Visualización gráfica tráfico de red con AfterGlow. Detectando eventos o tráfico sospechoso en nuestra red.

De forma parelela a otras técnicas y/o herramientas que ya hemos visto, en los diferentes artículos deicados a AfterGlow, hemos estudiados las diversas técnicas de visualización de tráfico de red. Hemos visto como generar las gráficas atendiendo a la procedencia de los datos (.csv .dot), qué campos TCP/UDP, etc, incluir. También los tipos de gráficas, y como modelarlas usando archivos de propiedades, generacion de gráficas a partir de alertas Snort, etc, etc. 

En esta ocasión, como si de unos tips se tratasen vamos a ver algunos ejemplos para la deteccion de tráfico sospechoso, prohibido o cualquier tráfico que necesitemos detectar pero de una forma rápida, sencilla y visual. GNU/Linux y Windows.

Introducción.

Se trata de una seire de tips que nos serviran como ejemplos para aplicar a vuestras propias necesidades.

Aunque estos ejemplos está realizados bajo Linux, se pueden realizar también en un sistema Windows: Visualización gráfica de ficheros .pcap con AfterGlow… para Windows.

También: Visualización gráfica de ficheros .pcap con AfterGlow. Para GNU/Linux.

Decir también que para crear los archivos .csv podeos usar directamente Wireshark

Quién hay usando Skype en mi red.

Tenemos un archivo diario de captura de red. La información que contiene, aún filtrada, es bastante abultada. Queremos saber de unafoerma rápida y sencilla quién usa skype en nuestra red (en negrita lo más importante):

> tshark -nn -r 02032011.pcap -R “dns” -T fields -E separator=, -e ip.src -e dns.qry.name -e ip.dst | sort -u > grafica_skype.csv

> cat grafica_skype.csv | perl afterglow.pl -c color.skype > grafica_skype.dot

> neato -Tpng -o grafica_skype.png ./grafica_skype.dot

El esquema de propiedades color.skype es el siguiente ( en negrita y color  lo más importante):

color.source=”yellow” if ($fields[0]=~/^192\.168\..*/);
color.source=”lightblue” if ($fields[0]=!~/^192\.168\..*/);
color.source=”invisible”;
shape.source=”ellipse”;

color.event=”red” if ($fields[1] =~ /ui.skype.com/);
color.event=”invisible“;
shape.event=”box”;

color.target=”green”;
shape.target=”ellipse”;

color.edge=”blue”;

El resultado:

visualizacion grafica trafico red afterglow deteccion skype

Sobre Skype en Seguridad y Redes:

Skype. Algunas consideraciones sobre Skype. Información almacenada en el usuaro. Análisis forense.

Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1

Quién usa Ares en mi red.

tshark -nn -r ares_captura.cap -R “tcp” -T fields -E separator=, -e ip.src -e http.request.uri -e ip.dst | sort -u > grafica_ares.csv

cat grafica_ares.csv | perl afterglow.pl -c color.ares > grafica_ares.dot

neato -Tpng -o grafica_ares.png ./grafica_ares.dot

El esquema de propiedades color.ares es el siguiente ( en negrita y color  lo más importante):

color.source=”yellow” if ($fields[0]=~/^192\.168\..*/);
color.source=”lightblue” if ($fields[0]=!~/^192\.168\..*/);
color.source=”invisible”;
shape.source=”ellipse”;

color.event=”red” if ($fields[1] =~ /ares/);
color.event=”invisible“;
shape.event=”box”;

color.target=”green”;
shape.target=”ellipse”;

color.edge=”blue”;

El resultado:

visualizacion grafica trafico red afterglow ares

Sobre detección de P2P en nuestra red (2008):

Wireshark. Tshark. Detectando tráfico P2P en nuestra red.

Eventos SMB / Microsoft Windows Browser Protocol.

Básicamente  registra los nombres SMB/CIFS/NetBIOS de una red, para almacena y compartir con los demás hosts de la red.

Nos centramos en

  • Host Announcement para anuncio SMB (0x01).
  • Request Announcement (0x02) para el request.
  • browser.response_computer_name para respuesta de nombre de host.

wireshark Microsoft Windows Browser Protocol

> tshark -nn -r 02032011.pcap -T fields -E separator=, -e ip.src -e browser.command -e browser.response_computer_name | sort -u > grafica_smb.csv

> cat grafica_smb.csv | perl afterglow.pl -c color.smb > grafica_smb.dot

> neato -Tpng -o grafica_smb.png ./grafica_smb.dot

El esquema de propiedades color.smb es el siguiente ( en negrita y color  lo más importante):

color.source=”yellow” if ($fields[0]=~/^192\.168\..*/);
color.source=”lightblue” if ($fields[0]=!~/^192\.168\..*/);
color.source=”invisible”;
shape.source=”ellipse”;

color.event=”red” if ($fields[1] =~ /0x01/);
color.event=”salmon” if ($fields[1] =~ /0x02/);
color.event=”invisible“;
shape.event=”box”;

color.target=”green”;
shape.target=”ellipse”;

color.edge=”blue”;

El resultado:

afterglow eventos smb

  • En rojo 0x01 Host Announcement
  • Amarillo IPs de la red local
  • Salmón 0x02 Request Announcement
  • Verde Host Name en respuesta al Request Announcement

Sobre SMB / CIFS / NeTBIOS:

Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 1.

Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 2.

Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 3.

Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 4.

Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 5.

===

Y hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en AfterGlow., Seguridad y redes, Visualización Gráfica Tráfico red.. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s