davidalvk

TCPDump/Wireshark: Análisis del Tráfico de Red

1. Introducción: ¿Por qué Analizar el Tráfico de Red?

El análisis de tráfico de red (NTA) es como poner un «microscopio» a las comunicaciones de tu red. No solo te ayuda a detectar amenazas como malware o escaneos de puertos sospechosos, sino que también te permite entender cómo fluyen los datos, optimizar recursos y cumplir con normativas de seguridad. Imagina que un atacante usa credenciales legítimas para moverse en tu red: sin un análisis profundo, podría pasar desapercibido.

1.1. Casos de uso comunes del NTA:

  • Detectar tráfico en puertos no estándar (ej: un servidor web usando el puerto 31337).
  • Identificar conexiones cifradas inesperadas (¿por qué un empleado se conecta a un servidor RDP externo?).
  • Monitorear patrones anómalos, como múltiples intentos fallidos de autenticación SMB.

2. Fundamentos de Redes: Capas 1-4 (Repaso Rápido)

2.1. Modelos OSI vs. TCP/IP

  • OSI (7 capas): Teórico, ideal para entender encapsulamiento.
  • TCP/IP (4 capas): Práctico, usado en la realidad (Ej: HTTP viaja sobre TCP/IP).
Capa OSICapa TCP/IPEjemplo de Protocolo
AplicaciónAplicaciónHTTP, FTP, DNS
TransporteTransporteTCP, UDP
RedInternetIP, ICMP
Enlace de datosAcceso a la redEthernet, Wi-Fi

Direccionamiento clave:

  • MAC: Identifica dispositivos en una red local (ej: 00:1A:2B:3C:4D:5E).
  • IPv4 vs. IPv6: IPv4 usa 32 bits (ej: 192.168.1.1), IPv6 usa 128 bits (ej: 2001:0db8:85a3::8a2e:0370:7334).

TCP vs. UDP:

  • TCP: Conexiones confiables (ej: navegación web). Usa handshake de 3 pasos:
    1. Cliente → Servidor: SYN
    2. Servidor → Cliente: SYN-ACK
    3. Cliente → Servidor: ACK
  • UDP: Más rápido, sin confirmación (ej: streaming de video).

3. Herramientas Imprescindibles

3.1. TCPDump: El Analizador de Línea de Comandos

Instalación:

sudo apt install tcpdump  # Debian/Ubuntu

Comandos Básicos:

  • Capturar tráfico en una interfaz:
sudo tcpdump -i eth0
  • Filtrar por IP y puerto:
sudo tcpdump -i eth0 host 192.168.1.100 and port 80
  • Guardar captura en un archivo .pcap:
sudo tcpdump -i eth0 -w captura.pcap

Ejemplo de Salida:

14:22:01.123456 IP 192.168.1.100.54321 > 104.18.22.52.80: Flags [S], seq 123456789, win 64240, ...
  • Flags [S]: Indica un paquete SYN (inicio de conexión TCP).

3.2. Wireshark: El Poder de la Interfaz Gráfica

Filtros de Visualización Útiles:

  • http.request.method == "GET": Muestra solicitudes HTTP GET.
  • tcp.port == 443: Tráfico HTTPS.
  • dns.qry.name contains "google.com": Consultas DNS a Google.

Análisis de un Paquete HTTP:

  1. Lista de Paquetes: Busca una entrada con protocolo «HTTP».
  2. Detalles del Paquete: Expande Hypertext Transfer Protocol para ver headers como User-Agent o Cookie.
  3. Bytes del Paquete: Busca texto en claro (ej: username=admin&password=1234).

4. Proceso de Análisis: Paso a Paso

4.1. Flujo de Trabajo Recomendado:

  1. Captura: Usa filtros para reducir ruido (ej: tcpdump -i eth0 not port 22 para excluir SSH).
  2. Filtrado: Elimina tráfico conocido (ej: actualizaciones automáticas).
  3. Análisis:
    • Busca conexiones a IPs desconocidas.
    • Revisa protocolos inusuales (ej: IRC en una red corporativa).
  4. Detección: Usa reglas de IDS/IPS (ej: alert tcp any any -> any 80 (msg:"SQL Injection"; content:"' OR 1=1";)).

Ejemplo Práctico:
Si detectas múltiples paquetes SYN a puertos cerrados, podría ser un port scan. Usa Wireshark para filtrar:

tcp.flags.syn == 1 and tcp.flags.ack == 0

5. Laboratorios Prácticos

5.1. Lab 1: TCPDump para Principiantes

Objetivo: Capturar tráfico DNS.

  1. Inicia una captura: sudo tcpdump -i eth0 port 53 -w dns.pcap
  2. Ejecuta nslookup google.com.
  3. Analiza dns.pcap en Wireshark.

Preguntas:

  • ¿Qué servidor DNS respondió?
  • ¿Qué tipo de registro (A, AAAA) se solicitó?

5.2. Lab 2: Wireshark y Tráfico HTTP

Objetivo: Extraer credenciales en texto claro.

  1. Captura tráfico mientras inicias sesión en un sitio HTTP (no HTTPS).
  2. Filtra por http.request.method == "POST".
  3. Inspecciona el campo Form Data para encontrar username y password.

Consejo: Nunca uses HTTP para logins. ¡Siempre HTTPS!

6. Conclusión

El análisis de tráfico es una habilidad clave para cualquier administrador de redes o profesional de ciberseguridad. Con herramientas como TCPDump y Wireshark, puedes pasar de ver «bytes en un cable» a entender ataques complejos y optimizar tu red. ¡Practica con capturas reales y mantente curioso!

Comparte esta Publicación en Redes Sociales