3.10 Análisis de tráfico de Red con Wireshark

y Ntop

Wireshark

● Wireshark , antes conocido como Ethereal.

● Analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación.

● Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca.

● La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información.

● Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo.

● También incluye una versión basada en texto llamada tshark.

Características

● Mantenido bajo la licencia GPL.● Trabaja muy duro tanto en modo promiscuo como en

modo no promiscuo.● Puede capturar datos de la red o leer datos

almacenados en un archivo (de una captura previa).● Basado en la librería pcap.● Tiene una interfaz muy flexible.● Gran capacidad de filtrado.

Características

● Admite el formato estándar de archivos tcpdump.● Reconstrucción de sesiones TCP● Se ejecuta en más de 20 plataformas.● Es compatible con más de 480 protocolos.● Puede leer archivos de captura de más de 20

productos.● Puede traducir protocolos TCP IP● Genera TSM y SUX momentáneamente

Portabilidad

● Linux● Solaris● FreeBSD● NetBSD● OpenBSD

● Mac OS X● Microsoft Windows● Portable Apps.

Pagina Oficial

● http://www.wireshark.org/

Tutoriales

● http://www.taringa.net/posts/info/11427888/Tutorial-de-Wireshark.html

● http://daraxblog.blogspot.mx/2010/11/wireshark-tutorial-basico.html

NTOP

● Es una herramienta que permite monitorizar en tiempo real una red.

● Es útil para controlar los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y para ayudarnos a detectar malas configuraciones de algún equipo, (facilitando la tarea ya que justo junto al nombre del equipo, aparece un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio.

● Posee un microservidor web desde el que cualquier usuario con acceso puede ver las estadísticas del monitorizaje.

● El software está desarrollado para platarfomas Unix y Windows.

● En Modo Web, actúa como un servidor de Web, volcando en HTML el estado de la red, ya que viene con un recolector/emisor NetFlow/sFlow, una interfaz de cliente basada en HTTP para crear aplicaciones de monitoreo centradas en top, y RRD para almacenar persistentemente estadísticas de tráfico.

Protocolos a Monitorizar

● TCP● UDP● ICMP● ARP● IPX● DLC● Decnet

● AppleTalk● Netbios● Y ya dentro de

TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.

Opciones

● Dentro del microservidor web podemos escoger que ver, en menú de navegación principal se encuentra en el frame de arriba, que nos permite ver las siguientes opciones:

● About : Muestra una explicación del programa, así como los créditos de las personas lo han hecho.

● Data Rcvd, Data Sent : Nos enseña que datos se han recibido/transmitido.

● Las posibilidades para visualizarlo es agrupándolo por protocolos, por TCP/UDP, qué cantidad se ha tratado, la actividad de cada host, y netflows.

Stats

● Es el apartado de estadísticas, en la que nos enseña información muy completa acerca del estado de la red.

● Nos enseña si es tráfico unicast, o multicast, la longitud de los paquetes, el Time To Live del paquete, y el tipo de tráfico que viaja (todo ello con porcentajes).

● También saca un listado de dominios, y qué plugins

podemos activar o desactivar.

● IP Traffic

● Nos da información acerca del sentido del tráfico, si va de la red local a una red remota, o viecevera. también nos informa de algún error.

● IP Protos

● Nos da la información sobre la interfaz que hay enganchados en la red.

● Admin

● Sirve para poder cambiar la interfaz de red, crear filtros, y un mantenimiento de usuarios.