Analizar tráfico de red es realmente apasionante y para este post he pensado que sería un tema de interés para los lectores. El tráfico aquí analizado es más a modo de hobby cuando estoy en redes públicas/abiertas como hoteles, cafés y aeropuertos 🙂 Tiempo ha pasado desde que trabajaba como analista de IDS pero es un servicio que ofrecemos en VULNEX en materia de ciber seguridad.
Analyzing network traffic is really exciting and for this post I thought it would be an interesting topic to readers. The traffic analyzed here is more as a hobby when I’m in public/open networks as hotels, cafes and airports Time has passed since I worked as an IDS analyst but it is a service that we offer at VULNEX in cyber security services.
Algunas de las herramientas que utilizo para mis análisis son:
• NetworkMiner
• Wireshark
• Xpico
• Snort
• Y herramientas exclusivas de VULNEX
Some of the tools that I use for my analysis are:
• NetworkMiner
• Wireshark
• Xpico
• Snort
• And custom VULNEX tools
Una vez capturado el tráfico con vuestro sniffer favorito comienza la etapa de análisis utilizando algunas de las herramientas antes mencionadas. En la Fig. 1 utilizamos NetworkMiner para obtener una rápida idea del tráfico como IP y su sistema operativo, dónde están navegando, obtener credenciales e imágenes así como información diversa.
Once traffic is captured with your favorite sniffer the analysis phase begins using some of the tools mentioned before. In Fig. 1 we use NetworkMiner to get a quick view of IP and operating system, where they are browsing, obtain credentials and images as well as diverse information.
Fig 1 – IPs y Sistemas Operativos / IPs and Operating Systems
Utilizando la misma herramienta podemos observar todas las imágenes capturadas en el tráfico, ver Fig. 2.
Using the same tool we can observe all the traffic captured images, see Fig. 2.
Fig. 2 – Explorando las imágenes capturadas / Exploring captured images
Ahora utilizamos Wireshark, posiblemente el mejor sniffer, para analizar el tráfico capturado utilizando sus potentes herramientas de análisis, ver Fig. 3.
Now we use Wireshark, possibly the best sniffer, to analyze the captured traffic using its powerful analysis tools, see Fig. 3.
Fig. 3 – Wireshark en acción / Wireshark in action
Conclusiones del análisis / Conclusions of the Analysis
A pesar de que el análisis ha sido superficial se ha obtenido una gran cantidad de información que un atacante podría utilizar para realizar ataques más sofisticados y focalizados.
While the analysis was lightweight we have obtained a large amount of information that an attacker could use to perform more sophisticated and targeted attacks.
Hemos obtenido:
• Una gran cantidad de nombres, ahora un atacante podría realizar OSINT.
• Que iPhone seguido de iPads dominan el mercado de dispositivos. No es de extrañar que se pague tanto por exploits en estos dispositivos.
• Fotos personales
• Credenciales
• Sistemas operativos y vulnerabilidades
We have obtained:
• A list of names, now an attacker could perform OSINT on them.
• iPhone followed by iPads dominate the market of devices. It is not surprising that they pay so much for exploits in these devices.
• Personal photos
• Credentials
• Operating systems and vulnerabilities
No está nada mal para un ratito de análisis y a modo de ocio 🙂 Es un ejercicio que recomiendo hacer y especialmente en redes corporativas, ya que muchas veces no se conoce el tráfico que circula por ellas.
Not bad for a little bit of analysis and for leisure 🙂 it is an exercise that I recommend doing, especially in corporate networks where quite often the traffic flowing through them is not known.
Descargo de Responsabilidad: En ningún momento se ha atacado ningún sistema o se ha usado ninguna información obtenida para uso fraudulento.
¿Y vosotros qué herramientas de análisis en redes utilizáis?
Disclaimer: No system has been attacked at any time and no information obtained used for fraudulent use.
What network analysis tools do you use?
— Simon Roses Femerling