¿Qué pasa en mi red?

En la charla que estuve dando en el curso de perito telemático forense, cuando llegaba a la parte de la respuesta ante incidentes siempre explico, que una de las maneras más rápidas de empezar a poder saber si ha pasado algo es mirar el tráfico de red.

Por eso es imprescindible el saber usar herramientas como Wireshark. Este analizador de tráfico nos puede salvar de un problema en múltiples escenarios y los usos que se le pueden dar son infinitos.

1010156969-1

Esta imagen será familiar para mas de uno, es la ventana con captura de tráfico de Wireshark, podemos encontrar muchas de ellas si buscamos en Google.

Vamos ha hacer una prueba mirando una captura de tráfico:

2

En una red es normal que podamos ver diferentes cosas, desde tráfico que provoca la aplicación Dropbox, que busca sincronizar en LOCAL. También podremos ver cosas como DHCPv6 etc..

Una de las cosas que podemos configurar en Wireshark para ver mejor el tráfico es lo siguiente:

1

Habilitamos network name resolution, nos ayudará en las capturas de tráfico.

Si queremos mirar algún evento en concreto podemos hacer el follow UDP stream, TCP stream

3

Podemos ver la trama del paquete, y si queremos podemos ver el tráfico de red entre un equipo en concreto,si queremos.

6

Podremos ver tráfico de red, de equipos preguntando por otros equipos.

Si queremos filtrar en la captura por tráfico DHCP, por ejemplo.

5

Podemos filtrar por DHCP, pero que pasa si queremos filtrar por una IP en concreto.

4

Los filtros de Wireshark son muy potentes.

Pero otra de las cosas que podemos hacer es ver el tráfico y incluso poder ver que aplicaciones tienen los usuarios tienen instaladas.

7

Vemos en la captura que ese usuario está usando Virtualbox.

 


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • Pingback: Bitacoras.com()

  • gustavo

    Ademas d esaber usar la tools es imporante donde colocarla ya que si al red esta muy segmentada , VLAns , .. demas no se si tomaras datos que te sean d eutilidad, que opinan?, donde hay que colocar Wireshark en al LAN?

  • demmian

    Lo mejor creo que seria configurar un “port mirroring” en el switch y este conectar el equipo con el wireshark..habria otra forma de hacerlo ?

  • it

    Buena pregunta. Me interesa mucho la respuesta 🙂

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES