Entradas

Mostrando las entradas de mayo, 2013

TSHARK: una poderosa herramienta de análisis de tráfico

Es un comando que te permite usar filtros tan avanzados como los de wireshark pero en la consola, con lo que puede ser usado en cualquier momento y maquina sin que se requiera el entorno gráfico. Esta herramienta es muy útil para administradores o en análisis de incidentes, donde el trafico de una red es la principal evidencia de investigación.
Primero como lo debes instalar, como siempre con apt es muy simple
root@localhost:~# apt-get install tshark
Una vez lo tienes instalado toca empezar a aprender a usarlo, para que veas todas las capacidades que tiene te recomiendo ver el manual del comando o ver este link http://www.wireshark.org/docs/man-pages/tshark.html, acá colocare algunos ejemplos de como usarlo que he probado y que he extraído de varios blogs y notas en Internet. Por lo que no voy a colocar una referencia única y de antemano me disculpo con quien crea que lo copie, solo estoy usando unos de los ejemplos que pude probar.


Captura Básica Guardando en Archivo
root@localhost:~# …

Pasando los Procesos a Correr por Debajo

Imagen
Muchas veces necesito dejar bajando algo o corriendo una captura de tráfico, pero dejar la consola de SSH  abierta hasta que termine no es tan viable cuando el proceso puede durar más de 10 horas, pensando en esto Linux permite enviar los procesos a correr en BackGround o por debajo, lo cual es ideal para dejarlo corriendo y poder seguir usando la consola.
Esto se logra deteniendo el proceso con Ctrl+Z y ejecutando el comando bg, así de simple como se ve a continuación en la imagen

Una vez lo ejecutas puedes si quieres ver que el proceso sigue activo así


Ahora si dentro de la misma sesión el proceso no ha terminado lo puedes subir nuevamente para que lo tengan en la consola ejecutando. Este proceso también es en dos pasos, primero le das el comando jobs y este te muestra los procesos en background identificandolos con un número, entonces le das el comando fg y el numero del proceso.  Así como se ve a continuación

Espero que les sea tan útil como a mi.

Log2pcap Extraer el Tráfico de un Log de Web

Imagen
Tras leer una entrada de Joaquin Moreno en la pagina de Securty Art Work, la cual sigo y me parece excelente, presentaba una herramienta que me pareció excelente para las pruebas de sistemas de IDS y las detecciones en ataques a servidores Web.
Para hacer una prueba en un entorno controlado pero real use un servidor web donde tengo montado un OSSEC, la cual estaba mencionada por Joaquin, así que para hacerlo real lance desde otra IP pública un análisis con Nikto y con tcpdump capture el trafico durante el ataque para comparar, por lo que empezare mostrando los primeros paquetes capturados.

Bueno entonces lo primero es descargar el programa de log2Pcap.py, que lo encuentras aquíy lo puedes bajar por consola así
root@victima:~# wget https://forensics-log-2-pcap.googlecode.com/files/log2pcap.py
Y si tienen algún problema para ejecutarlo, deben instalar scapy, que es una librería de Python, la cual pa puedes instalar así
root@victima:~# apt-get install python-scapy
Bueno ya con todo listo …