Análisis de capturas de

tráfico de red
Guillermo Román Ferrero – Hartek
RootedCon 2018
Acerca de mí
Guillermo Román Ferrero • Cofundador y coautor del blog
@Guille_Hartek Follow the White Rabbit
• Graduado en Ingeniería Informática (https://www.fwhibbit.es)
(mención TI) por UVA. o Seguridad, privacidad y hacking.
• Máster Universitario en Seguridad o Premio Bitácoras 2016 al mejor blog
de seguridad informática.
de las Tecnologías de la Información
y las Comunicaciones por la UEM.
• Analista de Protocolos de Red y
Seguridad (Excem Technologies).

Análisis de capturas de tráfico de red 2

¿Por qué capturar y analizar el tráfico?
Captura lícita de tráfico:
• Monitorización de redes.
• Redirección a IDS/IPS.
• Análisis de protocolos.
• Ingeniería reversa.
• Análisis de malware.

Captura ilícita de tráfico:

• Espionaje de comunicaciones.
• Profiling no autorizado.
• Obtención de credenciales.
• Proveedor de servicios maligno.

Análisis de capturas de tráfico de red 3

¿Por qué capturar y analizar el tráfico?
Métodos habituales para la
obtención de capturas:
• Espionaje de redes inalámbricas.
• Intervención del cableado o electrónica de
red (network tap).
• Port mirroring.
• Suplantación y ataques Man in the Middle.
• Punto de acceso falso (Rogue AP) o
equivalentes en red móvil.
• Proxies y VPN malignas.

Análisis de capturas de tráfico de red 4

Datos en una captura de red
De una captura de tráfico, Protocolos interesantes:
potencialmente, podríamos sacar • HTTP
• HTTPS
un gran número de datos: • DNS
• Aplicaciones y versiones. • XMPP
• Servicios utilizados. • STUN
• Datos personales, credenciales. • FTP/TFTP
• Perfilado del usuario (gustos, intereses…). • POP3/IMAP/SMTP
• Localizaciones. • Muchos más: SSH, ICMP, QUIC…
• Visitas web.
• Ficheros intercambiados.
• Flags!!

Análisis de capturas de tráfico de red 5

Aplicaciones – Packet Analyzer
Permite realizar tanto una
inspección en forma de gráficos
como la disección de la captura en
protocolos, fuentes de tráfico, etc.
Funciones interesantes:
• Exportación de tráfico a Wireshark/fichero.
• Disección de tráfico sobre varios niveles
(p.e. por IP y después por puerto).
• Visión rápida de estadísticas por protocolo.
• Trazado de líneas temporales.

Análisis de capturas de tráfico de red 6

Aplicaciones - Wireshark
Inspector de protocolos de red.
Permite capturar y examinar las
diferentes capas de red de una
captura de tráfico.
Funciones interesantes:
• Extracción e inspección de datos (visibles)
de (casi) cualquier protocolo.
• Seguimiento de flujos de tráfico.
• Filtrado de los paquetes.
• Rastreo de orígenes (GeoIP).
• Estadísticas básicas.
• Extracción de objetos (HTTP, FTP…).
• Largo etcétera.

Análisis de capturas de tráfico de red 7

Aplicaciones - Wireshark
Algunos ejemplos de filtro:
• http.user_agent (agentes de usuario)
• http.request.full_uri (URIs accedidas)
• http contains “Referer:” (Referer de
peticiones)
• http.request.full_uri contains “maps/api”
(Localizaciones por Google Maps)

GeoIP:
• Base de datos de MaxMind que relaciona
un origen/destino de tráfico con la ciudad,
país, número AS y otra información.
• Datos visibles desde las estadísticas.

Análisis de capturas de tráfico de red 8

Aplicaciones - tshark
Interfaz de comandos incluida con
Wireshark.
Permite una inspección de
paquetes más rápida, además de
las mismas funciones de captura y
análisis.
Útil a la hora de extraer datos
específicos de la captura.
Sintaxis sencilla. Ejemplo:
• tshark –r fichero.pcap –Y http.user_agent –T
fields –e http.user_agent

Análisis de capturas de tráfico de red 9

Aplicaciones – Network Miner
Herramienta forense de redes.
Permite realizar un análisis de los
paquetes y extraer la mayor
cantidad de información posible.
Es capaz de extraer:
• Hosts accedidos.
• Ficheros intercambiados (HTTP, FTP…).
• Mensajería (en plano).
• Credenciales (en plano) (FTP, Telnet…).
• Resoluciones DNS.
• Parámetros en formulario.
• Información mediante palabra clave.
• Anomalías (Spoofing, parámetros
“extraños”…).

Análisis de capturas de tráfico de red 10

Análisis mediante scripting
Los scripts permiten realizar un
análisis especializado de la captura
de red.
Muy útiles cuando buscamos algo
en concreto, o automatizar
extracciones.
Muchísimas alternativas a elegir. En
mi caso:
• Lenguaje: Python (3), sencillo y rápido.
• Librería: dpkt, escrita originalmente por Dug
Song. Permite realizar inspección a nivel de
paquete.

Análisis de capturas de tráfico de red 11

Análisis mediante scripting
¡Manos a la obra! Utilizaremos tres
ejemplos de script de extracción:
• Extracción de estadísticas de protocolos por
capa TCP/IP.
• Extracción de agentes de usuario por orden
de uso.
• Extracción de resoluciones DNS tipo A y
CNAME.

Análisis de capturas de tráfico de red 12

Conclusiones
Algunas breves conclusiones:
• Las aplicaciones y servicios, incluso si
aseguran cifrar el contenido del tráfico,
pueden dejar información desprotegida.
• Puede realizarse un perfilado del usuario del
dispositivo con esta información.
• Existen herramientas que facilitan de forma
enorme esta tarea.
• Los scripts y aplicaciones personalizadas nos
ayudan a realizar una extracción de
información mucho más ágil.

¡¡Muchas gracias por venir!!

Análisis de capturas de tráfico de red 13