Cómo identificar el abuso de la red con Wireshark

Wireshark es la navaja suiza de herramientas de análisis de redes. Ya sea que esté buscando tráfico de igual a igual en su red o simplemente quiera ver a qué sitios web está accediendo una dirección IP específica, Wireshark puede trabajar para usted.

Wireshark es la navaja suiza de herramientas de análisis de redes. Ya sea que esté buscando tráfico de igual a igual en su red o simplemente quiera ver a qué sitios web está accediendo una dirección IP específica, Wireshark puede trabajar para usted.

Anteriormente hemos dado una introducción a Wireshark. y esta publicación se basa en nuestras publicaciones anteriores. Tenga en cuenta que debe estar capturando en una ubicación de la red donde pueda ver suficiente tráfico de red. Si realiza una captura en su estación de trabajo local, es probable que no vea la mayoría del tráfico en la red. Wireshark puede hacer capturas desde una ubicación remota: consulte nuestra publicación de trucos de Wireshark para obtener más información al respecto.

Identificar el tráfico de igual a igual

La columna de protocolo de Wireshark muestra el tipo de protocolo de cada paquete. Si está mirando una captura de Wireshark, es posible que vea BitTorrent u otro tráfico de igual a igual acechando en ella.

Puede ver qué protocolos se están utilizando en su red desde la herramienta Protocol Hierarchy , ubicada en el menú Estadísticas .

Esta ventana muestra un desglose del uso de la red por protocolo. Desde aquí, podemos ver que casi el 5 por ciento de los paquetes en la red son paquetes BitTorrent. Eso no parece mucho, pero BitTorrent también usa paquetes UDP. El casi 25 por ciento de los paquetes clasificados como paquetes de datos UDP también son tráfico de BitTorrent aquí.

Solo podemos ver los paquetes de BitTorrent haciendo clic derecho en el protocolo y aplicándolo como filtro. Puede hacer lo mismo para otros tipos de tráfico de igual a igual que pueden estar presentes, como Gnutella, eDonkey o Soulseek.

El uso de la opción Aplicar filtro aplica el filtro « bittorrent. «. Puede omitir el menú contextual y ver el tráfico de un protocolo escribiendo su nombre directamente en el cuadro Filtro.

Del tráfico filtrado, podemos ver que la dirección IP local de 192.168.1.64 está utilizando BitTorrent.

Para ver todas las direcciones IP con BitTorrent, podemos seleccionar Puntos finales en el menú Estadísticas .

Haga clic en la pestaña IPv4 y active la casilla de verificación « Límite para mostrar filtro «. Verá las direcciones IP remotas y locales asociadas con el tráfico de BitTorrent. Las direcciones IP locales deberían aparecer en la parte superior de la lista.

Si desea ver los diferentes tipos de protocolos que admite Wireshark y sus nombres de filtro, seleccione Protocolos habilitados en el menú Analizar .

Puede comenzar a escribir un protocolo para buscarlo en la ventana Protocolos habilitados.

Supervisión del acceso al sitio web

Ahora que sabemos cómo dividir el tráfico por protocolo, podemos escribir « http » en el cuadro Filtro para ver solo el tráfico HTTP. Con la opción «Habilitar resolución de nombre de red» marcada, veremos los nombres de los sitios web a los que se accede en la red.

Una vez más, podemos usar la opción Puntos finales en el menú Estadísticas .

Haga clic en la pestaña IPv4 y active nuevamente la casilla de verificación « Límite para mostrar filtro «. También debe asegurarse de que la casilla de verificación « Resolución de nombre » esté habilitada o solo verá las direcciones IP.

Desde aquí podemos ver los sitios web a los que se accede. Las redes publicitarias y los sitios web de terceros que alojan scripts utilizados en otros sitios web también aparecerán en la lista.

Si queremos desglosar esto por una dirección IP específica para ver qué está buscando una sola dirección IP, también podemos hacerlo. Utilice el filtro combinado http e ip.addr == [dirección IP] para ver el tráfico HTTP asociado con una dirección IP específica.

Abra el cuadro de diálogo Puntos finales nuevamente y verá una lista de sitios web a los que accede esa dirección IP específica.

Todo esto solo está rascando la superficie de lo que puede hacer con Wireshark. Puede crear filtros mucho más avanzados, o incluso usar la herramienta de Reglas ACL de Firewall de nuestra publicación de trucos de Wireshark para bloquear fácilmente los tipos de tráfico que encontrará aquí.

Rate article
labsfabs.com
Add a comment