Wireshark. Tshark.

Detectando tráfico P2P en nuestra red.

Publicado el 23 junio, 2008 por Alfon
Fruto de algún que otro comentario y algunos correos, en esta entrada voy a dar
algunas pistas para tratar de descubrir y analizar el tráfico P2P en nuestra
red. El tráfico generado por Ares, Emule / Edonkey, BitTorrent, etc, deja una
serie de huellas con las que podemos trabajar para su descubrimiento. Para ello
podemos usar cualquier sniffer tal como windump / tcpdump, Wireshark o Tshark,
aunque son estos dos últimos los que continenen algunas utilidades que nos hará el
trabajo más facil. De Esta forma nos será también más facil bloquearlos.
La forma más básica de descubrir el tráfico P2P es filtrando por los puertos
que, por defecto, suelen usar estos programas. Hay que tener en cuenta que en la
mayoría de estos programas estos puertos usados son configurables, pero es ya
la primera pista para ir comenzando a abordar el problema.
NOTA: Relacionado, aquí teneis:
Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando
Wireshark / Snort. Parte 1
Algunos puertos usados por los programas P2P.
Gnutella (Bearshare, Limewire)
TCP 6346, 6347, 6348
UDP 6346, 6347, 6348
Kazaa, Grokster, Morpheous
TCP 1214
UDP 1214
WinMX & Napster
TCP 6257
UDP 6257
TCP 6699
UDP 6699
eDonkey
TCP 4661-4672
UDP 4661-4672
BitTorrent
TCP 6881-6889
UDP 6881-6889
Napster
TCP 4444, 5555, 6666, 7777, 8888
UDP 4444, 5555, 6666, 7777, 8888
Analizando el tráfico P2P. Las huellas.
Otra forma de descubrir este tráfico es poe las huellas dejadas en las trazas o
paquetes capturados.

Ares suele algunas pistas sobre sue uso en nuestras capturas:

De la misma forma, Napster suele dejar en las capturas:

@napster.com
Emule deja la firma: “Server eMule”
Gnutella suele dejar ditrectamente: “GNUTELLA” ó “GNUTELLA OK”
BitTorrent puede dejar algo parecedo a: “BitTorrent protocol”
En resúmen, casi todos los progrmas P2P suelen dejar una huella bastante
evidente. Es cuentión de usarlos y analizar dichas huellas para que nos sirva de
filtro.
Filtrando por protocolos en Wireshark / Tshark.
Mientras capturamos en Wireshark o Tshark, podemos o filtrar por puertos (lo
hemos visto más arriba), o por protocolo en los filtros de visualizaxión (Display
Filter):
Filtrando por protocolos podemos usar la opción -R de Tshark o la ventana de
Display Filter de Wireshark introduciendo cualquiera de estos disertores:
gnutella
bittorrent
edonkey
Tambíen podemos usar desde el menú principal de Wireshark:

Edit > Preferences > Protocols> BitTorrent , EDONKEY

Estadísticas de uso.
Usando las estadísticas, podemos también ver según el protocolo P2P la cantidad
frames y bytes que circulan por la red. Lo vimos en su momento aquí y aquí :

Otro tipo de estadísiticas:

Vemos claramente el uso de edonkey / Emule en las estadisticas.
Uso de IDS o Sistemas de detección de Intrusos y cortafuegos.
La mayoría de firewalls o cortafuegos tienen estadísticas, logs y sistemas
para bloquear el uso de programas P2P. Así mismo, un IDS tal como Snort ,
contienen una serie de reglas para detectar el uso del tráfico P2P.
Post relacionado: Skype. Algunas consideraciones sobre Skype y Bloqueo de
tráfico usando Wireshark / Snort. Parte 1