo en su red inalámbrica que está causando problemas, pero no puede encontrar rápidamente la fuente. Kismet le ayudará a detectar una red no autorizada o un punto de acceso que esté funcionando pero que no esté configurado correctamente.
Muchos de nosotros sabemos de primera mano que la tarea se vuelve más compleja cuando se trata de analizar el tráfico de la red inalámbrica, por lo que tener a mano una herramienta especializada como Kismet no sólo es deseable, sino muchas veces necesario. Kismet Traffic Analyzer es una excelente opción para usted si maneja constantemente una gran cantidad de tráfico inalámbrico y dispositivos inalámbricos, y necesita una buena herramienta para analizar el tráfico de su red inalámbrica. Kismet está disponible para *NIX, Windows en entornos Cygwin y macOS.
ÉterApe
La funcionalidad de EtherApe es similar a la de WireShark en muchos aspectos y también es de código abierto y gratuito. Sin embargo, lo que realmente destaca de otras soluciones es su enfoque en los gráficos. Y si, por ejemplo, ve los resultados del análisis de tráfico de WireShark en una forma digital clásica, entonces el tráfico de la red EtherApe se muestra utilizando una interfaz gráfica avanzada, donde cada vértice del gráfico representa un host separado, los tamaños de los vértices y los bordes. indican el tamaño del tráfico de la red y están marcados con colores varios protocolos. Para aquellas personas que prefieren la percepción visual de la información estadística, el analizador EtherApe puede ser la mejor opción. Disponible para entornos *NIX y macOS.
Caín y Abel
Este software con un nombre muy interesante tiene la capacidad de analizar el tráfico, es más una función auxiliar que la principal. Si tus tareas van mucho más allá del simple análisis del tráfico, entonces deberías prestar atención a esta herramienta. Con él, puedes recuperar contraseñas de Windows, realizar ataques para obtener credenciales perdidas, examinar datos de VoIP en la red, analizar el enrutamiento de paquetes y mucho más. Este es un conjunto de herramientas verdaderamente poderoso para un administrador de sistemas con amplios poderes. Funciona sólo en entorno Windows.
Minero de red
NetworkMiner es otra solución de software cuya funcionalidad va más allá del análisis de tráfico básico. Mientras que otros analizadores de tráfico se centran en enviar y recibir paquetes, NetworkMiner monitorea aquellos que realmente envían y reciben paquetes. Esta herramienta es más adecuada para identificar computadoras o usuarios problemáticos que para diagnósticos generales o monitoreo de red per se. Minero de red diseñado para sistema operativo Ventanas.
KisMAC
KisMAC: el nombre de este producto de software habla por sí solo: es Kismet para macOS. Hoy en día, Kismet ya tiene un puerto para el entorno operativo macOS, por lo que la existencia de KisMAC puede parecer redundante, pero vale la pena señalar el hecho de que la solución KisMAC en realidad tiene su propia base de código y no se deriva directamente del analizador de tráfico de Kismet. De particular interés es que KisMAC ofrece algunas capacidades, como mapeo de ubicación y ataques de desautenticación en macOS, que Kismet no ofrece. Estas características únicas pueden inclinar la balanza a favor de esta solución de software en particular en determinadas situaciones.
Conclusión
El software de análisis del tráfico de red puede ser una herramienta vital para usted cuando periódicamente encuentra problemas de red de varios tipos, ya sea rendimiento, caídas de conexiones o problemas con las copias de seguridad de la red. Casi todo lo relacionado con la transmisión y recepción de datos en la red se puede identificar y corregir rápidamente gracias a la información obtenida mediante el software del listado anterior.
Los resultados que le brindará un análisis cualitativo del tráfico de la red utilizando herramientas de software especializadas comprobadas lo ayudarán a ir mucho más allá de la capa superior del problema y comprender lo que realmente está sucediendo en su red, o lo que no está sucediendo, pero debería estar sucediendo. .
¡Suscríbete al boletín, comparte artículos en las redes sociales y haz preguntas en los comentarios!
Siempre en contacto, Igor Panov.
23.05.16 45.3KMuchos administradores de red suelen encontrar problemas que pueden resolverse analizando el tráfico de la red. Y aquí nos encontramos con el concepto de analizador de tráfico. ¿Así que qué es lo?
Los analizadores y recopiladores de NetFlow son herramientas que le ayudan a monitorear y analizar los datos del tráfico de la red. Los analizadores de procesos de red le permiten identificar con precisión los dispositivos que reducen el rendimiento del canal. Saben cómo encontrar áreas problemáticas en su sistema y mejorar la eficiencia general de la red.
El término " flujo neto" se refiere a un protocolo de Cisco diseñado para recopilar información sobre el tráfico IP y monitorear el tráfico de la red. NetFlow se ha adoptado como protocolo estándar para tecnologías de transmisión.
El software NetFlow recopila y analiza datos de flujo generados por enrutadores y los presenta en un formato fácil de usar.
Varios otros proveedores de equipos de red tienen sus propios protocolos para monitoreo y recopilación de datos. Por ejemplo, Juniper, otro proveedor de dispositivos de red muy respetado, llama a su protocolo " Flujo J". HP y Fortinet utilizan el término " s-flujo". Aunque los protocolos se llaman de forma diferente, todos funcionan de forma similar. En este artículo, veremos 10 analizadores de tráfico de red y recopiladores de NetFlow gratuitos para Windows.
Analizador de tráfico NetFlow en tiempo real de SolarWinds
Free NetFlow Traffic Analyzer es una de las herramientas más populares disponibles para descarga gratuita. Le brinda la posibilidad de ordenar, etiquetar y mostrar datos de diversas formas. Esto le permite visualizar y analizar cómodamente el tráfico de la red. La herramienta es excelente para monitorear el tráfico de la red por tipo y período de tiempo. Además de ejecutar pruebas para determinar cuánto tráfico consumen varias aplicaciones.
Esta herramienta gratuita está limitada a una interfaz de monitoreo NetFlow y solo almacena 60 minutos de datos. Este analizador Netflow es una herramienta poderosa que vale la pena usar.
Colasoft Capsa Gratis
Este analizador de tráfico LAN gratuito identifica y monitorea más de 300 protocolos de red y le permite crear informes personalizados. Incluye seguimiento de correo electrónico y gráficos de secuencia. Sincronización TCP, todo esto se recopila en un panel personalizable.
Otras características incluyen análisis de seguridad de la red. Por ejemplo, seguimiento de ataques DoS/DDoS, actividad de gusanos y detección de ataques ARP. Así como decodificación de paquetes y visualización de información, datos estadísticos sobre cada host de la red, control de intercambio de paquetes y reconstrucción de flujo. Capsa Free es compatible con todas las versiones de 32 y 64 bits de Windows XP.
Requisitos mínimos del sistema para la instalación: 2 GB de RAM y un procesador de 2,8 GHz. También debe tener una conexión Ethernet a Internet ( Cumple con NDIS 3 o superior), Fast Ethernet o Gigabit con controlador de modo mixto. Le permite capturar pasivamente todos los paquetes transmitidos a través de un cable Ethernet.
Escáner IP enojado
Es un analizador de tráfico de Windows de código abierto que es rápido y fácil de usar. No requiere instalación y se puede utilizar en Linux, Windows y Mac OSX. Esta herramienta funciona simplemente haciendo ping a cada dirección IP y puede determinar direcciones MAC, escanear puertos, proporcionar información NetBIOS, determinar el usuario autorizado en sistemas Windows, descubrir servidores web y mucho más. Sus capacidades se amplían mediante complementos de Java. Los datos escaneados se pueden guardar en archivos CSV, TXT y XML.
ManageEngine NetFlow Analizador Profesional
Una versión con todas las funciones del software NetFlow de ManageEngines. Se trata de un potente software con un conjunto completo de funciones de análisis y recopilación de datos: seguimiento del rendimiento del canal en tiempo real y alertas cuando se alcanzan valores umbral, lo que permite administrar procesos rápidamente. Además, proporciona datos resumidos sobre el uso de recursos, monitoreo de aplicaciones y protocolos, y mucho más.
La versión gratuita del analizador de tráfico de Linux permite el uso ilimitado del producto durante 30 días, después de los cuales sólo podrá monitorear dos interfaces. Los requisitos del sistema para NetFlow Analyzer ManageEngine dependen del caudal. Los requisitos recomendados para una velocidad de flujo mínima de 0 a 3000 subprocesos por segundo son un procesador de doble núcleo de 2,4 GHz, 2 GB de RAM y 250 GB de espacio disponible en el disco duro. A medida que aumenta la velocidad del flujo a controlar, también aumentan los requisitos.
El tío
Esta aplicación es un monitor de red popular desarrollado por MikroTik. Escanea automáticamente todos los dispositivos y recrea un mapa de red. The Dude monitorea los servidores que se ejecutan en varios dispositivos y le avisa si surgen problemas. Otras características incluyen el descubrimiento y visualización automáticos de nuevos dispositivos, la capacidad de crear mapas personalizados, acceso a herramientas para la administración remota de dispositivos y más. Se ejecuta en Windows, Linux Wine y MacOS Darwine.
Analizador de red JDSU Fast Ethernet
Este programa analizador de tráfico le permite recopilar y ver rápidamente datos de la red. La herramienta brinda la capacidad de ver usuarios registrados, determinar el nivel de uso del ancho de banda de la red por parte de dispositivos individuales y encontrar y corregir errores rápidamente. Y también capturar datos en tiempo real y analizarlos.
La aplicación admite la creación de gráficos y tablas muy detallados que permiten a los administradores monitorear anomalías del tráfico, filtrar datos para examinar grandes volúmenes de datos y mucho más. Esta herramienta para profesionales principiantes, así como para administradores experimentados, le permite tomar el control total de su red.
Escrutador Plixer
Este analizador de tráfico de red le permite recopilar y analizar exhaustivamente el tráfico de red y encontrar y corregir errores rápidamente. Con Scrutinizer, puede ordenar sus datos de diversas formas, incluso por intervalo de tiempo, host, aplicación, protocolo y más. La versión gratuita te permite controlar un número ilimitado de interfaces y almacenar datos durante 24 horas de actividad.
Wireshark
Wireshark es un potente analizador de red que puede ejecutarse en Linux, Windows, MacOS X, Solaris y otras plataformas. Wireshark le permite ver los datos capturados mediante una GUI o utilizar las utilidades TShark en modo TTY. Sus características incluyen recopilación y análisis de tráfico VoIP, visualización en tiempo real de Ethernet, IEEE 802.11, Bluetooth, USB, datos Frame Relay, XML, PostScript, salida de datos CSV, soporte de descifrado y más.
Requisitos del sistema: Windows XP y superior, cualquier procesador moderno de 64/32 bits, 400 Mb de RAM y 300 Mb de espacio libre en disco. Wireshark NetFlow Analyzer es una poderosa herramienta que puede simplificar enormemente el trabajo de cualquier administrador de red.
Paessler PRTG
Este analizador de tráfico proporciona a los usuarios muchas funciones útiles: soporte para monitorear LAN, WAN, VPN, aplicaciones, servidor virtual, QoS y entorno. También se admite el monitoreo de múltiples sitios. PRTG utiliza SNMP, WMI, NetFlow, SFlow, JFlow y análisis de paquetes, así como monitoreo de tiempo de actividad/inactividad y soporte IPv6.
La versión gratuita te permite utilizar un número ilimitado de sensores durante 30 días, después de los cuales sólo podrás utilizar hasta 100 de forma gratuita.
sonda
Es una aplicación de análisis y seguimiento de NetFlow de código abierto con todas las funciones.
nProbe admite IPv4 e IPv6, Cisco NetFlow v9/IPFIX, NetFlow-Lite, contiene funciones para análisis de tráfico VoIP, muestreo de flujo y paquetes, generación de registros, actividad MySQL/Oracle y DNS, y mucho más. La aplicación es gratuita si descarga y compila el analizador de tráfico en Linux o Windows. El ejecutable de instalación limita el tamaño de captura a 2000 paquetes. nProbe es completamente gratuito para instituciones educativas, así como para organizaciones científicas y sin fines de lucro. Esta herramienta funcionará en versiones de 64 bits de los sistemas operativos Linux y Windows.
Esta lista de 10 analizadores y recopiladores de tráfico NetFlow gratuitos lo ayudará a comenzar a monitorear y solucionar problemas en una red de oficina pequeña o en una WAN empresarial grande con múltiples sitios.
Cada aplicación presentada en este artículo permite monitorear y analizar el tráfico de la red, detectar fallas menores e identificar anomalías del ancho de banda que pueden indicar amenazas a la seguridad. Y también visualizar información sobre la red, tráfico y mucho más. Los administradores de red deben tener este tipo de herramientas en su arsenal.
Esta publicación es una traducción del artículo “ Los 10 mejores analizadores y recopiladores de Netflow gratuitos para Windows", preparado por el amigable equipo del proyecto
Bueno malo
