NetGrok. Visualizando gráficamente el tráfico de red en tiempo real. Visualización pcap.

Seguimos con la serie dedicada a la representación gráfica de tráfico de red. En esta ocasión vamos a estudiar NetGrok, herramienta multiplataforma basada en Java. NetGrok trabaja, como la mayoría de herramientas que hemos visto, tanto con ficheros .pcap como directamente desde una interface de red, pudiendo, de esta forma, realizar el análisis del tráfico en tiempo real.

NetGrok. Configuración. La interface.

Vamos a trabajar, en esta ocasión, en un sistema Windows. Descargamos la herramienta desde aquí: http://code.google.com/p/netgrok/downloads/list, y descomprimimos.

Antes que nada hay que realizar algún ajuste en el archivo:

• Netgrok/groups.ini 

Este archivo contiene dos secciones:

• local: configuración de segmentos de red locales.
• foreing: resolución de dominios o nombres de sitios/IP de forma manual.

En la sección local tenemos por defecto:

[local]
Private1=Wireless=192.168.0.0/16
Private2=172.16.0.0/12
Private3=10.0.0.0/8

En mi caso lo dejé de la siguiente forma:

[local]
Red_Local_01=192.168.x.0/24
Red_Local_02=192.168.xx.0/24
Red_Local_03=192.168.xxx.0/24

Eliminé lo que no existe y añadí según el escenario a analizar.

Ejecutamos NetGrok haciendo click sobre el .jar directamente.

La interface.

La interface, en pantalla principal tenemos 3 pestañas:

• Graph View. Pantalla principal. Representación del tráfico de red por medio de elementos que indican hosts, grupos de hosts, enlaces entre ellos (atendiendo a conexiuoens establecidas). Representa, también, la arquitectura o topología de la red analizada. Todos los hosts que se encuentren dentro del círculo con línea discontínua forman parte de la red local, el resto, NetGrok lo considera fuera de esta.Podemos obtener mayor información pasando el ratón por encima de cada uno de los nodos que indican hosts o grupos. Una de las informacioens que proporciona es el Bandwidth.

• TreeMap View. Es un modo de representación cuyo objetivo es facilitar la comprensión y análisis de gran volumen de datos pcap. De una sola vista podemos ver cuales son los hosts que generan mayor tráfico de red. Los cuadros rojos repesentan los de mayor tráfico, los verdes se sitúan en un estado intermedio y los blancos son de casi nula actividad. A la derecha se sitúan los host incluidos en la red local interna, a la derecha lo que se sitúan en la zona exterior o fuera de la red interna.

• EdgeTable. Listado de hosts involucrados en la captura.

Además, a la derrcha tenemos:

• Zona de filtrado. Para rangos de red. Si establecemos un rango, por ejemplo 192.168.1.x/36, solo veremos este host ó 192.168.1.x/24, etc.
• Zona de Detalles e información bajo demanda (cuando pasamos el ratón por algun nodo/host o grupo).

Otras operaciones.

Si nos situamos sobre un grupo o nodo/host, podemos con el botón derecho del ratón, acceder a un menú contextual en el que indicaremos si queremos que (las dos opciones más importantes) aparezcan fijas las líneas de conexióny que se quedna fijos los nodos.

Podemos también realizar zoom sobre Graph View (botón central o rueda ratón) y desplazar los nodos (botín izquierdo fijo).

Ejecutando NetGrok.

Para comenzar a ver como funciona solo tenemos que ir a File > Open Pcap File….

Bien, tenemos lo siguiente:

• Dentro del circulo con línea discontínua (red interna) se encuentra una zona gris (grupo Red_loca_01 que configuramos en groups.ini). Dentrode este tenemosd una serie de nodos verdes de actividad media, unos naranja/rojo de mayor actividad y blanco de muy poca o nula actividad. Si nos situamos sobre el nodo/host rojo veremos unas lineas que son las conexiones establecidad con hosts de la red interna y otros hosts/grupos de la red externa.
• Fuera de la red interna, tenemos varios hosts asilados de actividad media y un grupo (zona naranja claro) que está definido en el archivo groups.ini como Google y contiene 3 hosts. Toda la información de la que podemos disponer la obtendremos pasando el ratón por encima.
• Abajo, línea de tiempo. Tenemos los periodos de actividad del tráfico.

Ahora vamos a ver algunos ejemplos.

Caso 1.

Vemos lo siguiente:

• Dos segmentos de red diferenciados dentro de la red interna.
• Uno de los segmentos (segmento 2) con conexiones con algunos hosts nodos segmento 2.
• En segmento 2 tenemos dos host con mayor tráfico de red.
• El período de mayor actividad en el tiempo… marcado en azul.

Si nos situamos en la pestaña de TreeMap View:

Vemos que si no situamos en el cuadro rojo que corresponde al host de mayor actividad, se «encienden» solo los hosts que tiene comunicación con este.

Si nos situamos de nuevo en la pantalla principal en pestaña Graph View (también en las demás), podemos, presionando sobre cada uno de los extremos de la barra de desplazamiento, acotar según:

• línea de tiempo
• normalized Bandwidth
• normalized degree

por ejemplo:

De la misma forma podemos situarnos dentro de la barra y desplazarnos, comenzar desde el principio y desplazar solo un extremo (para ver la secuencia completa de como se suceden las conexiones, etc.).

Si hacemos esto con normalized Bandwidth entonces podeos acotar según los host o nodos que más actividad tienen.

Caso 2.

En la línea de tiempo vemos una actividad muy sostenida en el tiempo. Se trata de un ACK Scan.

NetGrok es una buena herramienta, sobre todo, para analizar cuando existe cantidad de tráfico inusual, atendiendo también a la topología de red que forma parte de las conexiones involucradas.

Caso 3.

Aquí no hay red interna. Se trata de conexiones entre host directamente a la red externa internet. Se trata de una conversación VoIP entre los dos hosts de color más oscuro (mayor actividad entre ellos).

Caso 4.

Se trata de conexiones realizadas durante un inicio de sesión Skype.

Sobre sobre tráfico de red y Skype vimos algo aquí: Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1

====

Hasta aquí por hoy. Si hay demanda veremos algunos casos sobre botnet, tráfico malicioso, etc.