De forma parelela a otras técnicas y/o herramientas que ya hemos visto, en los diferentes artículos deicados a AfterGlow, hemos estudiados las diversas técnicas de visualización de tráfico de red. Hemos visto como generar las gráficas atendiendo a la procedencia de los datos (.csv .dot), qué campos TCP/UDP, etc, incluir. También los tipos de gráficas, y como modelarlas usando archivos de propiedades, generacion de gráficas a partir de alertas Snort, etc, etc.
En esta ocasión, como si de unos tips se tratasen vamos a ver algunos ejemplos para la deteccion de tráfico sospechoso, prohibido o cualquier tráfico que necesitemos detectar pero de una forma rápida, sencilla y visual. GNU/Linux y Windows.
Introducción.
Se trata de una seire de tips que nos serviran como ejemplos para aplicar a vuestras propias necesidades.
Aunque estos ejemplos está realizados bajo Linux, se pueden realizar también en un sistema Windows: Visualización gráfica de ficheros .pcap con AfterGlow… para Windows.
También: Visualización gráfica de ficheros .pcap con AfterGlow. Para GNU/Linux.
Decir también que para crear los archivos .csv podeos usar directamente Wireshark
Quién hay usando Skype en mi red.
Tenemos un archivo diario de captura de red. La información que contiene, aún filtrada, es bastante abultada. Queremos saber de unafoerma rápida y sencilla quién usa skype en nuestra red (en negrita lo más importante):
> tshark -nn -r 02032011.pcap -R «dns» -T fields -E separator=, -e ip.src -e dns.qry.name -e ip.dst | sort -u > grafica_skype.csv
> cat grafica_skype.csv | perl afterglow.pl -c color.skype > grafica_skype.dot
> neato -Tpng -o grafica_skype.png ./grafica_skype.dot
El esquema de propiedades color.skype es el siguiente ( en negrita y color lo más importante):
color.source=»yellow» if ($fields[0]=~/^192\.168\..*/);
color.source=»lightblue» if ($fields[0]=!~/^192\.168\..*/);
color.source=»invisible»;
shape.source=»ellipse»;
color.event=»red» if ($fields[1] =~ /ui.skype.com/);
color.event=»invisible«;
shape.event=»box»;
color.target=»green»;
shape.target=»ellipse»;
color.edge=»blue»;
El resultado:
Sobre Skype en Seguridad y Redes:
Skype. Algunas consideraciones sobre Skype. Información almacenada en el usuaro. Análisis forense.
Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1
Quién usa Ares en mi red.
tshark -nn -r ares_captura.cap -R «tcp» -T fields -E separator=, -e ip.src -e http.request.uri -e ip.dst | sort -u > grafica_ares.csv
cat grafica_ares.csv | perl afterglow.pl -c color.ares > grafica_ares.dot
neato -Tpng -o grafica_ares.png ./grafica_ares.dot
El esquema de propiedades color.ares es el siguiente ( en negrita y color lo más importante):
color.source=»yellow» if ($fields[0]=~/^192\.168\..*/);
color.source=»lightblue» if ($fields[0]=!~/^192\.168\..*/);
color.source=»invisible»;
shape.source=»ellipse»;
color.event=»red» if ($fields[1] =~ /ares/);
color.event=»invisible«;
shape.event=»box»;
color.target=»green»;
shape.target=»ellipse»;
color.edge=»blue»;
El resultado:
Sobre detección de P2P en nuestra red (2008):
Wireshark. Tshark. Detectando tráfico P2P en nuestra red.
Eventos SMB / Microsoft Windows Browser Protocol.
Básicamente registra los nombres SMB/CIFS/NetBIOS de una red, para almacena y compartir con los demás hosts de la red.
Nos centramos en
- Host Announcement para anuncio SMB (0x01).
- Request Announcement (0x02) para el request.
- browser.response_computer_name para respuesta de nombre de host.
> tshark -nn -r 02032011.pcap -T fields -E separator=, -e ip.src -e browser.command -e browser.response_computer_name | sort -u > grafica_smb.csv
> cat grafica_smb.csv | perl afterglow.pl -c color.smb > grafica_smb.dot
> neato -Tpng -o grafica_smb.png ./grafica_smb.dot
El esquema de propiedades color.smb es el siguiente ( en negrita y color lo más importante):
color.source=»yellow» if ($fields[0]=~/^192\.168\..*/);
color.source=»lightblue» if ($fields[0]=!~/^192\.168\..*/);
color.source=»invisible»;
shape.source=»ellipse»;
color.event=»red» if ($fields[1] =~ /0x01/);
color.event=»salmon» if ($fields[1] =~ /0x02/);
color.event=»invisible«;
shape.event=»box»;
color.target=»green»;
shape.target=»ellipse»;
color.edge=»blue»;
El resultado:
- En rojo 0x01 Host Announcement
- Amarillo IPs de la red local
- Salmón 0x02 Request Announcement
- Verde Host Name en respuesta al Request Announcement
Sobre SMB / CIFS / NeTBIOS:
Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 1.
Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 2.
Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 3.
Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 4.
Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 5.
===
Y hasta aquí por hoy. Hasta la próxima.