Cubrimos una introducción completa a Wireshark, la herramienta de análisis de paquetes. Repasamos las secciones principales, captura de tráfico, disección y análisis de paquetes, extracción de estadísticas de protocolo sobre el tráfico capturado, además de diseccionar y explicar los detalles de los paquetes y la navegación. Esto fue parte de TryHackMe Wireshark Conceptos básicos & Operaciones de paquetes TryHackMe que forman parte del TryHackMe SOC Nivel 1.
Obtenga notas de estudio sobre análisis de tráfico de red
El curso práctico completo del marco Metasploit
Vídeos destacados
Wireshark es una herramienta de análisis de paquetes de red multiplataforma de código abierto capaz de detectar e investigar el tráfico en vivo e inspeccionar capturas de paquetes (PCAP). Se utiliza comúnmente como una de las mejores herramientas de análisis de paquetes. En esta sala, veremos los conceptos básicos de Wireshark y los usaremos para realizar análisis fundamentales de paquetes.
Wireshark es una de las herramientas de análisis de tráfico más potentes disponibles en el mercado. Existen múltiples propósitos para su uso:
- Detectar y solucionar problemas de red, como puntos de falla de carga de red y congestión.
- Detectar anomalías de seguridad, como hosts no autorizados, uso anormal de puertos y tráfico sospechoso.
- Investigar y aprender detalles del protocolo, como códigos de respuesta y datos de carga útil.
La disección de paquetes también se conoce como disección de protocolos, y investiga los detalles del paquete decodificando los protocolos y campos disponibles. Wireshark admite una larga lista de protocolos de disección y también puede escribir sus guiones de disección. Puedes encontrar más detalles sobre la disección. aquí.
Wireshark tiene un potente motor de filtrado que ayuda a los analistas a limitar el tráfico y centrarse en el evento de interés. Wireshark tiene dos tipos de enfoques de filtrado: filtros de captura y visualización. Los filtros de captura se utilizan para “capturando” sólo los paquetes válidos para el filtro utilizado. Los filtros de visualización se utilizan para "visita" los paquetes válidos para el filtro utilizado.
Los filtros son consultas específicas diseñadas para protocolos disponibles en la referencia de protocolo oficial de Wireshark. Si bien los filtros son sólo la opción para investigar el evento de interés, existen dos formas diferentes de filtrar el tráfico y eliminar el ruido del archivo de captura. El primero usa consultas y el segundo usa el menú contextual. Wireshark proporciona una potente GUI y Existe una regla de oro para los analistas que no quieren escribir consultas para tareas básicas: “Si puedes hacer clic en él, puedes filtrarlo y copiarlo”.
Estas estadísticas proporcionan múltiples opciones estadísticas listas para investigar para ayudar a los usuarios a ver el panorama general en términos del alcance del tráfico, protocolos disponibles, puntos finales y conversaciones, y algunos detalles específicos del protocolo como DHCP, DNS y HTTP/2. Para un analista de seguridad, es fundamental saber cómo utilizar la información estática. Esta sección proporciona un resumen rápido del pcap procesado, que ayudará a los analistas a crear una hipótesis para una investigación. Puedes usar el "Estadísticas" menú para ver todas las opciones disponibles.
Respuestas de la habitación
¿Cuál es el número total de paquetes?
Cuál es el hash SHA256 valor del archivo de captura?
¿Cuál es la fecha de llegada del paquete? (Formato de respuesta: Mes/Día/Año)
¿Cuál es el valor TTL?
¿Cuál es el tamaño de la carga útil de TCP?
¿Cuál es el valor de la etiqueta electrónica?
Ir al paquete 12 y lee los comentarios. ¿Cual es la respuesta?
Hay un ".TXT" archivo dentro del archivo de captura. Busque el archivo y léalo; ¿Cómo se llama el extraterrestre?
Mire la sección de información de expertos. ¿Cuál es el número de advertencias?
¿Cuál es la cantidad de paquetes mostrados?
Ir al paquete número 33790 y sigue la corriente. ¿Cuál es el número total de artistas?
¿Cómo se llama el segundo artista?
¿Cuál es la cantidad de conversaciones IPv4?
¿Cuántos bytes (k) se transfirieron desde la dirección MAC “Micro-St”?
¿Cuál es la cantidad de direcciones IP vinculadas con “Kansas City”?
¿Qué dirección IP está vinculada con la organización AS “Blicnet”?
¿Cuál es la dirección de destino IPv4 más utilizada?
¿Cuál es el tiempo máximo de solicitud-respuesta de servicio de los paquetes DNS?
¿Cuál es la cantidad de solicitudes HTTP realizadas por “rad[.]msn[.]com?
¿Cuál es la cantidad de paquetes con un “valor TTL inferior a 10”?
¿Cuál es la cantidad de paquetes que utilizan el “puerto TCP 4444”?
¿Cuál es la cantidad de solicitudes “HTTP GET” enviadas al puerto “80”?
¿Cuál es el número de “tipo A”? DNS ¿Consultas”?
Encuentre todos los servidores Microsoft IIS. ¿Cuál es la cantidad de paquetes que tienen la “versión 7.5”?
¿Cuál es la cantidad total de paquetes que usan los puertos 3333, 4444 o 9999?
¿Cuál es la cantidad de paquetes con “números TTL pares”?
Cambie el perfil a "Control de suma de comprobación". ¿Cuál es el número de paquetes con “suma de comprobación TCP incorrecta”?
Utilice el botón de filtrado existente para filtrar el tráfico. ¿Cuál es la cantidad de paquetes mostrados?
Tutorial en vídeo