ANALISIS FORENSE DIGITAL

SEMANA 6

JOSE RAMIREZ CORTES

07-05-2023
TECNICO NIVEL SUPERIOR EN CIBERSEGURIDAD
DESARROLLO
1. Realice un cuadro demostrativo de las diferencias entre Wireshark y Tshark (3 puntos).

Al realizar la investigación sobre estas dos herramientas encontré que no hay muchas diferencias entre
ellas ya que Tshark es una herramienta que viene a ser la versión en línea de comandos de Whireshark
teniendo todas sus funciones solo variando en que no tiene interfaz gráfica.

WIRESHARK TSHARK
Su operación es a través de interfaz grafica Tshark se define como una herramienta para
realizar también análisis de protocolos.
Se ejecuta sobre la mayoría de los sistemas Todo el manejo tiene que realizarse a través de
operativos Unix y compatibles, incluyendo Linux, comandos.
Solaris, freebsd, netbsd, openbsd, Android, y
macos, así como en Microsoft Windows.
Permite seguir el rastro a los paquetes TCP Se puede realizar análisis en tiempo real o
stream, podemos ver todo lo relacionado con investigar una captura guardada. Estos son los
dicho paquete, el antes y el después, pudiendo conocidos ficheros pcap o pcapng.
aplicarles filtros personalizados a estos mismos sin
perder el flujo.
Se puede decodificar los paquetes y exportar en Por regla general es usado por quienes utilizan
formatos específicos y guardar dichos objetos. estas herramientas y capturas de red para
tratarlas a través de scripts en el sistema
Permite ver estadísticas de los paquetes
capturados incluyendo un resumen, jerarquía de
protocolos, conversaciones, puntos finales y
gráfica de flujos entre otros.
2. Realice una investigación en Internet buscando a lo menos una herramienta para captura de tráfico y
clasifique las herramientas vistas en la semana más la encontrada en Internet (3 puntos).

HERRAMIENTAS DESCRIPCION
WIRESHARK Es una herramienta multiplataforma que se puede
utilizar en Windows, Linux, MacOS, Ubuntu y
Debian, lo cual lo hace muy versátil y por lo tanto
una de las más usadas y conocidas en el mercado;
además, es de uso gratuito.
NETWORK MINER La herramienta Network Miner corresponde a la
rama de análisis forense de red para sistemas
Microsoft Windows. Su propósito es recolectar
información tras el procesado de las capturas de
red.

La herramienta filtra todo tipo de información y es

capaz de obtener versiones de aplicaciones, de
sistemas operativos, ficheros, conexiones abiertas,
credenciales, sesiones, etc.
XPLICO El framework trabaja con archivos de captura de
datos tipo Pcap y permite también la captura en
tiempo real del tráfico de red.

Esta herramienta obtiene gran cantidad de

información relacionada con sitios web, DNS,
chats, correos, imágenes, etc. y puede utilizarse
como herramienta durante el análisis dinámico de
un código malicioso o malware
TCPDUMP Tcpdump es una herramienta para línea de
comandos cuya utilidad principal es analizar el
tráfico que circula por la red. Permite al usuario
capturar y mostrar en tiempo real los paquetes
transmitidos y recibidos por la red a la cual el
ordenador está conectado.
3. En relación con la pregunta anterior, ocupe una de las herramientas y realice una captura de tráfico,
adjuntando la evidencia de lo trabajado (3 puntos).

Descripción:

Tcpdump es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico que
circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y
recibidos por la red a la cual el ordenador está conectado.

Para realizar una captura de trafico de datos a través de tcpdump lo haremos desde un sistema operativo
Parrot Security que tengo instalada a través de VirtualBox.

El primer paso es su instalación a través del comando “sudo apt install tcpdump”, posteriormente
ingresamos los comandos para la captura de tráfico.

Iniciamos la herramienta con permisos root e ingresamos los siguientes comandos

 sudo tcpdump -nn -i enp0s3 -c 3 -vv -w datos.pcap: Para iniciar la captura de los datos
 tcpdump -r datos.pcap: Para poder leer el los datos guardados.

Comandos Descripción
Tcpdump Herramienta para captura de datos.
-nn No resolverá nombres de host o nombres de puerto.
-i enp053 Hará que tcpdump capture paquetes de la interfaz de red en este caos “enp053”
-c Define la cantidad de datos que se capturaran en este caso definimos 3 paquetes
-vv Salida detallada (más v da más salida)
-w Guardara los datos capturados en un archivo que definamos en este caso “datos.pcap”
-r indicamos que lea el archivo creado.

Entregando la siguiente información:

Para poder leer el archivo “datos.pcap” ingresamos el siguiente comando:

“tcpdump -r datos.pcap”
REFERENCIAS BIBLIOGRÁFICAS
IACC (2020). Análisis de red y correo electrónico Parte I. Semana 6.

Camaño, A. (2023, 10 abril). Tshark: Qué es y primeros pasos. OpenWebinars.net.

https://openwebinars.net/blog/tshark-que-es-y-primeros-pasos/#qu%C3%A9-es-tshark

Altube, R. (2023, 12 abril). Wireshark: Qué es y ejemplos de uso. OpenWebinars.net.

https://openwebinars.net/blog/wireshark-que-es-y-ejemplos-de-uso/

Digital, L. I. (2020). Los 7 Mejores Analizadores de red y Sniffers para windows y Linux. Locura

Informática Digital. https://www.locurainformaticadigital.com/2018/03/02/7-mejores-

analizadores-de-red-sniffers-windows-y-linux/

# rm-rf.es. (2019). tcpdump: ejemplos | rm-rf.es. # rm-rf.es | Blog de un sysadmin Unix,

GNU/Linux, Windows y lo que haga falta. . . https://rm-rf.es/tcpdump-ejemplos/

tcpdump for Dummies - Alex on Linux. (s. f.). http://www.alexonlinux.com/tcpdump-for-

dummies

# rm-rf.es. (2019b). tcpdump: ejemplos | rm-rf.es. # rm-rf.es | Blog de un sysadmin Unix,

GNU/Linux, Windows y lo que haga falta. . . https://rm-rf.es/tcpdump-ejemplos/