analisis de trafico wireshark
Páginas: 28 (6976 palabras)
Publicado: 12 de junio de 2013
ANÁLISIS DE TRÁFICO CON
WIRESHARK
INTECO-CERT
Febrero 2011
Autor: Borja Merino Febrero
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece a los siguientes colaboradores
su ayuda en la realización del informe. Manuel Belda, del CSIRT-cv de la Generalitat Valenciana y Eduardo Carozo
Blumsztein, del CSIRT de ANTEL de Uruguay.
La presente publicaciónpertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y está bajo
licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia yhaciendo referencia expresa tanto a INTECO como a su sitio web: http://www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace
de su obra.
Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuirla obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en
esta licencia menoscaba o restringe los derechos morales de INTECO.
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
El presente documento cumple con las condiciones de accesibilidad delformato PDF (Portable Document Format).
Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual,
marcado de idioma y orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible
en la sección Accesibilidad > Formación > Manuales y Guías de la páginahttp://www.inteco.es
Análisis de tráfico con Wireshark
2
ÍNDICE
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
ANÁLISIS DE TRÁFICO
¿POR QUÉ WIRESHARK?
DÓNDE REALIZAR LA CAPTURA DE DATOS
3.1.
Utilizando un Hub
3.2.
Port Mirroring o VACL (VLAN-based ACLs)
3.3.
Modo Bridge
3.4.
ARP Spoof
3.5.
Remote Packet Capture
ATAQUES EN REDES DE ÁREA LOCAL
4.1.
ARP Spoof
4.1.1.
Ejemplopráctico
4.1.2.
Mitigación
4.2.
Port Flooding
4.2.1.
Descripción
4.2.2.
Mitigación
4.3.
DDoS Attacks
4.3.1.
Descripción
4.3.2.
Mitigación
4.4.
DHCP Spoof
4.4.1.
Descripción
4.4.2.
Mitigación
4.5.
VLAN Hopping
4.5.1.
Ataque de suplantación del switch
4.5.2.
Ataque de etiquetado doble
4.5.3.
Mitigación
4.6.
Análisis de malware
4.6.1.
Ejemplo práctico
4.6.2.
MitigaciónFILTROS
FOLLOW TCP STREAM
EXPERT INFOS
7.1.
Introducción
7.2.
Interfaz de usuario
7.2.1.
Ejecución
USO DE HERRAMIENTAS EXTERNAS
8.1.
Snort
8.1.1.
Mitigación
8.1.2.
Conversión de formatos
8.2.
Scripts
GRÁFICAS
CONCLUSIONES
FUENTES DE INFORMACIÓN
Análisis de tráfico con Wireshark
4
5
6
6
7
8
8
9
12
12
12
14
16
16
17
18
18
20
23
23
26
28
28
29
30
3030
33
34
39
41
41
41
41
43
43
44
44
45
46
49
50
3
1.
ANÁLISIS DE TRÁFICO
Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una
pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es
sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas
apropiadas, tener claros los motivos por losque esto ha sucedido. En ocasiones,
incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido
desconectarse sin motivo aparente.
En la mayoría de ocasiones, las causas de estos problemas tienen un origen no
premeditado y se deben a una mala configuración de la red como puede ser tormentas
broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero,...
WIRESHARK
INTECO-CERT
Febrero 2011
Autor: Borja Merino Febrero
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece a los siguientes colaboradores
su ayuda en la realización del informe. Manuel Belda, del CSIRT-cv de la Generalitat Valenciana y Eduardo Carozo
Blumsztein, del CSIRT de ANTEL de Uruguay.
La presente publicaciónpertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y está bajo
licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia yhaciendo referencia expresa tanto a INTECO como a su sitio web: http://www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace
de su obra.
Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuirla obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en
esta licencia menoscaba o restringe los derechos morales de INTECO.
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
El presente documento cumple con las condiciones de accesibilidad delformato PDF (Portable Document Format).
Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual,
marcado de idioma y orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible
en la sección Accesibilidad > Formación > Manuales y Guías de la páginahttp://www.inteco.es
Análisis de tráfico con Wireshark
2
ÍNDICE
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
ANÁLISIS DE TRÁFICO
¿POR QUÉ WIRESHARK?
DÓNDE REALIZAR LA CAPTURA DE DATOS
3.1.
Utilizando un Hub
3.2.
Port Mirroring o VACL (VLAN-based ACLs)
3.3.
Modo Bridge
3.4.
ARP Spoof
3.5.
Remote Packet Capture
ATAQUES EN REDES DE ÁREA LOCAL
4.1.
ARP Spoof
4.1.1.
Ejemplopráctico
4.1.2.
Mitigación
4.2.
Port Flooding
4.2.1.
Descripción
4.2.2.
Mitigación
4.3.
DDoS Attacks
4.3.1.
Descripción
4.3.2.
Mitigación
4.4.
DHCP Spoof
4.4.1.
Descripción
4.4.2.
Mitigación
4.5.
VLAN Hopping
4.5.1.
Ataque de suplantación del switch
4.5.2.
Ataque de etiquetado doble
4.5.3.
Mitigación
4.6.
Análisis de malware
4.6.1.
Ejemplo práctico
4.6.2.
MitigaciónFILTROS
FOLLOW TCP STREAM
EXPERT INFOS
7.1.
Introducción
7.2.
Interfaz de usuario
7.2.1.
Ejecución
USO DE HERRAMIENTAS EXTERNAS
8.1.
Snort
8.1.1.
Mitigación
8.1.2.
Conversión de formatos
8.2.
Scripts
GRÁFICAS
CONCLUSIONES
FUENTES DE INFORMACIÓN
Análisis de tráfico con Wireshark
4
5
6
6
7
8
8
9
12
12
12
14
16
16
17
18
18
20
23
23
26
28
28
29
30
3030
33
34
39
41
41
41
41
43
43
44
44
45
46
49
50
3
1.
ANÁLISIS DE TRÁFICO
Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una
pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es
sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas
apropiadas, tener claros los motivos por losque esto ha sucedido. En ocasiones,
incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido
desconectarse sin motivo aparente.
En la mayoría de ocasiones, las causas de estos problemas tienen un origen no
premeditado y se deben a una mala configuración de la red como puede ser tormentas
broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero,...
Leer documento completo
Regístrate para leer el documento completo.