Wireshark

Enviado por shizuka_kisho • 26 de Enero de 2013 • 12.103 Palabras (49 Páginas) • 445 Visitas

Página 1 de 49

ANÁLISIS DE TRÁFICO CON WIRESHARK

INTECO-CERT

Febrero 2011

Análisis de tráfico con Wireshark 2

Autor: Borja Merino Febrero

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece a los siguientes colaboradores su ayuda en la realización del informe. Manuel Belda, del CSIRT-cv de la Generalitat Valenciana y Eduardo Carozo Blumsztein, del CSIRT de ANTEL de Uruguay.

La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y está bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes:

Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: http://www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.

Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

http://creativecommons.org/licenses/by-nc-sa/3.0/es/

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es

Análisis de tráfico con Wireshark 3

ÍNDICE

1. ANÁLISIS DE TRÁFICO 4

2. ¿POR QUÉ WIRESHARK? 5

3. DÓNDE REALIZAR LA CAPTURA DE DATOS 6

3.1. Utilizando un Hub 6

3.2. Port Mirroring o VACL (VLAN-based ACLs) 7

3.3. Modo Bridge 8

3.4. ARP Spoof 8

3.5. Remote Packet Capture 9

4. ATAQUES EN REDES DE ÁREA LOCAL 12

4.1. ARP Spoof 12

4.1.1. Ejemplo práctico 12

4.1.2. Mitigación 14

4.2. Port Flooding 16

4.2.1. Descripción 16

4.2.2. Mitigación 17

4.3. DDoS Attacks 18

4.3.1. Descripción 18

4.3.2. Mitigación 20

4.4. DHCP Spoof 23

4.4.1. Descripción 23

4.4.2. Mitigación 26

4.5. VLAN Hopping 28

4.5.1. Ataque de suplantación del switch 28

4.5.2. Ataque de etiquetado doble 29

4.5.3. Mitigación 30

4.6. Análisis de malware 30

4.6.1. Ejemplo práctico 30

4.6.2. Mitigación 33

5. FILTROS 34

6. FOLLOW TCP STREAM 39

7. EXPERT INFOS 41

7.1. Introducción 41

7.2. Interfaz de usuario 41

7.2.1. Ejecución 41

8. USO DE HERRAMIENTAS EXTERNAS 43

8.1. Snort 43

8.1.1. Mitigación 44

8.1.2. Conversión de formatos 44

8.2. Scripts 45

9. GRÁFICAS 46

10. CONCLUSIONES 49

11. FUENTES DE INFORMACIÓN 50

Análisis de tráfico con Wireshark 4

1. ANÁLISIS DE TRÁFICO

Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones, incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente.

En la mayoría de ocasiones, las causas de estos problemas tienen un origen no premeditado y se deben a una mala configuración de la red como puede ser tormentas broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero, en otras ocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuera de servicio un servidor web mediante un ataque DoS, husmear tráfico mediante un envenenamiento ARP o simplemente infectar los equipos con código malicioso para que formen parte de una red zombi o botnet.

En cualquier caso, conocer el origen del incidente es el primer paso para poder tomar las contramedidas necesarias y conseguir una correcta protección. En este punto, los analizadores de tráfico pueden resultar de gran utilidad para detectar, analizar y correlacionar tráfico identificando las amenazas de red para, posteriormente, limitar su impacto. Con tal propósito, existen en el mercado dispositivos avanzados como el appliance MARS (Monitoring, Analysis and Response System) de Cisco o IDS/IPS basados en hardware de diversos fabricantes. Pero estas soluciones no siempre están al alcance de todas las empresas ya que su coste puede que no cumpla un principio básico de proporcionalidad (el gasto es superior al beneficio obtenido) y, por lo tanto, no se justifique su adquisición.

Por

...

Descargar como (para miembros actualizados) txt (87.4 Kb)

Leer 48 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

La característica de la Wireshark
del protocolo Objetivos de aprendizaje • Poder explicar el propósito de un analizador de protocolos (Wireshark). • Poder realizar capturas básicas de la unidad de

2 Páginas • 527 Visualizaciones
Analisis Captura Wireshark
ANALISIS CAPTURA WIRESHARK Como se dijo en la introducción, el protocolo UDP no está orientado a la conexión, es decir, no requiere respuesta del otro

3 Páginas • 625 Visualizaciones
Arp Con Wireshark
. Esto se hace con el `` comando netsh: C: \> netsh interface ip eliminar arpcache Vale. Ver la caché de ARP Si desea ver

2 Páginas • 336 Visualizaciones
Manual De Instalacion De Wireshark En Centos 6
Introducción Wireshark es una herramienta de red que captura el tráfico de la máquina dónde se está ejecutando y nos muestra mediante su interfaz gráfica

5 Páginas • 539 Visualizaciones
La definición de los campos de cabecera y funcionamiento de TCP a través de la captura de una sesión de FTP Wireshark
PRIMERO Identificando campos de encabezado y operación TCP mediante el uso de una captura de sesión FTP Wireshark En primer lugar cambiaremos la dirección IP.

2 Páginas • 349 Visualizaciones
Wireshark
Objetivos: Filtros en Wireshark Nivel: Usuario Administración de Plataformas y Seguridad Nivel Guía: 1 - Conocer las distintas opciones de configuración de Wireshark, las cules

1 Páginas • 256 Visualizaciones
Wireshark
APLICACIONES EN LA NUBE” ANALIZADOR DE TRÁFICO Y PAQUETES DE RED “WIRESHARK” Elaborado por: Danny Forero Vargas C.C. 13,745,501 Estudiante de Ingeniería en Telecomunicaciones Seminario

5 Páginas • 863 Visualizaciones
Wireshark
Wireshark Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de

1 Páginas • 349 Visualizaciones
Análisis De Red Con Wireshark
Análisis De Red Con Wireshark. Interpretando Los Datos. alfonn 14-02-2008 GTM 1 @ 14:32 Wireshark es una herramieta multiplataforma de análisis de red, producto de

10 Páginas • 314 Visualizaciones
Uso De Wireshark Para Ver Las Unidades De Datos Para Ver Las Unidades De Datos Del Protocolo.
CARRERA: INGENIERÍA EN SISTEMAS COMPUTACIONALES MATERIA: Modelado Virtual Practica: Laboratorio 2.6.2: uso de wireshark para ver las unidades de datos para ver las unidades de

10 Páginas • 341 Visualizaciones