La Comunidad DragonJAR » Wireshark

Análisis de tráfico con Wireshark

DragoN — Mon, 04 Apr 2011 03:21:38 +0000

ACTUALIZADO: acabo de recibir otro correo, esta vez de Borja Merino (autor del texto), indicándome sobre algunas correcciones y mejoras realizadas al articulo, subo la nueva versión y actualizo la entrada para que todos disfruten de ella.

Hace poco recibí un correo de Jorge Chinea López en el que me comenta sobre un manual creado por INTECO (Instituto Nacional de Tecnologías de la Comunicación de España), sobre el “Análisis de tráfico con Wireshark”.

Este documento nos enseña con lujo de detalles como analizar trafico utilizando el famoso sniffer de red Wireshark, la temática del manual va desde el manejo de la herramienta como tal, hasta la detección de ataques locales (ARP Spoof, DNS Spoof, PORT Flooding, DoS) y el uso de herramientas como Snort para la detección de intrusos, lo dejo con la tabla de contenidos y el documento para ver online.

Para leerla online dale click en el centro de la revista y quedará en pantalla completa, o puedes descargarla en PDF desde este enlace.

Si te gustó este manual, pasate por los video tutoriales de wireshark que publicamos hace un tiempo en la comunidad.
Para mas información:
Anuncio Oficial en INTECO

También puede interesarte...

Katana 2.0 Múltiples Distribuciones de Seguridad en tu USB

DragoN — Fri, 05 Nov 2010 04:23:38 +0000

Katana 2.0, Tener todas las herramientas que puedas necesitar a la mano, siempre te facilita y agiliza la tarea que estés desempeñando, esto es algo acertado en todas las profesiones y en la seguridad informática es igual, si no contamos con las herramientas necesarias (Katana 2.0), un proceso puede atrasarse tiempo indeterminado o simplemente no se podría realizar antes de Katana 2.0.

Por eso en nuestra comunidad siempre que encontramos una herramienta como katana 2.0 que pueda serte útil la publicamos sin dudarlo en nuestra categoría “Herramientas Seguridad” o te enseñamos a construir la combinación de herramientas que creas conveniente para que lleves siempre en tu memoria USB.

Ya hemos hablado sobre Katana 2.0, una herramienta que permite incorporar múltiples distribuciones de seguridad en una memoria USB, el proyecto ha mejorado mucho desde la ultima vez que hablamos de el y es por eso que vuelve a aparecer una referencia a el en nuestra comunidad.

Katana 2.0 ya se encuentra en la versión 2.0 y cuenta con la siguientes distribuciones de seguridad:

Ademas, si no podemos bootear desde la memoria en una maquina y si esta utiliza como sistema operativo Microsoft Windows, en esta nueva versión de Katana 2.0, podemos ejecutar el “Katana Tool Kit“, un sistema similar al de las memorias U3 de SanDisk que permite ejecutar las siguientes herramientas en sus versiones portables:

Metasploit
NMAP
Cain & Able
Cygwin.
Wireshark
Firefox
PuTTY
the Unstoppable Copier
OllyDBG
ProcessActivityView
SniffPass Password Sniffer
ClamAV
IECookiesView
MozillaCacheView
FreeOTFE
FindSSN
The Sleuth Kit
OpenOffice
y un gran numero de herramientas se pueden adicionar a katana 2.0

Los cambios realizados de la versión 1.0 a la Katana 2.0 son los siguientes:

Se añadió CAINE y Forge para instalar distribuciones adicionales
Se añadió el Kon Boot para loguearse a los sistemas sin introducir claves
Se eliminaron las siguientes distribuciones (OSWA Assistant, Damn Small Linux, Damn Vulnerable Linux, Slax)
Se añadieron las siguientes distribuciones (Puppy Linux, Kaspersky Live, Trinity Rescue Kit, Clonezilla, Derik’s Boot and Nuke)
Añadido el sistema “Katana Tool Kit” utilizando el trabajo realizado por la comunidad PortableApps
Añadidas las siguientes herramientas para windows GNUWin32, Forensic Acquisition Utilities, Angry IP y The Sleuth Kit
Se renombró la carpeta “home” a “Documents”

Puedes descargar el Katana 2.0 vía torrent utilizando un cliente como uTorrent

Descargar Katana 2.0

Mas Información:
Pagina Oficial de Katana 2.0

También puede interesarte...

Wireshark, ataques y contramedidas

D7n0s4ur70 — Wed, 30 Jun 2010 06:32:01 +0000

Con el fin de motivar en área de la seguridad de la información a los campuseros y asistentes al Campus Party Co, el miércoles 30 de junio, la comunidad tuvo una representación más en la cual se realizo el taller denominado “Wireshark, ataque y contramedidas arp-spoofing usando ettercap y arpwatch” a manos del miembro activo Carlos Andrés Rodallega Obando más conocido en la comunidad como Roguer.

El taller tuvo una buena acogida de parte de los campuseros, ya que arranco con una introducción bastante simple, de inmediato con el fin de no perder la atención de los asistentes, el taller se inicio con un nivel básico haciendo capturas y poco a poco se fue subiendo el nivel al punto de llegar al manejo de filtros compuestos con wireshark, también se usaron herramientas bastante conocidas como lo es netcat (se creo un chat y se transfirieron archivos), con el fin de generar tráfico en la red. La parte de wireshark finalizo con la reconstrucción de un archivo a partir de los datos guardados de una captura usando tcpxtract.

En seguida se realizo un ataque ARP-Spoofing con ettercap sobre un entorno seguro y se uso arpwatch como una de las tantas contramedidas (se visualizaron los registros y las notificaciones que este genera al igual que el WinARPwatch), finalmente como el tiempo alcanzó este taller Roguer lo finalizó agregando al ARP-Spoofing un ataque DNS-Spoofing usando el plugin dns_spoof de ettercap.

Les dejo las diapositivas de la charla y el documento del taller para que realicen estos procedimientos en casa:

Descarga el documento del taller para que puedas seguirlo paso a paso.

También puede interesarte...

Video Tutoriales de Wireshark

DragoN — Sat, 05 Jun 2010 23:42:20 +0000

Wireshark es una herramienta gráfica utilizada por los profesionales de la seguridad y las redes para identificar y analizar el tipo tráfico en un momento determinado. En el mundo de la IT se denominan analizadores de protocolos de red, analizadores de paquetes, packet sniffer o sniffer. Wireshark permite analizar los paquetes de datos en una red activa como también desde un archivo de lectura previamente generado.

En la comunidad somos conscientes de la importancia de esta herramienta, por eso hemos publicado el Wireshark Portable, la Guía Básica de Wireshark y ahora les traigo una serie de vídeo tutoriales, creados por CACE Technologies, la casa del Wireshark, donde nos explican el funcionamiento de esta excelente herramientas y nos muestran algunos casos en los que Wireshark ha salvado el día.

Serie de Introducción a Wireshark

Introducción a Wireshark

Aprende como empezar con Wireshark.
Duración: 5m 51s

Atajos de teclado personalizados en Wireshark

Empieza capturando rápidamente con un atajo de teclado personalizado.
Duración: 2m 26s

Serie los Misterios de las Redes

Resolviendo los Misterios de las Redes

Betty DuBois presenta la Resolución de la serie Misterios de las Redes.
Duración: 1m 50s

El caso de la Descarga Perdida

Betty nos muestra como Wireshark y CACE Pilot le salva el día a uno de nuestros clientes.
Duración: 5m 6s

The Case of the Slow Network

Betty shows how Wireshark and CACE Pilot saved the day for one of her
clients.
Duración: 5m 44s

El caso del balanceo de cargas en servidor DNS

Betty resuelve el misterio del balanceo de cargas de un servidor DNS en un ISP.
Duración: 9m 17s

El caso del iSCSI SAN lento

Betty sigue la pista del culpable de la lentitud en el iSCSI SAN.
Duración: 8m 6s

En la Campus Party Colombia 2010 nuestro amigo Carlos Andrés Rodallega Obando mas conocido como Roguer, dará una charla y taller sobre Wireshark, espero que estos vídeos les sirva de iniciativa para lo que veremos en este gran evento.

También puede interesarte...

Wireshark Portable

DragoN — Thu, 13 May 2010 01:34:31 +0000

Wireshark es una de esas herramientas que no pueden faltar a la hora de realizar un test de penetración, ya que mayoría de veces por las redes que se analizan pasan una gran cantidad de datos sin cifrar que ponen en riesgo la seguridad de la organización.

El problema es que para utilizar Wireshark, es necesario instalar las librerías Wincap, lo cual necesariamente deja un rastro en el equipo utilizado, algo nada recomendable y algunas veces prohibido en este tipo de auditorias.

Existe una version portable de Wireshark, pero lo que hace es instalar las librerias Wincap y luego cuando se cierra, las desinstala, lo que claramente deja rastros en el equipo utilizado; Afortunadamente Adrián Puente, Ingeniero en Seguridad de sm4rt security services realizo una version de Wireshark realmente portable, la cual no necesita instalar las librerias Wincap, se ejecuta sin problemas desde una memoria USB y deja la menor cantidad de rastro posible en la maquina.

Aunque cuenta con una versión un poco viejita de Wireshack, se puede modificar sin problemas para que corra con versiones mas actuales, solo reemplazando los ejecutables de la aplicación.

Descargar Wireshark Portable para Windows

Mas Información:
Truly Portable Wireshark

También puede interesarte...

El Atacante Informático – Capítulo 2

DragoN — Wed, 10 Mar 2010 04:08:02 +0000

Este es el segundo capitulo de “El Atacante Informático”, un libro escrito por Jhon César Arango, que se publicará capitulo a capitulo de forma gratuita y de manera bimestral, simultáneamente en IT Forensic y en La Comunidad DragonJAR.

Este libro reúne desde los conceptos más básicos a los más avanzados de la Seguridad Informática. En la segunda entrega se explican los diferentes protocolos que hacen posible la comunicación entre computadoras, el modelo OSI, el protocolo TCP/IP, ICMP, UDP y ARP con el que se finaliza realizando un laboratorio practico.

Descargar Capitulo 2 de “El Atacante Informático”

Capítulos Publicados:

Para Mas Información:
IT Forensic

También puede interesarte...

(IN)SECURE Magazine Edición 21

Cortex — Tue, 02 Jun 2009 16:18:42 +0000

Ya se encuentra disponible la edición 21 (Julio 2009) de la revista (IN)SECURE. Se hace un énfasis especial a la Seguridad de Windows 7 destacando el análisis de varios aspectos como el modo de autenticación de usuarios, Bitlocker, firewall, UAC, y mucho más.

Algunos de los temas tratados en esta publicación:

Malicious PDF: Get owned without opening
Review: IronKey Personal
Windows 7 security features: Building on Vista
Using Wireshark to capture and analyze wireless traffic
“Unclonable” RFID – a technical overview
Secure development principles
Q&A: Ron Gula on Nessus and Tenable Network Security
Establish your social media presence with security in mind
A historical perspective on the cybersecurity dilemma
A risk-based, cost effective approach to holistic security
MUCHO MÁS…

Un total de 141 páginas y 14MBs.

Descargar

También puede interesarte...

SeguriSemanal I

Cortex — Sun, 31 May 2009 15:44:20 +0000

Damos inicio a una serie de posts que se irán escribiendo semanalmente en los que se recopilarán enlaces sobre nuevas tendencias, aplicaciones y actualizaciones de las mismas, todo relacionado con la Seguridad Informática.

Una semana bastante movida; con muchos lanzamientos y vulnerabilidades de por medio.

Comenzamos haciendo eco al lanzamiento del Service Pack 2 de Windows Vista y Windows Server 2008 (32 bits y 64 bits). Muchas de las copias que circulan en la red están troyanizadas, lo más recomendado es hacer el update diréctamente desde el sitio de Microsoft.
Se encuentra disponibe la versión 1.0.8 de Wireshark. Se solucionan varios bugs (como el del disector PCNFSD) y además se incluye un paquete experimental para Mac OS X 10.5.5 y posteriores.
Liberada la versión 6 de l0phtcrack. Los chicos de Security By Default hacen un análisis de lo nuevo en este lanzamiento.
Se descubre un 0 day en Microsoft Direct X que permite la ejecución código arbitrario en los sistemas afectados por medio de archivos Quicktime. De momento Microsoft no ha anunciado ningún parche aunque con una serie de procedimientos se puede solucionar el problema temporalmente.
Se aproxima un verano de Seguridad en España; 4 interesantes conferencias con los títulos Red segura con tu swiches, Sé tu Active Directory, Gestiona todas tus máquinas con el Active Directory, Ruegos y preguntas. Serán realizadas entre los días 23 de Junio y 14 de Julio en las ciudades de Vigo, Valencia, Bilbao y Barcelona.
El proyecto Nexenta ha realizado el lanzamiento de la versión 2.0 de su sistema operativo, el cual combina el kernel de OpenSolaris con lo mejor de Ubuntu.
La gente de Seguridad Wireless anuncia la disponibilidad de la versión 1.1 de wlandecrypter en la cual se añade la función para ESSIDs cambiados y BSSIDs de telefónica.
La empresa noruega Norman informa el lanzamiento de Norman Endpoint Protection, la solución de seguridad de próxima generación para empresas y organizaciones.
Snort celebra su décimo aniversario y se anuncia la versión release candidate 2.8.5 del popular detector de intrusos bautizado con su mismo nombre. DeepNines Technologies anuncia también la versión 6.0 de su servidor proxy que entre sus muchas capacidades es compatible con Snort.
D-Link crea un widget monitor de red con el cual podemos tener estadísticas en tiempo real sobre la velocidad de la red, direcciones IPs, configuraciones de seguridad, conexiones en los puertos y mucho más.
Y damos fin a este bloque anunciando (sí, otro anuncio más ) la versión 4.0.1 del famoso escaner de vulnerabilidades Nessus. Básicamente son soluciones a bugs detectados y la adición de soporte más esquemas de autenticación.

Esperemos lo que nos depara esta nueva semana (y mes) apunto comenzar

También puede interesarte...

Guía Basica de Wireshark

DragoN — Sun, 07 Sep 2008 23:23:51 +0000

Wiresharkes un capturador/analizador de paquetes de red (llamado a veces, sniffer o esnifer). Wireshark te permitirá ver, aun nivel bajo y detallado, qué está pasando en tu red. Además es gratuito, open source, y multiplataforma. Sin duda la mejor opción al momento de auditar nuestra red.

Posee una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras)

¿Para que/quien es util Wireshark?

Administradores lo usan para resolver problemas en la red
Ingenieros lo usan para examinar problemas de seguridad
Desarrolladores lo usan para depurar la implementación de los protocolos de red
Estudiantes los usan para aprender internamente cómo funciona una red

Seguir leyendo en casidiablo..