Argus. Auditando el tráfico de red. Parte 2

Publicado el 22 diciembre, 2010 por Alfon

Seguimos con esta serie dedicada a Argus – Auditing Network Activity, que iniciamos con la parte I dedicada a entender un poco su filosofía, uso básico y las herramientas ra y rasort.

ra racluster argus rasort

En esta ocasión vamos a estudiar la herramienta racluster, con la que realizaremos agrupaciones de datos/evidencias por protocolo, host, puertos, etc. De esta forma podemos advertir, de forma sencilla, anomalias en el tráfico, servicio más usados, IPs generadoras de tráfico desmesurado, etc.

Racluster. Agrupando los datos de tráfico.

Como os he comentado más arriba, racluster agrupa datos. Los agrupa dependiendo de una serie de criterios o agregadores (-m) que pueden ser, entre otras:

  • proto
  • saddr
  • daddr
  • sport
  • dport
  • stos
  • dtos
  • sttl
  • dttl
  • ……. los iremos viendo en próximos capítulos

Tenemos también los modos –M el más usado es rmon (lo veremos más adelante) Y un ampliación de información -V verbouse.

Además de las opciones generales para ra que hemos visto en la parte I y filtros.

Y como siempre, la mejor forma de entender es con la práctica.

Ejemplo 1.

Queremos agrupar los datos de un detrermiando tráfico por protocolo y visualizar los totales de  paquetes orogen, paquetes destino, bytes totales origen y bytes totales destino:

racluster -L0 -m proto -r skipe.arg  -s proto spkts dpkts sbytes dbytes
  • -L0 imprimimos cabeceras en salida por consola
  • -m agrupamos por proto (protocolos)
  • -r leemos el archivo pcap
  • -s visualizamos en consola solo lo indicado

y el resultado es:

argus ra racluster

Tenemos todos los protocolos involucrados en la captura y los totales indicado.

Ejemplo 2.

Vamos a agrupar ahora por IP origen e IP destino, es decir saddr y daddr. Y visualizamos solo  saddr, dir, daddr, dur, bytes y  pkts

Con lo que veremos la duración (dur) de las conexiones entre IPs y totales de paquetes y bytes:

alfon@alfonlinux:~$ racluster -L0 -m saddr daddr -r skipe.arg  -s saddr dir daddr dur bytes pkt

ra argus racluster

Ejemplo 3.

Vamos a ver todo el trafico generado por ls IP de la red interna, con totales por bytes y paquetes. Ordenaremos el tráfico por bytes. Visualizaremos solo saddr (IP origen), bytes (total bytes), pkts (total de paquetes)

Para ordenar usaremos rasort con pipes (|). Para ello usaremos la notación:

-w – | rasort

Crearemos un filtro para indicarque solo queremos «ver» el tráfico generado desde nuestra red interna. Igual descubrimos algún host con demasido tráfico, P2P, etc

alfon@alfonlinux:~$ racluster -L0 -m saddr -r XPLICO.arg  – src net 192.168.1.0/24 -w – | rasort -L0 -m bytes -s saddr bytes pkts

argus racluster rasort

Podemos añadir la duración (dur) para tener algo más de información.

Ejemplo 4.

Vamos ahora a ver que IPs son las que mayor tráfico generan pero solo las 10 IPs  que más generen. Lo haremos con la notación -N 10. Ordenaremos por bytes.

alfon@alfonlinux:~$ racluster -M rmon  -m saddr -r XPLICO.arg -w – | ra -N 10 -w – | rasort -L0 -m bytes -s saddr bytes pkts

El resultado:

ra racluster argus rasort

Observad como usamos racluster, ra y rasort y el orden en que se hace. Usamos -M rmon para imprimir estádisticas de tráfico unidireccional.

Ejemplo 5.

Ahor quiero obtener, agrupado por protocolos y puerto destino, los 20 (-N 20) puertos de destino más usados y los bytes totales transferidos. Lo ordenamos por bytes. Visualizaremos en el reporte o salida final solo la duración total según protocolo y puerto, protocolo, puerto destino y total de bytes. Filtramos por IP (– ip):

alfon@alfonlinux:~$ racluster -M rmon -m proto dport -r gateway.arg -w – – ip | rasort -L0 -N 20 -m bytes proto dport -s dur proto dport bytes

El resultado:

rasort argus racluster ra

Si quitamos la notación para los 20 «primeros» -N 20, el filtro ip y añadimos un filtro para port 80 or port 443 or port 143:

racluster -M rmon -m proto dport -r gateway.arg -w – – ip | rasort -L0 -m bytes proto dport -s dur proto dport bytes – port 80 or port 443 or port 143

ra racluster argus rasort

Otros ejemplos:

Supongo que este os será ya facil descifrar:

alfon@alfonlinux:~$ racluster -m proto saddr sport -r 050608.arg  – src net 192.168.1.0/24 and not host 192.168.1.106 -w – | rasort -L0 -m bytes -s saddr sport proto pkts bytes

y este con filtros…:

alfon@alfonlinux:~$ racluster -L0 -N 20 -m saddr daddr dport -r 050608.arg – tcp and syn and synack

¿ Quién usa más el puerto 443 como destino en mi red ?:

alfon@alfonlinux:~$ racluster -m saddr -r 050608.arg – dst port 443 and net 192.168.1.0/24 -w – | rasort -L0 -m bytes -s saddr pkts bytes

racluster ra argus rasort

….

Bien, hasta aquí por hoy. Nos queda las gráficas con ragraph (instalación), el uso cliente-servidor y algunas otras herramientas Argus. Igual si hay demanda veremos alguna interface gráfica muy interesante para Argus.

Hasta la próxima.

Esta entrada fue publicada en Argus, Seguridad y redes. Guarda el enlace permanente.

2 respuestas a Argus. Auditando el tráfico de red. Parte 2

  1. Wishper dijo:
    22 diciembre, 2010 en 6:12 pm

    Como siempre, muy bien expuesto y claro.
    Espero la tercera parte.
    Un saludo

    Responder

  2. Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes

Deja un comentario