Wireshark
Enviado por shizuka_kisho • 26 de Enero de 2013 • 12.103 Palabras (49 Páginas) • 463 Visitas
ANÁLISIS DE TRÁFICO CON WIRESHARK
INTECO-CERT
Febrero 2011
Análisis de tráfico con Wireshark 2
Autor: Borja Merino Febrero
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece a los siguientes colaboradores su ayuda en la realización del informe. Manuel Belda, del CSIRT-cv de la Generalitat Valenciana y Eduardo Carozo Blumsztein, del CSIRT de ANTEL de Uruguay.
La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y está bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes:
Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: http://www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Análisis de tráfico con Wireshark 3
ÍNDICE
1. ANÁLISIS DE TRÁFICO 4
2. ¿POR QUÉ WIRESHARK? 5
3. DÓNDE REALIZAR LA CAPTURA DE DATOS 6
3.1. Utilizando un Hub 6
3.2. Port Mirroring o VACL (VLAN-based ACLs) 7
3.3. Modo Bridge 8
3.4. ARP Spoof 8
3.5. Remote Packet Capture 9
4. ATAQUES EN REDES DE ÁREA LOCAL 12
4.1. ARP Spoof 12
4.1.1. Ejemplo práctico 12
4.1.2. Mitigación 14
4.2. Port Flooding 16
4.2.1. Descripción 16
4.2.2. Mitigación 17
4.3. DDoS Attacks 18
4.3.1. Descripción 18
4.3.2. Mitigación 20
4.4. DHCP Spoof 23
4.4.1. Descripción 23
4.4.2. Mitigación 26
4.5. VLAN Hopping 28
4.5.1. Ataque de suplantación del switch 28
4.5.2. Ataque de etiquetado doble 29
4.5.3. Mitigación 30
4.6. Análisis de malware 30
4.6.1. Ejemplo práctico 30
4.6.2. Mitigación 33
5. FILTROS 34
6. FOLLOW TCP STREAM 39
7. EXPERT INFOS 41
7.1. Introducción 41
7.2. Interfaz de usuario 41
7.2.1. Ejecución 41
8. USO DE HERRAMIENTAS EXTERNAS 43
8.1. Snort 43
8.1.1. Mitigación 44
8.1.2. Conversión de formatos 44
8.2. Scripts 45
9. GRÁFICAS 46
10. CONCLUSIONES 49
11. FUENTES DE INFORMACIÓN 50
Análisis de tráfico con Wireshark 4
1. ANÁLISIS DE TRÁFICO
Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones, incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente.
En la mayoría de ocasiones, las causas de estos problemas tienen un origen no premeditado y se deben a una mala configuración de la red como puede ser tormentas broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero, en otras ocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuera de servicio un servidor web mediante un ataque DoS, husmear tráfico mediante un envenenamiento ARP o simplemente infectar los equipos con código malicioso para que formen parte de una red zombi o botnet.
En cualquier caso, conocer el origen del incidente es el primer paso para poder tomar las contramedidas necesarias y conseguir una correcta protección. En este punto, los analizadores de tráfico pueden resultar de gran utilidad para detectar, analizar y correlacionar tráfico identificando las amenazas de red para, posteriormente, limitar su impacto. Con tal propósito, existen en el mercado dispositivos avanzados como el appliance MARS (Monitoring, Analysis and Response System) de Cisco o IDS/IPS basados en hardware de diversos fabricantes. Pero estas soluciones no siempre están al alcance de todas las empresas ya que su coste puede que no cumpla un principio básico de proporcionalidad (el gasto es superior al beneficio obtenido) y, por lo tanto, no se justifique su adquisición.
Por ello, y para cubrir las necesidades de entidades con infraestructuras tecnológicas más modestas, INTECO-CERT presenta esta «Guía de análisis de tráfico con Wireshark». Tiene por objeto sensibilizar a administradores y técnicos de las ventajas de auditar la red con un analizador de tráfico, principalmente utilizando la herramienta libre Wireshark. Además, ofrece ejemplos prácticos de ataques en redes de área local bastante conocidos y que actualmente siguen siendo uno de los mayores enemigos en los entornos corporativos.
El presente documento está dividido en una serie de apartados que tratan diversos ataques reales llevados a cabo en redes de área local, como son ARP Spoof, DHCP Flooding, DNS Spoof, DDoS Attacks, VLAN Hopping, etc. En ellos se emplea Wireshark como herramienta principal de apoyo para ayudar a detectar, o al menos acotar en gran medida, los problemas generados por dichos ataques. Asimismo, se proponen diversas acciones de mitigación para cada uno de los casos expuestos.
Análisis de tráfico con Wireshark 5
2. ¿POR QUÉ WIRESHARK?
Wireshark es un analizador de protocolos open-source diseñado por Gerald Combs y que actualmente está disponible para plataformas Windows y Unix.
Conocido originalmente como Ethereal, su principal objetivo es el análisis de tráfico además de ser una excelente aplicación didáctica para el estudio de las comunicaciones y para
...