TNV. Herramienta gráfica de visualización e interpretación de tráfico de red.

Seguimos con esta serie dedicada a herramientas de visualización gráfica de tráfico de red. Hemos visto ya Xplico y AfterGlow.

En esta ocasión vamos a estudiar una herramienta  basada en Java, por tanto multiplataforma, muy interesante, ya que nos permite la visualización gráfica del tráfico de red, la interpretación de datos y el detalle de los paquetes involucrados en la captura. Se trata de TNV ( Computer network traffic visualization tool).

Analizaremos varias capturas, desde la más sencilla a la más compleja e interpretaremos los datos obtenidos a través de las gráficas, controles, Displays, Filtros, detalle de los paquetes,…

TNV. Computer Network Traffic Visualization Tool. Configuración. La interfaz.

Si ejecutamos, una vez descargado el software desde aquí: http://sourceforge.net/projects/tnv/files/tnv/0.3.9/tnv_java_0.3.9.zip/download

el archivo tnv_startup.bat, se nos abre la interface gráfica de TNV. Pero antes tendremos que configurar un par de aspectos:

• Setup your home (local) network address (0-255) and netmask.
• Chose the type database to use.

Así que pulsamos el botón Begin Using TNV y en Setup your home (local) network address (0-255) and netmask introdicimos la dirección que corresponda a nuestra red y pulsamos en Save. A continuación se nos abre una segunda y última ventana para configurar el tipo de base de datos a usar. La embebida o MySQL. Usamos la embebida y OK.

Una vez tenemos nuestro interfaz abierto tenemos, para empezar:

• Menu File. donde podemos importar o exportar nuestro fichero .pcap. Abrir base de datos y gradar base de datos.
• Menu Capture. donde podemos realizar una captura en tiempo real.con lo que se nos abrirá una ventana para indicar el dispositivo de red, el modo promíscuo y el snaplen (-s en windump o tcpdump).
• Panel Derecho. Pestaña Display  opciones de visualización, Filter con opciones de filtrado y marcado y Port para visualización Origen Destino. Lo vemos ahora con los ejemplos.

Cuando tengamos los datos de una captura, en este caso importando los datos de un .pcap, tendremos la interfaz dividida de la siguiente forma:

• color azul los hosts remotos
• color gris los links que relaciona host y los paquetes (lo vemos después)
• zona central color rosado para dirección de entrada o salida de los paquetes, flags o banderas, etc. Lo veremos más detalladamente.
• color verde para host locales
• color amarillo para actividad gráfica, diálogo entre puertos
• abajo el timeline o línea de tiempo.

Hay más, lo iremos viendo a través de los ejemplos.

Importando ficheros .pcap. Ayudas a la interpretación de datos.

Vamos a importar un fichero .pcap correspondiente a una pqueña captura. solo 3 paquetes que forman parte del tráfico establecido y relacionado con un scan nmap.

Menu >Import .pcap file…

Como se trata de solo tres paquetes, no vendrá bien para una primera aproximación.

• Arriba tenemos la línea de tiempo desde 18:32:00 a 18:32:48.
• si pasamos en ratón por encima del cuadro señalado (segundo por la izquierda) se nos presenta una etiqueta informativa con datos de host, protocolo, número de paquetes, puertos origen y destino.
• Enmarcado en rojo tenemos los dos hosts involucrados, en verde los paquetes de entrada, morado el de salida, número de paquetes que corresponden a cada uno de ellos.
• En el segundo cuadro por la izquierda se aprecian unos cuaadraditos de colores. doble click para amplia y….:

vemos que se trata de unos cudraditos de colores. corresponden a los flags TCP. Esto no lo vemos si antes no hemos marcado la opción, en la columna de la derecha (Display) abajo… Packet Display > Display TCP flags.

El código de colores usado para los flags TCP los tenemos y podemos modificar en: View > Color preferences….

Detalle de los paquetes.

Podemos ver el detalle de los paquetes, de forma similar, a como lo veríamos con Wireshark. Para ello, situándones en la zona central, en lo cuadros de representación de paquetes, botón derecho del ratón y elegimos Show packet detail for 192.168.1.5…:

y entonces:

.

Los paquetes no están en orden. Para obtener la secuencia ordenada de la sesión de captura nos vamos a: Menú View > View All Packets Detail. También podemos obtener los paquetes ordenados pulsando en Date (abajo en la segunda columna) para ordenar por tiempo.

En la pantalla anterior:

observad que tenemos una serie de herrmientas como:

• whois
• reverse DNS…
• traceroute
• lookup
• ping

Captura on live. Interpretación de datos y ayudas visuales.

Bien, vamos hora a realizar una captura on live. No importamos entonces ningún archivo .pcap. Para ellos nos vamos al Menú: Capture > Capture packets. Cuando terminemos pulsamos Stop.

NOTA: En algunos casos la opción de captura on live puede provocar errores en TNV. Casi es mejor capturar con tcpdump, tshark, windump, etc y luego importar el archivo pcap. Se generará un archivo .log con el error.

Al pulsar Stop visualizamos los datos. Por partes:

Aquí, a diferencia de la anterior captura, vemos que tenemos un host remoto y tres host locales (marcado en azul el remto y en rojo los locales )

Tenemos marcados también los licks o enlaces del host remoto con 192.178.1.5 y 192.168.1.250 con 192.168.1.255.

viendo la etiqueta del diálogo entre 192.168.1.250 con 1.255 observamos que se trata de 4+4 paquetes con el puerto 137, UDP (podeis abrir una venana con el detalle de los paquetes) y veréis que  se trata de un díalogo de servicio de descubrimiento de nombres NETBIOS que lo vimos extensamente en Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 1. entre 1.250 y 2.255 (Broadcast).

Seguimos.

Ahora vemos un diálogo con 13 paquetes entre 192.168.1.5  y un host remoto 209.85.277.105.

Vemos los detalles y tras ordenar los paquetes por Date, observamos que:

• los paquetes 1 a 3 son un establecimiento de conexión con el host remoto. Oodemos ver con los cuadraditos de colores y el codigo de colores los flags: SYN, SYN+ACK, ACK.
• en el paquete 4 se realiza una petición HTTP GET, lo observamos en el Payload modo ASCII.
• etc,

En la columna de la derecha observamos en Ports la gráfica de diálogo entre puertos.

Grandes capturas.

Si abro la aptura que usé para el artículo sobre Skype (Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1). Podemos observar una gran cantidad de host remotos  y los links. si nos situamos y desplazamos por los links veremos información del tráfico establecido.

Abajo, en la línea de tiempo tenemos a ambos lados unas barras de desplazamiento para acotar, según el tiempo, la viisualización de la captura:

Observad:

• marcado en rojo la delimitación de la línea de tiempo para acotar la captura
• en azul arriba, y debido a la acotación, se difuminan y/o desparace los datos que no forman parte de la línea acotada.

Si hacemos doble click en los hosts remotos, columna izquierda, se quedará marcado en azul y también su link y zona de datos central correspondiente.

En la columna de la derecha en Filtros podemos acotar / filtrar otros aspectos de la captura. Y en Display los tamaños, número de columnas, orden, tipo de líneas de links, etc.

Archivos de Configuración.

Tenemos en \tnv-0.3.9\config dos archivos de configuración:

• datatools.txt aquíse establece la configuración de las herramientas del menú contextual (botón derecho). Herramietnas como ping, traceroute, etc.
• tnv.properties aquí configuramos lo que podemos ver en la columna de la derecha > pestaña Display.

Bases de datos.

A aparte de MySQL, TNV trabaja, relativo a las bases de datos, con HSQLDB.

SQLDB (Hyperthreaded Structured Query Language Database) es un sistema de gestión de bases de datos relacionales desarrollado en Java. TNV trabaja con este sistema gestionando las bases de datos tanto en atrchivo como en memoria. Por ello, para usar las base de datos embebida, hay que salvar los datos.

Las bases de datos creadas las podemos abrir desde TNV, pero también desde HyperSQL Database Engine. Una base de datos TNVcreada en archivo puede ser: tnvdb.h2.db

=====

Hasta aquí por hoy.