Utilidades para capturar y analizar paquetes



Herramientas

Table of Contents

Vamos a ver algunas utilidades que te serán útiles para el momento de capturar y analizar paquetes de datos en una red.

¿Qué es TCPdump?

Tcpdump es una utilidad, quizás de las más populares, basada en línea de comandos que tiene la finalidad de capturar y analizar paquetes, cuyo funcionamiento predeterminado es proporcionar un análisis, aunque breve, de los paquetes, convirtiendo información importante desde la capa 3 en formatos legibles sobre cada paquete.

La librería que utiliza es libcap, la cual es una librería popular de captura y análisis de paquetes. Con Tcpdump puedes escribir las capturas en un archivo que se puede compartir, recrear o simplemente guardar.

¿Qué vas a ver con tcpdump?

Con esta utilidad convertirá las direcciones IP, tanto de origen como de destino, en el formato con cuatro puntos. También mostrará los números de puerto en uso por la comunicaciones.

El primer bit, 16:52:00, es el tiempo del momento en que el paquete en esa línea fue procesado por el Kernel.

Después se identifica el protocolo de capa 3, en este caso IPv4.

Más adelante se verá la dirección de origen, puerto de origen, dirección de destino y puerto de destino (spinel.home.mrant.org.49026 > 93.184.216.34.http:)

A continuación se verán los indicadores TCP y el número de secuencia TCP en el paquete (Flags [S], seq 2505083261)

Más adelante le sigue el número de acuse de recibo, el tamaño de ventan TCP, luego la opciones de TCP

Por último vemos el tamaño de la carga útil en bytes (length 0)

Tcpdump, intentará resolver las direcciones de host en nombres de host. De igual manera va a reemplazar los números de puerto con los servicios comúnmente asociados que usan estos puertos. Esto se puede anular con un indicador -n. (sudo tcpdump -n -i enol ip and host example.com)

Segunda utilidad: Wireshark

Al igual que tcpdump, wireshark es una utilidad con la misma finalidad de analizar y capturar datos, pero es más extensible en el análisis.

Utiliza librería libcap para la captura e interpretación de paquetes.

Wireshark puede decodificar cargas útiles encriptadas (Claro, si se conoce la clave de encriptación), identifica y extrae datos de carga útil de las transferencias de archivos a través de protocolos como SMB o HTTP.

Tendrá un código de colores predeterminados que significan:

Verde para paquetes TCP

azul claro para el tráfico UDP

azul oscuro para el tráfico DNS

negro destaca paquetes TCP problemáticos o defectuosos.

wireshark permite el filtrado por protocolos. También entiende e incluso puede seguir sesiones o transmisiones de TCP, lo cual permite reensamblar y ver ambos lados de una sesión de TCP.

Otras características de Wireshark es su capacidad para descifrar paquetes de redes inalámbricas WPA y WEP, claro, si se conoce la frase de contraseña, tráfico Bluetooth, USB, extraer secuencias de audio del tráfico VoIP sin cifrar, etc.

Fin del post

0 comentarios

Enviar un comentario Cancelar la respuesta

¿Qué es una VPN?

¿Que es una VPN? Es un sistema que permite conectar dos o más dispositivos en una conexión de red segura.

¿Qué es una SIEM o herramienta de gestión de eventos e información de seguridad?

Una SIEM es una aplicación que se utiliza para monitorear actividades sospechosas en una organización

Herramientas

¿Qué es TCPdump?

Segunda utilidad: Wireshark

0 comentarios

Enviar un comentario Cancelar la respuesta

Artículos relacionados

¿Qué es una VPN?

¿Qué es una SIEM o herramienta de gestión de eventos e información de seguridad?