Inetvis. Representación tridimensional de capturas de red a partir de archivos pcap. Parte I

Ya hemos visto aquí diversas herramientas cuyo objetivo es la visualización o representación gráfica / visual, de capturas de red. Recordad por ejemplo:

Inetvis representación tridimensional capturas de red.  Ventana display.

En esta ocasión vamos a estudiar una herramienta que se sale de lo habitual. Se trata de representar de forma tridimensional, mediante un cubo, el tráfico de red a partir de un fichero libpcap (.cap / .pcap). Mediante unos esquemas y mapas de color, podremos interpretar el tráfico malicioso, scan de puertos…, una gran herramienta de seguridad para la detección de muchos ataques a nuestra red.  Esta herramienta es InetVis.

Introducción a InetVis.

InetVis está basado en el concepto de Spinning Cube of Potencial Doom. Se trata de una herramienta de visualicación tridimensional del tráfico de red, que, además, puede visualizarse reproduciéndose a lo largo del tiempo. Su objetivo principal es el análisis de tráfico anómalo a través de una serie de patrones.

Es multiplataforma y lo descargamos desde aquí:

Ojo con la versión para linux porque usa librerias libmysqlclient ya obsoletas.

El tráfico más facil de observar es un simple scan, que es lo que veremos en este primero artículo.

Cuando cargamos InetVis tenemos una ventana de visualización con un cubo que representa lo siguiente:

  • el eje z en color rojo representa las IP direcciones cuyo origen están en internet.
  • el eje x en color azul representa para red interna las IP o direcciones de destino.
  • el eje y en color verde representa los puertos de destino tanto tcp como udp.
  • el plano inferior en color gris representa el tráfico icmp.

La representación del tráfico de red la realiza a partir de archivos .pcap (.cap).

También a través de la interface de red que tengamos por defecto.

Disponemos de 4 paneles / ventanas:

  • ventana de visualización: visualización gráfica del tráfico
  • panel de control: para reproducir el tráfico, escalas de tiempo y filtros BPF.
  • plotter setting: para establecer rangos de red local y externa (internet). Rangos de puertos y esquemas (luego lo veremos)
  • reference frame setting: opciones de visualización del cubo, tamaños e los puntos, etc.

Los abriremos todos desde el panel de control > View

Podemos manejar el cubo para ir cambiando de prespectiva principalmente de la siguiente forma:

  • con el ratón y botón izquierdo para rotar el cubo
  • con la rueda central del ratón par hacer zoom
  • con el botón derecho para desplazamientos
  • Control+l, r, t, b para las vistas.

Hasta aquí la teoría. El resto lo veremos practicando.

Uso de InetVis. Carga fichero .pcap y primeras opciones.

InetVis está preparado para grandes archivos de tráfico de red. En mi caso he llegado a cargar archivos de hasta 1,2 Gb. sin problema alguno. al principo cuando cargamos un archivo, es posible que nos de un error para avisarnos que tenemos que indicar al menos, el rango de red local. Lo vemos.

El uso de InetVis es muy sencillo. Aquí lo importante es interpretar los datos gráficos obtenidos.

Una vez que cargamos Inetvis nos aseguramos que estamos en el Panel de control en Mode > Replay capture file.  Cargamos el fichero en File > Open y en el panel Plotter Setting > Destination Home Network Range introducimos las datos del rango de red interna. Tenemos que darle al botón OK. (V) para aplicar.

InetVis panel de control y plotter setting

En este mismo panel, y en Color Mapping usamos el schema Destination port. Elejimos el tamaño de puntos (2). suavizado, y fondo negro. Poco más si no queremos establecer rango acotado de red internet.

En Control Panel elegimos escala de tiempo adecudada al tamaño de nuestro fichero .pcap para la velocidad de reproducción y “damos” a play.

En la ventana InetVis Display veremos como, dependiendo del tamaño de fichero .pcap y densidad del tráfico, como se van rellenado de puntos conformando una serie de líneas, agrupaciones de puntos etc, a través de los ejes del cubo. Una vez terminado este proceso podemos comenzar a interpretar los datos obtenidos.

Interpretando los datos.

Para empezar, yo he cargado un fichero muy sencillo:

Ejemplo 1.

InetVis patrón de scan de puertos.

No vemos apenas densidad de puntos, esto denota muy poco tráfico de red. Una serie de putos por la parte baja que significa varios hosts actuando en los puertos más usuales (bajos) y algo de actividad icmp.

Inetvis display panel rotando cubo

Vemos, dentro del círculo blanco, una serie de 5 puntos rojos en línea a través del eje z que corresponde a direcciones de origen provenientes de interent. Como están en línea suponemos que usan el mismo puerto, además es un puerto bajo, son cinco puntos (hosts). Podría ser, de hecho es así, comunicaciones http desde 5 hosts distintos hacia un solo host en la red interna.

Lo más destacable es una línea vertical a lo largo del eje (y) que correspnde a los puertos de destino. Al ser una línea se trata de un solo host y muchos puertos. La gama de colores (de rojo a amariloo, verde, etc) se refiere al nivel de actividad que supone que los puertos bajos son los más usados y activos. En este caso se están usando como puertos de destino TODOS, con lo cual lo tenemos claro, se trata de un scan de puertos. Este patrón siempre se va a repetir para estos casos. Hay otros también de scan de puertos con decoys, etc que lo veremos en otros capítulos.

Por tanto, si tenemos un fichero muy grande de varias horas de captura, con Inetvis veremos rápidamente este tipo de tráfico sabiendo ya como son los patrones de cada tipo de tráfico.  También otros, lo veremos más adelante.

Aquí abajo, en una captura parecida a la anterior:

Ejemplo 2.

Inetvis

Tenemos una serie de puntos, en un mismo plano del eje z (rojo) pero en distintos niveles. Se trata de comunicaciones desde internet y distintos puertos (servicios) a un mismo host de la red local.

Ejemplo 3.

Se trata de una captura de mayor duración (varias horas). Situada en el gateway de salida a internet. Cargamos el fichero y:

inetvis ejemplo 3

Vamos a centranos en lo reseñado en blanco. Como estamos en el esquema de Destination port, situado y repartidos los hosts a lo largo del eje z y todos del mismo color, interpretamos que se trata de conexiones desde diferentes host desde internet a nuestra red interna y a un mismo puerto.

Si cambiamos el esquema lo vemos más claro (esquema source port o puerto origen):

inetvis squema source port o puerto de destino

Diferentes colores: diferentes puertos origen, misma altura en eje x: mismo puerto destino.

Otro esquema, en este caso Source ip address o direcciones IP origen:

Inetvis esquema de ip de origen

Diferentes colores: diferentes IP origen, misma altura en eje x: mismo puerto destino. 

Vamos ahora a acotar un poco el puerto de origen para situarnos mejor.

  • Desde el Panel de Control > View >  Plotter Setting, acotamos el Port Range y lo situamos entre 35000 y 35000.
  • Desde Panel de Control > View >  Reference Frame Setting ponemos el Opacity a 50 y green y-axis a 12.

Aplicamos y el resultado:

inetvis acotando resultados

Ya tenemos acotado el rango de puerto, ahora salvamos desde Control Panel > Record. Se salvará un archivo en el directorio raiz donde se guardó la carpeta de Inetvis:

  • InetVis-0.9.5.1-w32\recorded\pcaps\replayed\nombreficherocargado\archivo

ahí habrá un archivo, normalmente sin extensión, lo renombramos a .pcap y lo abrimos en Wireshark / Tshark, Windump

Y efectivamente:

inetvis salvar pcap y comprobar resultados

==

Hasta aquí por hoy.

En el próximo artículo avanzaremos en la interpretación del tráfico y patrones.

Hasta la próxima…

Esta entrada fue publicada en Seguridad y redes, Visualización Gráfica Tráfico red., Wireshark . Tshark. Guarda el enlace permanente.

3 respuestas a Inetvis. Representación tridimensional de capturas de red a partir de archivos pcap. Parte I

  1. nautilus dijo:

    alfon, hace tiempo que leo tu blog y sinceramente, cada vez me dejas más asombrado con la calidad y cantidad de cada uno de tus posts y artículos. Gracias porque se aprende mucho y se descubren programas que de otra forma ni flores.

  2. s1m0n dijo:

    Interesante. Buena info, gracias.

  3. Pingback: Visualización interactiva de tráfico de red con INAV. | Seguridad y Redes

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s