Publicado el 23 junio, 2008 por Alfon Fruto de algún que otro comentario y algunos correos, en esta entrada voy a dar algunas pistas para tratar de descubrir y analizar el tráfico P2P en nuestra red. El tráfico generado por Ares, Emule / Edonkey, BitTorrent, etc, deja una serie de huellas con las que podemos trabajar para su descubrimiento. Para ello podemos usar cualquier sniffer tal como windump / tcpdump, Wireshark o Tshark, aunque son estos dos últimos los que continenen algunas utilidades que nos hará el trabajo más facil. De Esta forma nos será también más facil bloquearlos. La forma más básica de descubrir el tráfico P2P es filtrando por los puertos que, por defecto, suelen usar estos programas. Hay que tener en cuenta que en la mayoría de estos programas estos puertos usados son configurables, pero es ya la primera pista para ir comenzando a abordar el problema. NOTA: Relacionado, aquí teneis: Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1 Algunos puertos usados por los programas P2P. Gnutella (Bearshare, Limewire) TCP 6346, 6347, 6348 UDP 6346, 6347, 6348 Kazaa, Grokster, Morpheous TCP 1214 UDP 1214 WinMX & Napster TCP 6257 UDP 6257 TCP 6699 UDP 6699 eDonkey TCP 4661-4672 UDP 4661-4672 BitTorrent TCP 6881-6889 UDP 6881-6889 Napster TCP 4444, 5555, 6666, 7777, 8888 UDP 4444, 5555, 6666, 7777, 8888 Analizando el tráfico P2P. Las huellas. Otra forma de descubrir este tráfico es poe las huellas dejadas en las trazas o paquetes capturados.
Ares suele algunas pistas sobre sue uso en nuestras capturas:
De la misma forma, Napster suele dejar en las capturas:
@napster.com Emule deja la firma: “Server eMule” Gnutella suele dejar ditrectamente: “GNUTELLA” ó “GNUTELLA OK” BitTorrent puede dejar algo parecedo a: “BitTorrent protocol” En resúmen, casi todos los progrmas P2P suelen dejar una huella bastante evidente. Es cuentión de usarlos y analizar dichas huellas para que nos sirva de filtro. Filtrando por protocolos en Wireshark / Tshark. Mientras capturamos en Wireshark o Tshark, podemos o filtrar por puertos (lo hemos visto más arriba), o por protocolo en los filtros de visualizaxión (Display Filter): Filtrando por protocolos podemos usar la opción -R de Tshark o la ventana de Display Filter de Wireshark introduciendo cualquiera de estos disertores: gnutella bittorrent edonkey Tambíen podemos usar desde el menú principal de Wireshark:
Estadísticas de uso. Usando las estadísticas, podemos también ver según el protocolo P2P la cantidad frames y bytes que circulan por la red. Lo vimos en su momento aquí y aquí :
Otro tipo de estadísiticas:
Vemos claramente el uso de edonkey / Emule en las estadisticas. Uso de IDS o Sistemas de detección de Intrusos y cortafuegos. La mayoría de firewalls o cortafuegos tienen estadísticas, logs y sistemas para bloquear el uso de programas P2P. Así mismo, un IDS tal como Snort , contienen una serie de reglas para detectar el uso del tráfico P2P. Post relacionado: Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1