martes, 8 de marzo de 2016
INTRODUCCIÓN
En este blog daremos una explicacion de algunos analizadores de protocolos,tanto como su definición de que es un analizador de protocolos, tanto como el wireshark que es uno de ellos, esperamos que sea de su agrado y ayude a resolver algunas dudas y saber mas sobre estos temas.
¿QUE ES UN PROTOCOLO?
Protocolo.-
Es el término que se emplea para denominar al conjunto de normas, reglas y pautas que sirven para guiar una conducta o acción.
RED: por su parte, es una clase de estructura o sistema que cuenta con un patrón determinado.
El concepto de protocolo de red se utiliza en el contexto de la informática para nombrar a las normativas y los criterios que fijan cómo deben comunicarse los diversos componentes de un cierto sistema de interconexión. Esto quiere decir que, a través de este protocolo, los dispositivos que se conectan en red pueden intercambiar datos.
También conocido como protocolo de comunicación, el protocolo de red establece la semántica y la sintaxis del intercambio de información, algo que constituye un estándar. Las computadoras en red, de este modo, tienen que actuar de acuerdo a los parámetros y los criterios establecidos por el protocolo en cuestión para lograr comunicarse entre sí y para recuperar datos que, por algún motivo, no hayan llegado a destino.
Aplicaciones:
• Analizador de protocolos con una poderosa interface gráfica que le permite
rápidamente diagnosticar problemas y anormalidades en su red.
• Monitorea el ancho de banda de una red LAN (Quien la está usando y para
que)
• Análisis de fallos para descubrir problemas en la red.
• Detección de intrusos.
Es el término que se emplea para denominar al conjunto de normas, reglas y pautas que sirven para guiar una conducta o acción.
RED: por su parte, es una clase de estructura o sistema que cuenta con un patrón determinado.
El concepto de protocolo de red se utiliza en el contexto de la informática para nombrar a las normativas y los criterios que fijan cómo deben comunicarse los diversos componentes de un cierto sistema de interconexión. Esto quiere decir que, a través de este protocolo, los dispositivos que se conectan en red pueden intercambiar datos.
También conocido como protocolo de comunicación, el protocolo de red establece la semántica y la sintaxis del intercambio de información, algo que constituye un estándar. Las computadoras en red, de este modo, tienen que actuar de acuerdo a los parámetros y los criterios establecidos por el protocolo en cuestión para lograr comunicarse entre sí y para recuperar datos que, por algún motivo, no hayan llegado a destino.
Aplicaciones:
• Analizador de protocolos con una poderosa interface gráfica que le permite
rápidamente diagnosticar problemas y anormalidades en su red.
• Monitorea el ancho de banda de una red LAN (Quien la está usando y para
que)
• Análisis de fallos para descubrir problemas en la red.
• Detección de intrusos.
WHATSUP GOLD
Es la solución confiable de gestión. Diseñado sobre una arquitectura ampliable y
escalable, con WhatsUp GOLD puede descubrir, crear mapas y gestionar toda su
infraestructura (sus dispositivos de red, servidor, aplicaciones, recursos virtuales,
parámetros de configuración y tráfico de red) en cuestión de minutos, y desde una
sola consola.
escalable, con WhatsUp GOLD puede descubrir, crear mapas y gestionar toda su
infraestructura (sus dispositivos de red, servidor, aplicaciones, recursos virtuales,
parámetros de configuración y tráfico de red) en cuestión de minutos, y desde una
sola consola.
Características:
Monitoreo en ambos entornos de infraestructuras físicas y virtuales
Reduce el tiempo caído de red que suele ser costoso
Envía notificaciones cuando surgen problemas
Reúne información periódica sobre la red y genera reportes Rápida solución de problemas.
Nagios:
Es un sistema de monitorización de redes ampliamente utilizado, de código
abierto, que vigila los equipos (hardware) y servicios (software) que se
especifiquen, alertando cuando el comportamiento de los mismos no sea el
deseado.
abierto, que vigila los equipos (hardware) y servicios (software) que se
especifiquen, alertando cuando el comportamiento de los mismos no sea el
deseado.
Características:
Herramienta libre de monitorización (de servicios y recursos)
Envío de notificaciones mediante múltiples métodos cuando los
problemas aparecen y cuando se resuelven ( vía e-mail, SMS,
alertas sonoras, etc.)
Consola web para la visualización del estado actual de todos los
servicios, generación de estadísticas, historial de alarmas, etc.
Monitorización de equipos remotos a través de túneles.
NetFlow Analyzer
Es principalmente una herramienta de monitorización del ancho de banda y
análisis de tráfico de la red completa que brinda una visión en tiempo real del
rendimiento del ancho de banda de la red.
análisis de tráfico de la red completa que brinda una visión en tiempo real del
rendimiento del ancho de banda de la red.
Características:
Optimiza el ancho de banda
Detecta tráfico WAN no autorizado en la red
Informes programados y perfiles de alerta
Solución más rápida de los problemas de la red
Identifica que usuarios, aplicaciones y protocolos están
consumiendo el ancho de banda de la red
¿como instalarlo de forma correcta?
Aquí te dejamos un video para que sepas instalarlo correctamente:
GFI Web monitor
Es una herramienta que le permite monitorear los sitios que están examinando sus
usuarios y que archivos están descargando -en TIEMPO REAL. Además puede
bloquear el acceso a sitios para adultos así como realizar análisis ANTI-VIRUS de
todas las descargas.
usuarios y que archivos están descargando -en TIEMPO REAL. Además puede
bloquear el acceso a sitios para adultos así como realizar análisis ANTI-VIRUS de
todas las descargas.
Características:
Control de aplicaciones: Bloquear aplicaciones web por nombre y
categoría utilizando una avanzada tecnología de inspección.
Controles sociales: Bloquear aplicaciones, juegos y otras funciones
de Facebook, permitiendo controlar el acceso sin bloquear
completamente el sitio.
Base de datos con cobertura de 160 millones de URLs
Monitoreo del ancho de banda por usuario/sitio
Monitorea y bloquea mensajes MSN y MS live Messenger entrantes
y salientes así como transferencias de archivos.
Políticas de control de descarga basadas en usuario/grupo/ip
Capsa Network Analyzer
Capsa Free es un analizador de red del freeware imprescindible para
monitorización de Ethernet, solución de problemas y el análisis. Proporciona a los
usuarios con gran experiencia para aprender a controlar las actividades de la red,
a identificar problemas de red , mejorar la seguridad de la red.
monitorización de Ethernet, solución de problemas y el análisis. Proporciona a los
usuarios con gran experiencia para aprender a controlar las actividades de la red,
a identificar problemas de red , mejorar la seguridad de la red.
Características:
Analizador de red portátil para LAN y WLAN que se realiza en tiempo
real de captura de paquetes
Análisis de protocolos avanzados
Proporciona una visibilidad completa y de alto nivel para toda la red
Ayuda a identificar y resolver rápidamente los diversos problemas de
aplicación.
York
Es una sencilla herramienta de captura de red que puede registrar y analizar el
tráfico de la interfaz de red elegida.
Al igual que con muchas herramientas similares, el programa funciona mediante el
uso de WinPcap para registrar el tráfico de red.
Una vez que el programa está configurado, puede mostrar sus datos de tráfico en
todo tipo de formas. La vista de paquetes muestra los detalles básicos de cada
conexión: el tamaño de las direcciones locales y de destino, los puertos y
paquetes.
tráfico de la interfaz de red elegida.
Al igual que con muchas herramientas similares, el programa funciona mediante el
uso de WinPcap para registrar el tráfico de red.
Una vez que el programa está configurado, puede mostrar sus datos de tráfico en
todo tipo de formas. La vista de paquetes muestra los detalles básicos de cada
conexión: el tamaño de las direcciones locales y de destino, los puertos y
paquetes.
Características:
* Tráfico de red.- De registro de origen, destino [FQDN o la dirección IP], el
protocolo y el tamaño del paquete de todo el tráfico de red en su red. La
tarjeta de red se pone en el modo promiscuo.
*Las contraseñas.- Captura de HTTP, FTP, POP3, SMTP, SMB, VNC y AIM
contraseñas / hash y cookies HTTP como "GX".
* Archivos.- Captura y HTTP transmitida tienda y archivos FTP. Puede utilizar el
patrón para almacenar archivos sólo específicos.
*Presentación foto.- Imágenes capturadas se muestran en una presentación
de diapositivas o en pantalla completa. También se incluye un protector de
pantalla que muestra las imágenes capturadas.
* Puede escribir los registros en una base de datos MySQL. Múltiples filtros
se pueden utilizar para buscar en la base de datos.
Se puede seleccionar un cliente y seguir sus clics en su navegador.
* El tráfico puede ser capturada en un archivo pcap, enviar desde un archivo
pcap y se repite desde un archivo pcap.
* Puede restringir el tráfico capturado por tcpdump filtros.
Software Wireshark
¿Qué es?
Es un analizador de protocolos utilizado para realizar análisis y solucionar
problemas en redes de comunicaciones, para desarrollo de software y protocolos,
y como una herramienta didáctica
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz
gráfica y muchas opciones de organización y filtrado de información.
tcpdump es un herramienta en línea de comandos cuya utilidad principal es
analizar el tráfico que circula por la red.
Una herramienta básica para observar los mensajes intercambiados entre
aplicaciones es un analizador de protocolos (packetsniffer). Un analizador de
protocolos es un elemento pasivo, únicamente observa mensajes que son
transmitidos y recibidos desde y hacia un elemento de la red, pero nunca envía él
mismo mensajes.
Está compuesto principalmente de dos elementos: una librería de captura de
paquetes, que recibe una copia de cada trama de enlace de datos que se envía o
recibe, y un analizador de paquetes, que muestra los campos correspondientes a
cada uno de los paquetes capturados.
Aplicaciones:
Wireshark es una herramienta gráfica utilizada por los profesionales y
administradores de red para identificar y analizar tráfico en un momento
determinado. Pertenece a lo que en el lenguaje IT se denominan analizadores de
protocolos de red, analizadores de paquetes, packetsniffer o sniffer.
Es un analizador de protocolos utilizado para realizar análisis y solucionar
problemas en redes de comunicaciones, para desarrollo de software y protocolos,
y como una herramienta didáctica
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz
gráfica y muchas opciones de organización y filtrado de información.
tcpdump es un herramienta en línea de comandos cuya utilidad principal es
analizar el tráfico que circula por la red.
Una herramienta básica para observar los mensajes intercambiados entre
aplicaciones es un analizador de protocolos (packetsniffer). Un analizador de
protocolos es un elemento pasivo, únicamente observa mensajes que son
transmitidos y recibidos desde y hacia un elemento de la red, pero nunca envía él
mismo mensajes.
Está compuesto principalmente de dos elementos: una librería de captura de
paquetes, que recibe una copia de cada trama de enlace de datos que se envía o
recibe, y un analizador de paquetes, que muestra los campos correspondientes a
cada uno de los paquetes capturados.
Aplicaciones:
Wireshark es una herramienta gráfica utilizada por los profesionales y
administradores de red para identificar y analizar tráfico en un momento
determinado. Pertenece a lo que en el lenguaje IT se denominan analizadores de
protocolos de red, analizadores de paquetes, packetsniffer o sniffer.
Características Wireshark.
Disponible para UNIX, LINUX, Windows y Mac OS.
Captura los paquetes directamente desde una interfaz de red.
Permite obtener detalladamente la información del protocolo utilizado en el
paquete capturado.
Cuenta con la capacidad de importar/exportar los paquetes capturados
desde/hacia otros programas.
Filtra los paquetes que cumplan con un criterio definido previamente.
Realiza la búsqueda de los paquetes que cumplan con un criterio definido
previamente.
Permite obtener estadísticas.
Sus funciones gráficas son muy poderosas ya que identifica mediante el
uso de colores los paquetes que cumplen con los filtros establecidos.
Captura los paquetes directamente desde una interfaz de red.
Permite obtener detalladamente la información del protocolo utilizado en el
paquete capturado.
Cuenta con la capacidad de importar/exportar los paquetes capturados
desde/hacia otros programas.
Filtra los paquetes que cumplan con un criterio definido previamente.
Realiza la búsqueda de los paquetes que cumplan con un criterio definido
previamente.
Permite obtener estadísticas.
Sus funciones gráficas son muy poderosas ya que identifica mediante el
uso de colores los paquetes que cumplen con los filtros establecidos.
Requerimientos Técnicos
Las características de los equipos dependen del volumen de información que se
desee almacenar en caso de guardar los registros que genera Wireshark de los
paquetes capturados, además del tráfico y tamaño de la red.
Para el caso de Windows:
Sistema Operativo:Windows XP Home, XP Pro, XP Tablet PC, XP Media
Center, Server 2003, Vista, 2008, 7, or 2008 R2
Arquitectura:32 y 64 bits.
Memoria RAM:128MB (depende del número de paquetes se vayan a
capturar).
Espacio en Disco: 75MB disponibles en Disco. (Depende del número de
paquetes que se vayan a almacenar en disco).
Resolución de pantalla:1280x1024.
Tarjetas de Red Soportadas: Para el caso de las Ethernet cualquier tarjeta
que soporte Windows. Para el caso de las tarjetas inalámbricas las 802.11.
desee almacenar en caso de guardar los registros que genera Wireshark de los
paquetes capturados, además del tráfico y tamaño de la red.
Para el caso de Windows:
Sistema Operativo:Windows XP Home, XP Pro, XP Tablet PC, XP Media
Center, Server 2003, Vista, 2008, 7, or 2008 R2
Arquitectura:32 y 64 bits.
Memoria RAM:128MB (depende del número de paquetes se vayan a
capturar).
Espacio en Disco: 75MB disponibles en Disco. (Depende del número de
paquetes que se vayan a almacenar en disco).
Resolución de pantalla:1280x1024.
Tarjetas de Red Soportadas: Para el caso de las Ethernet cualquier tarjeta
que soporte Windows. Para el caso de las tarjetas inalámbricas las 802.11.
WinPCap
modo híbrido. No obstante, este también puede ser considerado como “aplicación
potencialmente no deseada” que debería ser desinstalada si la tienes en tu
ordenador desde la nada. WinPcap ha sido discutido en varios foros de seguridad, y parece que la razón
principal por la que los usuarios lo consideran “virus” es por sus métodos de
distribución. Justo como otras muchas aplicaciones similares, la distribución de
este programa depende de algunos freeware y shareware.
Instalar WireShark en Windows
http://www.wireshark.org/download.html se ejecuta el archivo wireshark
descargado para iniciar la instalación. Es importante mencionar que las
librerías necesarias como WinPcap están incluidas en el instalador.
2. Presionando el botón se despliega la especificación de la
licencia y al presionar el botón se despliega la siguiente ventana
para seleccionar los componentes que se desean instalar.
Para esta instalación se seleccionarán los siguientes:
Wireshark, GUI del analizador de protocolos.
TShark, línea de comando del analizador de protocolos.
Plugins/Extensions, especificar plugins y extensiones para TShark
y Wireshark en este punto deberá seleccionar todos los ítems
listados.
Tool, ofrece herramientas adicionales aplicar a los archivos que
contienen los paquetes para su análisis seleccionar todas las
ofrecidas durante la instalación.
3. Después aparece la pantalla que permite seleccionar si se desea crear un
acceso directo a la aplicación en el escritorio, crear un menú de inicio y
visualizar el icono en la barra de tareas. Adicionalmente se tiene la
posibilidad de permitir, que los archivos generados por otros analizadores
de tráfico puedan ser visualizados con Wireshark (opción que debemos
seleccionar).
4. A continuación se deberá seleccionar el directorio donde se instalará la
aplicación, en este punto se acepta el indicado por defecto en el instalador.
El instalador de WireShark contiene una versión de WinPcap se verifica si
se debe actualizar versión en el PC donde se está realizado la instalación y
ofrece la opción de agregar un servicio para que usuarios que no tiene privilegios de administrador pueda capturar paquetes. En este punto se
seleccionan ambos ítems.
Se presiona el botón para iniciar el proceso de instalación.
5. Como se mencionó anteriormente el instalador de WireShark para Windows
permite hacer la instalación de las librerías, plugins, servicios, etc.
Particularmente para el caso de WinPcap se interrumpe la instalación en el
punto que muestra la pantalla arriba e inicia el asistente para la instalación
de WinPcap. Se debe seleccionar hasta finalizar la instalación.
Análisis del tráfico
2. Vamos al apartado “Capture” y hacemos click en “Options”
3. En esta área seleccionamos la tarjeta de red a usar, podremos observar que se
cuenta con la tarjeta de Ethernet y la tarjeta inalámbrica o WIFI
4. Hacemos click en “Start” para comenzar a capturar los datos que se encuentren
en el tráfico de la red
5. Comenzaremos a ver como los datos empiezan a aparecer en diferentes
colores
Cada línea representa un paquete, y hay 6 columnas que proporcionan
información sobre él.
• La primera columna indica un número por orden de llegada de los paquetes
mientras esté en marcha la captura del tráfico. Esto es para darte una
referencia e identificar fácilmente un determinado paquete.
• “Time” es el tiempo en segundos, hasta 6 decimales, de cuando se recibió
el paquete después de que empezaras a registrar el tráfico de la red.
• ”Source” incluye la dirección IP de origen del paquete.
• ”Destination” indica la dirección IP destino de cada paquete.
• La columna “Protocol” indica qué protocolo utiliza cada paquete. Los más
comunes son TCP, UDP y HTTP.
• Y la columna “Info” incluye información del paquete como si se tratase de
una continuación de otro paquete, la verificación de que otro paquete se ha
recibido, etc.
Interfaz del usuario en WireShark.
Interfaz del usuario de WireShark:
Cuando se comienza a utilizar el analizador de paquetes de red Wireshark
los aspectos que saltan a la vista de manera más inmediata es la distintiva interfaz
gráfica, que si bien da un fácil y veloz acceso a las funciones de Wireshark, puede
resultar un tanto confusa la primera vez que se utiliza.
Cuando se comienza a utilizar el analizador de paquetes de red Wireshark
los aspectos que saltan a la vista de manera más inmediata es la distintiva interfaz
gráfica, que si bien da un fácil y veloz acceso a las funciones de Wireshark, puede
resultar un tanto confusa la primera vez que se utiliza.
MENÚ PRINCIPAL:
Utilizado para iniciar las acciones y/o funciones de la aplicación.
Barra de menús:
File. Similar a otras aplicaciones GUI este contiene los ítems para
manipular archivos y para cerrar la aplicación Wireshark.
Edit. Este menú contiene ítems aplicar funciones a los paquetes, por
ejemplo, buscar un paquetes especifico, aplicar una marca al paquetes.
View. Permite configurar el despliegue de la data capturada.
Go. Contiene ítems que permiten el desplazamiento entre los paquetes.
Capture. Inicia y detiene la captura de paquetes.
Analyze. Contiene ítems que permiten controlar los filtros, habilitar y deshabilitar protocolos,flujos de paquetes, etc.
Statistics. Contiene ítems que permiten definir u obtener las estadísticas de
la data capturada.
Help. Menú de ayuda.
Barra de herramientas:
Este es uno de los componentes de la interfaz del que más uso se hace
durante una captura de paquetes, debido a que proporciona un acceso
veloz a las funciones más comúnmente usadas.
Un detalle que puede resultar abrumador cuando se hace uso de Wireshark
por primera vez son los iconos de dicha barra, puesto que no se parecen a
los usados en otras aplicaciones y se habilitan o deshabilitan durante la
operación del programa, es por esto que cada icono se presentara a
continuación indicando su función y en qué circunstancias se encuentra
habilitado.
Páneles
Panel de paquetes capturados:
En este panel se despliega la lista de paquetes capturados. Cada línea
corresponde a un paquete capturado al seleccionar una de estas, ciertos detalles
son desplegados en el resto de los paneles.
- No. Posición del paquete en la captura.
- Time. Muestra el Timestamp del paquete.
-Source. Dirección origen del paquete.
-Destination. Dirección destino del paquete.
- Protocol. Nombre del protocolo del paquete.
-Info. Información adicional del contenido del paquete.
Panel para detalles del paquete:
Contiene el protocolo y los campos correspondientes del paquete previamente
seleccionado en el panel de paquetes capturados. Seleccionando una de estas
líneas con el botón secundario del Mouse se tiene opciones para ser aplicadas
según las necesidades.
Panel de paquetes capturados en bytes:
En este panel se despliega el contenido del paquete en formato hexadecimal.
De izquierda a derecha se muestra el offset del paquete, seguidamente se
muestra la data del paquete y finalmente se muestra la información en caracteres
ASCII si aplica o “.” en caso contrario.
Barra de estado
Despliega información sobre la captura actual mostrando:
- El nombre del archivo actual
- La cantidad de paquetes capturados
-La cantidad de paquetes mostrados
- El tiempo
- El perfil de configuración.
Suscribirse a:
Entradas (Atom)