PDF de programación - Análisis de tráfico con Wireshark

ANÁLISIS DE TRÁFICO CON

WIRESHARK

INTECO-CERT

Febrero 2011





Autor: Borja Merino Febrero

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece a los siguientes colaboradores
su ayuda en la realización del informe. Manuel Belda, del CSIRT-cv de la Generalitat Valenciana y Eduardo Carozo
Blumsztein, del CSIRT de ANTEL de Uruguay.



La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y está bajo
licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:

Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: http://www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace
de su obra.

Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en
esta licencia menoscaba o restringe los derechos morales de INTECO.
http://creativecommons.org/licenses/by-nc-sa/3.0/es/

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).
Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual,
marcado de idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible
en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es


Análisis de tráfico con Wireshark

2


ÍNDICE



Port Mirroring o VACL (VLAN-based ACLs)

ANÁLISIS DE TRÁFICO

¿POR QUÉ WIRESHARK?

Modo Bridge

Utilizando un Hub

DÓNDE REALIZAR LA CAPTURA DE DATOS
3.1.
3.2.
3.3.
3.4.
3.5.
ATAQUES EN REDES DE ÁREA LOCAL
4.1.

Remote Packet Capture

ARP Spoof

Ejemplo práctico

Mitigación

Descripción

Mitigación

Descripción

Mitigación

Descripción

Mitigación

ARP Spoof
4.1.1.
4.1.2.
Port Flooding
4.2.1.
4.2.2.
DDoS Attacks
4.3.1.
4.3.2.
DHCP Spoof
4.4.1.
4.4.2.
VLAN Hopping
4.5.1.
4.5.2.
4.5.3.
Análisis de malware
4.6.1.
4.6.2.

Mitigación

Ejemplo práctico

Mitigación

4.2.

4.3.

4.4.

4.5.

4.6.

Ataque de suplantación del switch

Ataque de etiquetado doble

1.
2.
3.

4.

5.
6.
7.

8.

FILTROS

FOLLOW TCP STREAM

EXPERT INFOS
7.1.
7.2.

Introducción

Interfaz de usuario
7.2.1.

Ejecución

USO DE HERRAMIENTAS EXTERNAS
8.1.

Snort
8.1.1.
8.1.2.
Scripts

Mitigación

Conversión de formatos

8.2.
GRÁFICAS

9.
10. CONCLUSIONES
11. FUENTES DE INFORMACIÓN



Análisis de tráfico con Wireshark

4
5
6
6
7
8
8
9
12
12
12
14
16
16
17
18
18
20
23
23
26
28
28
29
30
30
30
33
34
39
41
41
41
41
43
43
44
44
45
46
49
50

3


1. ANÁLISIS DE TRÁFICO



Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una
pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es
sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas
apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones,
incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido
desconectarse sin motivo aparente.

En la mayoría de ocasiones, las causas de estos problemas tienen un origen no
premeditado y se deben a una mala configuración de la red como puede ser tormentas
broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero, en otras
ocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuera
de servicio un servidor web mediante un ataque DoS, husmear tráfico mediante un
envenenamiento ARP o simplemente infectar los equipos con código malicioso para
que formen parte de una red zombi o botnet.

En cualquier caso, conocer el origen del incidente es el primer paso para poder tomar
las contramedidas necesarias y conseguir una correcta protección. En este punto, los
analizadores de tráfico pueden resultar de gran utilidad para detectar, analizar y
correlacionar tráfico identificando las amenazas de red para, posteriormente, limitar su
impacto. Con tal propósito, existen en el mercado dispositivos avanzados como el
appliance MARS (Monitoring, Analysis and Response System) de Cisco o IDS/IPS
basados en hardware de diversos fabricantes. Pero estas soluciones no siempre están
al alcance de todas las empresas ya que su coste puede que no cumpla un principio
básico de proporcionalidad (el gasto es superior al beneficio obtenido) y, por lo tanto,
no se justifique su adquisición.

Por ello, y para cubrir las necesidades de entidades con infraestructuras tecnológicas
más modestas, INTECO-CERT presenta esta «Guía de análisis de tráfico con
Wireshark». Tiene por objeto sensibilizar a administradores y técnicos de las ventajas
de auditar la red con un analizador de tráfico, principalmente utilizando la herramienta
libre Wireshark. Además, ofrece ejemplos prácticos de ataques en redes de área local
bastante conocidos y que actualmente siguen siendo uno de los mayores enemigos en
los entornos corporativos.

El presente documento está dividido en una serie de apartados que tratan diversos
ataques reales llevados a cabo en redes de área local, como son ARP Spoof, DHCP
Flooding, DNS Spoof, DDoS Attacks, VLAN Hopping, etc. En ellos se emplea
Wireshark como herramienta principal de apoyo para ayudar a detectar, o al menos
acotar en gran medida, los problemas generados por dichos ataques. Asimismo, se
proponen diversas acciones de mitigación para cada uno de los casos expuestos.

Análisis de tráfico con Wireshark

4


2. ¿POR QUÉ WIRESHARK?



Wireshark es un analizador de protocolos open-source diseñado por Gerald Combs y
que actualmente está disponible para plataformas Windows y Unix.

Conocido originalmente como Ethereal, su principal objetivo es el análisis de tráfico
además de ser una excelente aplicación didáctica para el estudio de
las
comunicaciones y para la resolución de problemas de red.

Wireshark implementa una amplia gama de filtros que facilitan la definición de criterios
de búsqueda para los más de 1100 protocolos soportados actualmente (versión 1.4.3);
y todo ello por medio de una interfaz sencilla e intuitiva que permite desglosar por
capas cada uno de los paquetes capturados. Gracias a que Wireshark “entiende” la
estructura de los protocolos, podemos visualizar los campos de cada una de las
cabeceras y capas que componen los paquetes monitorizados, proporcionando un
gran abanico de posibilidades al administrador de redes a la hora de abordar ciertas
tareas en el análisis de tráfico.

De forma similar a Tcpdump, Wireshark incluye una versión en línea de comandos,
denominada Tshark, aunque el presente documento se centrará únicamente en su
versión gráfica. Es importante indicar también que las funcionalidades utilizadas en el
presente informe solo representan una pequeña parte de todo el potencial que puede
ofrecernos Wireshark, y cuyo objetivo principal es servir de guía orientativa para
cualquier administrador que necesite detectar, analizar o solucionar anomalías de red.

Pueden existir situaciones en las que Wireshark no sea capaz de interpretar ciertos
protocolos debido a la falta de documentación o estandarización de los mismos, en
cuyo caso la ingeniería inversa será la mejor forma de abordar la situación.

Otras herramientas como Snort, OSSIM así como multitud de IDS/IPS permiten alertar
sobre algunos de los problemas y ataques expuestos en esta guía. No obstante,
cuando se necesita analizar tráfico en profundidad o hay que auditar un entorno en el
que el tiempo prima, dichas herramientas suelen carecer de la flexibilidad que nos
ofrece un analizador de protocolos como Wireshark.



Análisis de tráfico con Wireshark

5


3. DÓNDE REALIZAR LA CAPTURA DE DATOS



El primer paso para poder auditar la red será definir dónde analizar el tráfico.

Imaginemos un escenario común. Nos encontramos en un entorno conmutado
formado por varios switches, unos cuantos equipos y un servidor de ficheros. El
rendimiento de la red ha disminuido en los últimos días y desconocemos la causa.

Carecemos de un IDS que pueda dar la voz de alarma sobre algún ataque o anomalía
en la red y sabemos que el servidor de ficheros abastece, en cuanto a tasa de
transferencia se refiere, a los equipos de nuestra LAN (Local Area Network) sin
problema alguno. Además, nuestros equipos de red no cuentan con protocolos como
Netflow para poder analizar tráfico remotamente por lo que decidimos utilizar
Wireshark. La primera duda que surge es dónde instalarlo.

A pesar de parecer lógico instalar Wireshark en el propio servidor de ficheros para
analizar el tráfico que transita por ese segmento de red, nos encontraremos con
situaciones en las cuales no podamos tener acceso físico al servidor o simplemente,
por motivos de seguridad,