Gulp y los mecanismos de rendimiento en herramientas de captura de red .pcap.

Hace algún tiempo, en twitter, escribí sobre los mecanismos que algunas herramientas como Bro IDS, Suricata IDS/IPS, netsniff-ng, Snort, Vortex IDS, etc, implementan para evitar pérdida de paquetes y aumentar el rendimiento, muy importante en redes de más de 1Gbit y mucho tráfico. En este artículo pongo en orden estos tips sobre rendimiento y avanzaremos un poco más.

En esta ocasión, además, instalaremos y podremos en prueba la herramienta Gulp para mejorar el rendimiento de tcpdump, tshark,  etc.

Al lío……

Seguir leyendo →

Tcpick un sniffer que realiza seguimiento y reensamblado de flujos tcp. Mostrando datos payload.

Hemos visto muchas herramientas .pcap que realizan la tarea de gestionar y mostrar información .pcap o live-capture de múltiples maneras, cada una con sus características que las  diferencia de las demás. De esta forma hemos visto justniffer, netsniff-ng, assniffer, Argus, Vortex, Tshark, windump, tcptrace, Xplico CLI, tcpxtract, scapy, etc, etc.

En esta ocasión vamos a ver la herramienta .pcap tcpick. Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc. Se trata de una herramienta ya algo antigua (2005) pero totalmente usable.

Seguir leyendo →

Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red.

Ya hemos visto en artículos anteriores como instalar, configurar, incluso añadir un sensor suricata a un SIEM Prelude. Esto lo hicimos con la versión 1.0.2 de Suricata.

En esta ocasión instalaremos y configuraremos la versión 1.2.1 de Suricata pero, además, añadiremos la funcionalidad de extracción de ficheros de sesiones HTTP.

Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, Assniffer, con Xplico, etc.

Al lio..

Seguir leyendo →

Bro–IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 4. Bro 2.0.

Seguimos avanzando en la serie dedicada a  Bro-IDS. En el anterior artículo vimos como instalar el nuevo Bro 2.0, vimos alguans novedades y avanzamos en el uso de Bro 2.0 con herramientas como awk, bro-cut, y vimos distintas formas de extraer información de los logs.

En esta ocasión seguimos avanzando y veremos también como redefinir variables de scripts, gráficas de tráfico de red desde los logs de Bro-IDS, estádisticas, objetos HTTP, uso de Bro Control, Capstats, etc. Vamos a ello…

Seguir leyendo →

Bro–IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 3. Bro 2.0.

Ya vimos en la primera parte dedicada a Bro-IDS su instalación, configuración y uso básico (Bro – IDS. Un sistema de detección de intrusiones basado en políticas especializadas.). Más adelante, en la segunda parte (Bro – IDS. Un sistema de detección de intrusiones basado en políticas especializadas. Parte 2) vimos algunos ejemplos de uso e interpretación de logs, estados de conexión, generación de estadísticas de tráfico, detección de scan de puertos, etc.

En esta ocasión vamos a instalar Bro-IDS 2.1, analizaremos algunas novedades y avanzaremos en el uso de este IDS.

(Actualizado 19-12-2012 para instalar y usar Bro-IDS 2.1)

Dedicado a mi amigo @daboblog

Seguir leyendo →

STOP SOPA ¿Imaginas un mundo sin conocimiento libre..?

Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles

“¿Imaginas un mundo sin conocimiento libre..?”

Vortex IDS. Detección de intrusiones y análisis forense tráfico de red. Parte I

Seguimos estudiando herramientas para la detección de intrusiones, análisis de tráfico de red a partir de ficheros .pcap y análisis forense.

En esta ocasión vamos a tratar una herramienta IDS que, a partir de un fichero .pcap , es capaz de reensamblar los flujos TCP para crear una serie de fichero con los datos de la captura para su posterior análisis. Se trata de Vortex IDS. Para analizar los datos podemos usar otras herramientas como grep, sed, awk, cut, etc. Como siempre, mejor lo vemos en la práctica.

Seguir leyendo →

Netsniff-ng. Un sniffer diferente de alto rendimiento. Parte I.

Seguimos con un nuevo artículo dedicado a sniffers o capturadores de paquetes tráfico de red.

En esta ocasión una herramienta algo diferente a las demás: netsniff-ng.  Principalmente porque no le hace falta las típicas librerías libpcap, aunque se pueden tratar archivos en formato .pcap, tiene un modo de ejecución de alto rendimiento y la salida tampoco se ajusta a lo visto, por ejemplo, con tshark, windump, TCPDump, argus, bro, etc. Vermos también, a lo largo de otros capítulos, alguans de las herramienta que acompañan.

• (Actualizado 14/12/2012 para instalación versión 0.5.7)

• 22-03- 2013 – Disponible ya la Parte 2.

Lo vemos.

Seguir leyendo →

Assniffer. Extracción de tipos MIME / objetos HTTP desde ficheros captura tráfico red.

Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, con Xplico, etc. Mencionar también el artículo de Sergio Hernando «5 métodos para la extracción forense de ficheros en capturas de tráfico de red»  con otras aplicaciones/métodos.

En esta ocasión vamos a ver la herramienta assniffer, un sniffer HTTP para sistemas Windows, que tomando como fuente una interface de red o un fichero de captura tráfico de red en formato .pcap, vuelca toda la información por carpetas según los dominios visitados. Lo vemos.

Seguir leyendo →

Justniffer. Un sniffer que reensambla, reordena y muestras los flujos TCP.

Sobre sniffers, aquí hemos visto muchas y diferentes herramientas. La mayoría de ellas cuyo uso se basa en línea de comandos, con sus ventajas, diferencias y uso específico: tshark, tcpdump/windump, argus, bro-ids, scapy, snort en modo sniffer, etc.

En esta ocasión vamso a ver un sniffer que reensambla, reordena y mustra flujos TCP de forma muy personalizable, con una salida «humanizada» en diferentes tipos de formatos. Realiza también defragmentación e imita en su salida el formato de logs Apache… y muchas cosas más. Se trata de Justniffer. Es ideal para tratar tráfico en servidores web, correo, etc. Lo vamos viendo, de momento, para un uso básico.

(actualizado 18/11/2012)

Al lío..

Seguir leyendo →

glTail.rb. Visualización gráfica en tiempo real de ficheros logs en servidores.

Hemos visto muchas herramientas para visualización gráfica de capturas de red, logs, etc. Tenéis mucha más información y artículos en la serie creada al respecto: Visualización gráfica tráfico de red.

En esta ocasión vamos a estudiar una heramienta desarrollada en ruby que, conectando a un servidor local o remoto mediante SSH, es capaz de mostrar en tiempo real una serie de datos que toma de los ficheros logs. De esta forma es capaz de mostrar datos de logs de herramientas como Apache, Rails, IIS, Postfix/spamd/clamd, Nginx, Squid, PostgreSQL, PureFTPD, MySQL, Tshark, qmail/vmpop3d. Además es capaz de mostrarlos de forma simultánea. Esta herramiente es glTail.rb.

Muestra, en tiempo real, datos como: dirección de orígen/destino, protocolos usados, peticiones por minuto, ancho de banda, etc.

Seguir leyendo →