Seguridad y Redes

Tshark. Mostrando información de capturas con Json, EK Json y JQ. Parte I.

Publicado el 25 mayo, 2017 por Alfon

Vimos en un anterior artículo como formatear las columnas para que nos muestre Tshark solo la información deseada. Siempre en relación a la información estandard de columnas, tal como aparece en las preferencias de Wireshark. También el uso de Column Format. El parámetro %Cus y tcp.stream. Y otras muchas de formatear, mostrar la información desplegada por Tshark.

En esta ocasión trabajaremos con el forma Json / ek Json, que usado conjuntamente con Jq, resultará muy eficiente.

Seguir leyendo →

Anuncios

Publicado en Seguridad y redes, Wireshark . Tshark | 1 Comentario

Esas pequeñas utilidades. CSPLIT. Con Suricata_IDS, TCPDump, Netsniff-ng.

Publicado el 21 mayo, 2017 por Alfon

Seguimos con la serie Esas pequeñas utilidades. En esta ocasión CSPLIT, una herramienta que divide un archivo grande, en nuestro caso logs, en otros más pequeños según un determinado patrón. Es posible que, cuando tenemos logs muy grandes, queramos dividirlos según un determinado criterio para parsear, estudiarlo, etc de forma más cómoda.

Para ilustrar el funcionamiento de esta utilidad, voy a usar logs de Suricata_IDS, TCPDump, Netsniff-ng.

Seguir leyendo →

Publicado en Esas pequeñas utilidades, Seguridad y redes, Suricata, Windump. TCPDump | Deja un comentario

Shodan command-line (CLI). Tips. Buscando con xargs, download y parse.

Publicado el 20 mayo, 2017 por Alfon

Después de mucho tiempo sin escribir, creo que va siendo hora de ir quitando las telarañas del blog. En esta ocasión arranco con un pequeño tip sobre búsquedas con Shodan CLI. Una cosa sencilla, básica, pero que espero os sirva.

Seguir leyendo →

Publicado en Esas pequeñas utilidades, Seguridad y redes, Shodan_CLI | Deja un comentario

Tshark. Extrayendo información de imágenes en capturas HTTP.

Publicado el 18 marzo, 2016 por Alfon

Hemos visto hasta ahora las muchas formas que tenemos de usar Tshark. Por ejemplo:

Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark., Geolocalización GeoIP mediante Column format/proto.colinfo, análisis de eventos SMB/CIFS – Netbios, captura remota de paquetes, Column format mediante %Cus y tcp.stream, filtrado frame/frame.protocols, estadísticas COUNT, SUM, MIN, MAX, AVG, filtros XML/RSS y estádisticas, filtros HTTP, detección de problemas en la red, análisis de correo SMTP, detección borrado ficheros de nuestra red, filtros y estádisticas, etc, etc.

En esta ocasión vamos a ver una forma de extraer información muy concreta: imágenes png / jpg / gif y correlacionarlas con otro tipo de información HTTP. Algo básico para empezar esta nueva “temporada” de artículos.

Seguir leyendo →

Publicado en Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes, Wireshark . Tshark | 1 Comentario

Visualización y análisis de tráfico de red con Malcom Malware Communication Analyzer y Bro IDS. Parte I.

Publicado el 27 enero, 2014 por Alfon

Seguimos, una vez más, con la serie dedicada a visualización gráfica de tráfico de red. En esta ocasión, con una herramienta GNU/Linux con la que podremos visualizar gráficamente los nodos/hosts involucrados en una captura .pcap. Esta herramienta es Malcom, desarrollada en python (usa también scapy) y al a que accedemos (webserver) desde un simple navegador.

Malcom.

Además tenemos una serie de facilidades para interpretar el tráfico y visualizar las comunicaciones entre nodos que iremos viendo a continuación. Malcom está orientado sobre todo a la detección/análisis de malware. En esta primera parte veremos la interface y el uso básico.

Veremos, también como con Bro IDS/IPS también podemos detectar, en un primer pase, el incicio de Malware y analizarlo un poco más con Malcom.

Seguir leyendo →

Publicado en Bro-IDS, Malware, Seguridad y redes, Visualización Gráfica Tráfico red. | Etiquetado bro malware malcom analisis pcap | 2 comentarios

Netsniff-ng. Un sniffer diferente de alto rendimiento. Parte 2.

Publicado el 21 marzo, 2013 por Alfon

Ya vimos en la primera parte de esta serie dedicada a Netsniff-ng la instalación de esta herramienta y us uso básico. En esta ocasión vamos a avanzar un poco más.

Instalaremos la última versión de Netsniff-ng y veremos otras formas de uso más avanzadas, creación de filtros personalizados, rendimiento, astraceroute, trafgen, etc.

Al lío…

Seguir leyendo →

Publicado en Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes | Etiquetado netsniff-ng pcap bpf astraceroute trafgen | 3 comentarios

Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark.

Publicado el 20 septiembre, 2012 por Alfon

A lo largos de todos estas años, desde el blog, hemos estudiado las muchas formas que tenemos de usar Tshark. Hemos visto artículos sobre Geolocalización GeoIP mediante Column format/proto.colinfo, análisis de eventos SMB/CIFS – Netbios, captura remota de paquetes, personalización Column format mediante %Cus y tcp.stream, filtrado frame/frame.protocols, estadísticas COUNT, SUM, MIN, MAX, AVG, filtros XML/RSS y estádisticas, filtros HTTP, detección de problemas en la red, análisis de correo SMTP, detección borrado ficheros de nuestra red, filtros y estádisticas, etc, etc.

En esta ocasión vamos a realizar un Follow TCP Stream pero no desde Wireshark, que sería lo normal, lo haremos desde Tshark mediante línea de comandos.

Seguir leyendo →

Publicado en Seguridad y redes, Wireshark . Tshark | Etiquetado tshark wireshark tcp | 3 comentarios

Tcpick. Capturando y visualizando impresiones en red con -wR desde fichero .pcap.

Publicado el 19 septiembre, 2012 por Alfon

Ya vimos en su momento que la herramienta Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc. Subrayo lo de mostrar información de payload o carga últil porque, en esta ocasión, vamos a usar esta característica de Tcpick para visualizar información de archivos de impresiones en red.

Seguir leyendo →

Publicado en Herramientas, Seguridad y redes | Etiquetado tcpick pcap | 1 Comentario

PRADS. Passive Real-time Asset Detection System.

Publicado el 13 septiembre, 2012 por Alfon

Para la detección de sistema operativo basado en OS fingerprinting exite diversas herramientas y técnicas, pueden ser también herramientas de análisis pasivo o activo, etc. Tenemos por ejemplo p0f y QuesSO (implementadas en herramientas como scapy), Satori, etc. NetworkMiner también lo hace.

En esta ocasión vamos a instalar y ver el funcionamiento de PRADS (Passive Real-time Asset Detection System), una herramienta perl para la detección de sistema operativo en tiempo real.

Seguir leyendo →

Publicado en Seguridad y redes | 1 Comentario

Suricata IDS/IPS 1.4b1 Instalación y configuración en Ubuntu mediante PPA. Custom HTTP logging.

Publicado el 12 septiembre, 2012 por Alfon

Inicio este nuevo año “escolar” con un nuevo artículo sobre Suricata IDS/IPS. En esta ocasión vamos a instalarlo en Ubuntu 12.04 mediante PPA (Personal Package Archives), veremos nuevas características y aprovecharemos para avanzar un poco más (Custom HTTP Logging).

Seguir leyendo →

Publicado en Seguridad y redes, Suricata | Etiquetado suricata ids deteccion-intrusos | 1 Comentario

Gulp y los mecanismos de rendimiento en herramientas de captura de red .pcap.

Publicado el 6 julio, 2012 por Alfon

Hace algún tiempo, en twitter, escribí sobre los mecanismos que algunas herramientas como Bro IDS, Suricata IDS/IPS, netsniff-ng, Snort, Vortex IDS, etc, implementan para evitar pérdida de paquetes y aumentar el rendimiento, muy importante en redes de más de 1Gbit y mucho tráfico. En este artículo pongo en orden estos tips sobre rendimiento y avanzaremos un poco más.

En esta ocasión, además, instalaremos y podremos en prueba la herramienta Gulp para mejorar el rendimiento de tcpdump, tshark, etc.

Al lío……

Seguir leyendo →

Publicado en Herramientas, Seguridad y redes | Etiquetado pcap tcpdump tshark | 5 comentarios

Seguridad y Redes

Tshark. Mostrando información de capturas con Json, EK Json y JQ. Parte I.

Esas pequeñas utilidades. CSPLIT. Con Suricata_IDS, TCPDump, Netsniff-ng.

Para ilustrar el funcionamiento de esta utilidad, voy a usar logs de Suricata_IDS, TCPDump, Netsniff-ng.

Shodan command-line (CLI). Tips. Buscando con xargs, download y parse.

Después de mucho tiempo sin escribir, creo que va siendo hora de ir quitando las telarañas del blog. En esta ocasión arranco con un pequeño tip sobre búsquedas con Shodan CLI. Una cosa sencilla, básica, pero que espero os sirva.

Tshark. Extrayendo información de imágenes en capturas HTTP.

Hemos visto hasta ahora las muchas formas que tenemos de usar Tshark. Por ejemplo:

En esta ocasión vamos a ver una forma de extraer información muy concreta: imágenes png / jpg / gif y correlacionarlas con otro tipo de información HTTP. Algo básico para empezar esta nueva “temporada” de artículos.

Visualización y análisis de tráfico de red con Malcom Malware Communication Analyzer y Bro IDS. Parte I.

Además tenemos una serie de facilidades para interpretar el tráfico y visualizar las comunicaciones entre nodos que iremos viendo a continuación. Malcom está orientado sobre todo a la detección/análisis de malware. En esta primera parte veremos la interface y el uso básico.

Veremos, también como con Bro IDS/IPS también podemos detectar, en un primer pase, el incicio de Malware y analizarlo un poco más con Malcom.

Netsniff-ng. Un sniffer diferente de alto rendimiento. Parte 2.

Ya vimos en la primera parte de esta serie dedicada a Netsniff-ng la instalación de esta herramienta y us uso básico. En esta ocasión vamos a avanzar un poco más.

Instalaremos la última versión de Netsniff-ng y veremos otras formas de uso más avanzadas, creación de filtros personalizados, rendimiento, astraceroute, trafgen, etc.

Al lío…

Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark.

En esta ocasión vamos a realizar un Follow TCP Stream pero no desde Wireshark, que sería lo normal, lo haremos desde Tshark mediante línea de comandos.

Tcpick. Capturando y visualizando impresiones en red con -wR desde fichero .pcap.

PRADS. Passive Real-time Asset Detection System.

Para la detección de sistema operativo basado en OS fingerprinting exite diversas herramientas y técnicas, pueden ser también herramientas de análisis pasivo o activo, etc. Tenemos por ejemplo p0f y QuesSO (implementadas en herramientas como scapy), Satori, etc. NetworkMiner también lo hace.

En esta ocasión vamos a instalar y ver el funcionamiento de PRADS (Passive Real-time Asset Detection System), una herramienta perl para la detección de sistema operativo en tiempo real.

Suricata IDS/IPS 1.4b1 Instalación y configuración en Ubuntu mediante PPA. Custom HTTP logging.

Inicio este nuevo año “escolar” con un nuevo artículo sobre Suricata IDS/IPS. En esta ocasión vamos a instalarlo en Ubuntu 12.04 mediante PPA (Personal Package Archives), veremos nuevas características y aprovecharemos para avanzar un poco más (Custom HTTP Logging).

Gulp y los mecanismos de rendimiento en herramientas de captura de red .pcap.

En esta ocasión, además, instalaremos y podremos en prueba la herramienta Gulp para mejorar el rendimiento de tcpdump, tshark, etc.

Al lío……

>ARTICULOS

>BUSCAR

>CATEGORIAS

>COMENTARIOS

Daboweb | Seguridad y ayuda informática |

Nauscopio Scipiorum

RSS.

Seguridad y Redes en Twitter.

Seguridad y Redes

Meta

Páginas

Mejor calificado