Cmo identificar el abuso de la red con Wireshark

Wireshark es la navaja suiza de las herramientas de anlisis de red. Ya sea que usted est buscando para el trfico peer-to-peer de la red o simplemente quieres ver qu sitios web una direccin IP especfica es el acceso, Wireshark puede trabajar para usted. Nos hemos dado anteriormente una introduccin a Wireshark . y este mensaje se basa en nuestros posts anteriores. Tenga en cuenta que debe estar capturando en un lugar en la red donde se puede ver lo suficiente el trfico de red. Si usted hace una captura en su estacin de trabajo local, es muy probable que no se ve la mayora del trfico en la red. Wireshark puede realizar capturas desde una ubicacin remota - echa un vistazo a nuestro mensaje trucos Wireshark para obtener ms informacin al respecto.

La identificacin de Peer-to-Peer Traffic

Columna de protocolo de Wireshark muestra el tipo de protocolo de cada paquete. Si usted est buscando en una captura de Wireshark, es posible que vea BitTorrent u otro trfico peer-to-peer que acechan en ella.

Usted puede ver lo que los protocolos se estn utilizando en la red de la herramienta Jerarqua de Protocolo, situada en el men Estadstica.

Esta ventana muestra un desglose de uso de la red por el protocolo. A partir de aqu, podemos ver que casi el 5% de los paquetes en la red son los paquetes de BitTorrent. Eso no suena como mucho, pero BitTorrent tambin utiliza paquetes UDP. El casi 25% de los paquetes clasificados como paquetes de datos UDP son tambin el trfico de BitTorrent aqu.

Podemos ver slo los paquetes BitTorrent, haga clic en el protocolo y su aplicacin como filtro. Usted puede hacer lo mismo con otros tipos de trfico peer-to-peer que pueda estar presente, como Gnutella, eDonkey o Soulseek.

Utilizando la opcin de aplicar el filtro se aplica el filtro "bittorrent". Puede omitir el men del botn derecho y ver el trfico de un protocolo, escriba su nombre directamente en el cuadro Filtro. Desde el trfico filtrado, podemos ver que la direccin IP local de 192.168.1.64 est usando BitTorrent.

Para ver todas las direcciones IP que utilizan BitTorrent, podemos seleccionar puntos finales en el men Estadstica.

Haga click en la pestaa de IPv4 y permitir el "Lmite para mostrar filtro" casilla de verificacin. Ver tanto las direcciones IP remotas y locales asociados con el trfico de BitTorrent. Las direcciones IP locales deben aparecer en la parte superior de la lista.

Si quieres ver los diferentes tipos de protocolos Wireshark apoya y sus nombres de filtro, seleccione Protocolos habilitados en el men Analizar.

Usted puede empezar a escribir un protocolo para buscar en la ventana Protocolos habilitados.

Control de sitios web de acceso

Ahora que sabemos cmo romper el trfico por protocolo, podemos escribir "http" en la caja de filtro para ver slo el trfico HTTP. Con la opcin "Habilitar la red de resolucin de nombres" marcada, vamos a ver los nombres de los sitios web que se accede en la red.

10

Una vez ms, podemos utilizar la opcin de extremos en el men Estadstica.

11

Haga click en la pestaa de IPv4 y permitir el "Lmite para mostrar filtro" casilla de nuevo. Tambin debe asegurarse de que la casilla "Nombre de resolucin" est habilitada o si slo va a ver las direcciones IP. A partir de aqu, podemos ver los sitios web que se accede. Redes de publicidad y sitios web de terceros que se utilizan scripts de acogida en otros sitios web tambin aparecer en la lista.

12

Si queremos descomponerlo por una direccin IP especfica para ver lo que est navegando por una nica direccin IP, podemos hacer eso tambin. Utilice el filtro combinado http y ip.addr == [direccin IP] para ver el trfico HTTP asociada a una direccin IP especfica.

13

Abra el dilogo de Endpoints de nuevo y vers una lista de sitios web que se accede mediante la direccin IP especfica.

14

Todo esto es slo araando la superficie de lo que puede hacer con Wireshark. Se puede construir filtros ms avanzados, o incluso utilizar la herramienta ACL Reglas de Firewall de nuestro mensaje trucos Wireshark para bloquear fcilmente los tipos de trfico que encontrars aqu.

15

5 trucos asesino de obtener el mximo provecho de Wireshark

Wireshark tiene unos cuantos trucos bajo la manga, a partir de la captura de trfico remoto a la creacin de reglas de firewall basado en paquetes capturados. Siga leyendo para conocer algunos consejos ms avanzados si desea utilizar Wireshark como un profesional. Ya hemos cubierto el uso bsico de Wireshark , as que asegrese de leer nuestro artculo original para una introduccin a esta poderosa herramienta de anlisis de redes.

Resolucin de nombres de red

Aunque la captura de paquetes, usted podra estar molesto de que Wireshark slo muestra las direcciones IP. Puede convertir las direcciones IP a nombres de dominio a ti mismo, pero eso no es demasiado conveniente.

16

Wireshark puede resolver automticamente estas direcciones IP a nombres de dominio, aunque esta caracterstica no est habilitada de forma predeterminada. Al habilitar esta opcin, ver los nombres de dominio en lugar de direcciones IP siempre que sea posible. La desventaja es que Wireshark tendr que buscar cada nombre de dominio, la contaminacin del trfico capturado con las peticiones DNS adicionales.

Puede habilitar esta configuracin, abra la ventana de preferencias de Edicin -> Preferencias, haga clic en el panel de resolucin de nombres y haga clic en la casilla "Enable Network Name Resolution" cheque.

Iniciar Captura automtica

17

Puede crear un acceso directo especial con argumentos de lnea de comandos de Wirshark si desea iniciar la captura de paquetes sin demora. Usted necesita saber el nmero de la interfaz de red que desea utilizar, basado en el orden Wireshark muestra las interfaces.

Crear una copia de acceso directo del Wireshark, haga clic en l, entra en su ventana de Propiedades y cambiar los argumentos de la lnea de comandos. Add-i #-k al final del acceso directo, sustituyendo # por el nmero de la interfaz que desea utilizar. La opcin-i especifica la interfaz, mientras que la opcin-k dice Wireshark para iniciar la captura de inmediato.

18

Si est utilizando Linux u otro sistema operativo que no sea Windows, basta con crear un acceso directo con el siguiente comando, o ejecutarlo desde un terminal para iniciar la captura de inmediato: wireshark-i #-k Para obtener ms mtodos abreviados de lnea de comandos, echa un vistazo a la pgina del manual de Wireshark .

Capturar el trfico desde ordenadores remotos

Wireshark captura el trfico de interfaces locales de su sistema por defecto, pero esto no siempre es la ubicacin que desea capturar. Por ejemplo, es posible que desee para capturar el trfico de un router, servidor o en otro equipo en otra ubicacin de la red. Aqu es donde la funcin de captura remota de Wireshark entra en juego Esta funcin slo est disponible en Windows en el momento la documentacin oficial de Wireshark recomienda que los usuarios de Linux usan un tnel SSH .

19

En primer lugar, usted tendr que instalar WinPcap en el sistema remoto. WinPcap viene con Wireshark, por lo que no tiene que instalar WinPCap si ya tienes Wireshark instalado en el sistema remoto. Despus de que se isntalled, abra la ventana Servicios en el equipo remoto - haga clic en Inicio, escriba services.msc en el cuadro de bsqueda del men Inicio y pulse Enter. Busque el servicio de protocolo de captura remota de paquetes en la lista y ponerlo en marcha. Este servicio est desactivado por defecto.

Haga clic en enlace de la opcin de captura de s en Wireshark, seleccione remoto de la caja de interfaz.

20

Introduzca la direccin del sistema remoto y 2002 como puerto. Debe tener acceso al puerto 2002 en el sistema remoto para conectar, por lo que es posible que tenga que abrir este puerto en un firewall.

Una vez conectado, puede seleccionar una interfaz en el sistema remoto desde el cuadro desplegable Interface. Haga clic en Inicio despus de seleccionar la interfaz para iniciar la captura remota.

21

Wireshark en un Terminal (TShark)

Si usted no tiene una interfaz grfica en su sistema, puede utilizar Wireshark desde un terminal con el comando TShark. En primer lugar, ejecute el comando tshark-D. Este comando le dar el nmero de sus interfaces de red.

22

Una vez, ejecute el-i tshark # comando, sustituyendo # por el nmero de la interfaz que desea capturar en.

TShark acta como Wireshark, la impresin de que el trfico que captura a la terminal. Utilice CtrlC cuando se desea detener la captura. Impresin de los paquetes a la terminal no es el comportamiento ms til. Si queremos inspeccionar el trfico con ms detalle, podemos tener TShark volcado en un archivo que puede inspeccionar ms tarde. Utilice este comando en lugar de volcar el trfico a un archivo: tshark-i-w # nombre del archivo
23

TShark no le mostrar los paquetes que estn siendo capturados, pero va a contar con ellos, ya que los captura. Usted puede utilizar el File -> opcin Abrir en Wireshark para abrir el archivo de captura ms tarde. Para obtener ms informacin acerca de las opciones de lnea de comandos de tshark, echa un vistazo a su pgina de manual .

Crear Firewall ACL Reglas

Si usted es un administrador de la red a cargo de un firewall y est usando Wireshark para echar un vistazo, es posible que desee tomar medidas basadas en el trfico se ve - tal vez para bloquear una parte del trfico sospechoso. Firewall herramienta Reglas ACL de Wireshark genera los comandos que necesitar para crear reglas de firewall en el servidor de seguridad. Primero, seleccione un paquete que desea crear una regla de firewall basado en haciendo clic en l. Despus de eso, haga clic en el men Herramientas y seleccione Firewall Reglas ACL.

24

Utilice el men del producto para seleccionar el tipo de servidor de seguridad. Wireshark soporta Cisco IOS, los diferentes tipos de cortafuegos de Linux, incluyendo iptables y el servidor de seguridad de Windows.

Usted puede utilizar el cuadro de filtro para crear una regla basada en la direccin de cualquiera de los sistemas MAC, la direccin IP, el puerto, o bien la direccin IP y el puerto. Es posible que aparezca un menor nmero de opciones de filtro, en funcin de su producto firewall.

De forma predeterminada, la herramienta crea una regla que niega el trfico entrante. Usted puede modificar el comportamiento de la regla desactivando la entrada o Denegar casillas. Despus de crear una regla, utilice el botn Copiar para copiar, y luego ejecutarlo en su firewall para aplicar la regla.

25