Análisis de tráfico y forense de red

Tiempo de lectura estimado: 7 minutos

Esta conferencia magistral pertenece al Módulo 10 “Análisis forense. Malware y técnicas de ocultación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar algunas de las técnicas y herramientas para analizar tráfico de red.

Introducción - Captura y análisis de tráfico

Existe una gran cantidad de métodos para capturar el tráfico, tantos como razones para analizarlo. Puede realizarse de forma lícita con el propósito de realizar una monitorización de la red, redirección a IDS/IPS mediante mirroring, análisis de protocolos de red, ingeniería inversa… Puede realizarse de forma ilícita, como se hace en el espionaje de redes inalámbricas, espionaje industrial, perfilado no autorizado de usuarios, obtención de credenciales o el despliegue de un servicio de red malicioso (VPN).

Los objetivos pueden ser exactamente los mismos que a la hora de realizar la captura, pero más concretamente se suele aplicar a la hora de realizar un análisis forense, comprobación de elementos y protocolos en nuestra red o tareas de ingeniería inversa.  se utilizan tanto herramientas de análisis de protocolos a nivel de paquete como otras herramientas automáticas que permiten extraer información.

También se pueden utilizar herramientas auxiliares que nos permiten, filtrar, visualizar y exportar fragmentos y datos útiles de la captura. No solamente hemos de fijarnos en el contenido a nivel de aplicación de los protocolos, sino también en campos de capas de enlace, red y transporte del modelo TCP/IP.

Herramientas de captura

TcpDump

Es uno de los más utilizados de cara a realizar una captura o análisis inicial. En muchas ocasiones viene incluida en distribuciones Linux o en repositorios. Utiliza libcap para realizar una captura y puede utilizarse filtros BPF para realizar una captura concreta de parte del tráfico de red. Además permite escribir y leer de un fichero en varios formatos. Algunos de los parámetros útiles son:

Herramientas de captura y análisis

Wireshark

Es un inspector de protocolos de red. Permite capturar y examinar las diferentes capas de red de una captura de tráfico. Permite una inspección con muy alto nivel de detalle de cualquier protocolo, facilitando prácticamente cualquier tarea que requiera de una inspección de paquetes. Integra un potente sistema de filtros, diferente a BPF pero similar.

Cuenta con algunas funciones interesantes: Extracción de datos HTTP (o cualquier otro protocolo), seguimiento de flujos de tráfico, rastreo de orígenes de tráfico…

Facilidad estadística concreta en el menú Statstics. En Conversations podemos ver los flujos de tráfico entre pares de endpoint-puerto. En Endpoints podemos ver todos los endpoints con el que se ha visto comunicación. En Protocol hierarchy podemos ver los protocolos de red detectados en forma de árbol y en función de su uso. Podemos también seguir flujos de tráfico (Analyze -> Follow) y exportar ficheros detectados en el tráfico (File - Export objects).

Tshark

Se trata de la versión en interfaz de comandos de Wireshark y utiliza exactamente los mismos filtros de paquetes. Permite también tanto la captura como la inspección de tráfico de red y una inspección de los paquetes mucho más rápida y potencialmente automatizable que Wireshark, dado que nos permite integrarlo en scripts y prescindir de una interfaz gráfica a favor de la consola. Hora de combinarlo con bash en Linux o powershell en Windows.

En la masterclass en vídeo se muestran ejemplos de la utilización de las herramientas.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Guillermo Román Ferrero

Cyber Risk Senior Associate en Kroll. Es cofundador y colaborador del blog Follow the White Rabbit.