Equipo:

Eliel Lpez Rueda

Anglica Villa Hernndez

Jorge Acevedo Carren
Cristian Ivan Huerta Rojas
No Mazahua Xincuile

Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado

para realizar anlisis y solucionar problemas en redes de comunicaciones, para
desarrollo de software y protocolos, y como una herramienta didctica. Cuenta con
todas las caractersticas estndar de un analizador de protocolos de forma nicamente
hueca.

La funcionalidad que provee es similar a la de tcpdump, pero aade una interfaz

grfica y muchas opciones de organizacin y filtrado de informacin. As, permite ver
todo el trfico que pasa a travs de una red (usualmente una red Ethernet, aunque es
compatible con algunas otras) estableciendo la configuracin en modo promiscuo.
Tambin incluye una versin basada en texto llamada tshark.

 Mantenido bajo la licencia GPL.

Muy robusto, tanto en modo promiscuo como en modo no promiscuo.
Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura

previa).
Basado en la librera pcap.
Tiene una interfaz muy flexible.
Gran capacidad de filtrado.
Admite el formato estndar de archivos tcpdump.
Reconstruccin de sesiones TCP
Se ejecuta en ms de 20 plataformas.
Es compatible con ms de 480 protocolos.
Puede leer archivos de captura de ms de 20 productos.
Puede traducir protocolos TCP IP
Genera TSM y SUX momentneamente

Ventajas

Desventajas

Entre sus cualidades nos encontramos

Puede ser muy dificil de decifrar la

con una enorme versatilidad que le lleva

a soportar ms de 480 protocolos
distintos, adems de la posibilidad de
trabajar tanto con datos capturados
desde una red durante una sesin con
paquetes previamente capturados que
hayan sido almacenados en el disco
duro.
Wireshark soporta el formato estndar
de archivos tcpdump, es capaz de
reconstruir sesiones TCP, y est
apoyado en una completa interfaz
grfica que facilita enormemente su uso.

informacin que transita en la red, sin

embargo para usuarios con mas
experiencia puede ser mas facil
identificar que es lo que esta
transitando exactamente, quien envia
la informacin y quien la recibe.

Debemos descargar wireshark desde los repositorios oficiales de Debian. Podemos

hacerlo mediante el centro de descargas (grficamente) o desde terminal(en este caso
se realizara desde terminal).
1.

Abrimos una terminal como

root y ejecutamos las
siguientes instrucciones:
aptitude update
aptitude install wireshark

2.

Termina la descarga

3.

Ahora podemos ir a nuestro men de Aplicaciones Internet - Wireshark; y abrirlo

Nota: Si lo abrimos de esta manera no podremos ejecutar las herramientas de
este programa. Para poder hacerlo necesitamos ejecutarlo como superusuario
root, aunque esta prctica no es recomendada.

 Ac tenemos algunas de nuestras herramientas mas utilizadas

En este ejemplo usaremos la opcin de Capture para capturar los que ocurre en una

interfaz seleccionada

 Seleccionamos una interfaz y damos clic en Start

Y nuestra herramienta comenzar a hacer el anlisis de lo que ocurre en nuestra

interfaz

 Existen muchas versiones de wireshar. Existen versiones para:

Windows (32 bits)
Windows (64 bits)
OS X (32 bits)

OS X (64 bits)
Linux

La ultima versin estable es la 1.12.2

 Wireshark es una herramienta sniffer muy popular y eficiente a la hora de analizar

paquetes y tramas de circulacin en la red. Es importante tener en cuenta que para

un uso correcto y adecuado de esta herramienta, debemos de tener nuestra tarjeta de
red en modo promiscuo, y en usuarios Linux hacer las configuraciones necesarias de
grupos y usuarios que puedan ejecutar esta herramienta, porque hacerlo de modo
supe usuario (root) podemos correr mucho riesgo en la red.

 Snort es un IDS o Sistema de deteccin de intrusiones basado en red

(NIDS). Implementa un motor de deteccin de ataques y barrido de

puertos que permite registrar, alertar y responder ante cualquier
anomala previamente definida como patrones que corresponden a
ataques, barridos, intentos aprovechar alguna vulnerabilidad, anlisis
de protocolos, etc conocidos. Todo esto en tiempo real.

 La caracterstica ms apreciada de Snort, adems de su funcionalidad,

es su subsistema flexible de firmas de ataques. Snort tiene una base

de datos de ataques que se est actualizando constantemente y a la
cual se puede aadir o actualizar a travs de la Internet.

 Una subred completa puede ser cubierta por un IDS

Tericamente indetectables
Mnimo impacto a la red
Permiten detectar ataques DOS
Independencia del ambiente operativo
Livianos y Fciles de implementar

 Generacin de falsos positivos

No pueden analizar trfico cifrado
Son tan efectivos como la ltima actualizacin de patrones
Alta latencia entre el ataque y la notificacin
Dificultad para realizar anlisis en redes congestionadas
No indican si un ataque ha sido exitoso o no

 1. Abrir una terminal

2. Escribir el comando de instalacin de paquete : sudo apt-get install snort

Dando permisos de superusuario para poder realizar la instalacin (debido al sistema

de permisos utilizado por las distribuciones de Linux), escribiendo la contrasea en la

siguiente lnea.
En seguida se iniciar la instalacin.

 Dando permisos de superusuario para poder realizar la instalacin (debido al sistema

de permisos utilizado por las distribuciones de Linux), escribiendo la contrasea en la

siguiente lnea.
En seguida se iniciar la instalacin.
3. A continuacin pedir la siguiente opcin de configuracin

 En este paso pide la direccin de red local (la cual va a ser la que se estar

monitoreando). En este punto puede haber 3 opciones de configuracin:

Si es una nica direccin se colocar con mscara de sub red /32
Si es un bloque de 256 IPs se utilizar la mscara /24
Si es una red ms amplia se utilizar la mscara /16

4. Una vez finalizado el proceso de instalacin se puede realizar la configuracin

completa por medio del comando.

Lo cual har que se pidan las configuraciones, que sern guardadas en el archivo

/etc/snort/snort.debian.conf

 Una vez finalizado el asistente de configuracin, se ejecuta el comando mostrado en

la anterior instruccin

 La interfaz de SNORT

cuenta con herramientas

que permiten ver:

 SNORT esta disponible para los SO:

Fedora
Centos
Windows
Linux

snort-2.9.7.0.tar.gz

 Es una herramienta muy importante en la prevencin de ataques, constituyen una

primera barrera que nos puede ayudar a corregir fallas de seguridad o a recopilar
informacin relacionada con un posible futuro ataque se ha definido snort como una
herramienta capaz de crear alertas, de acuerdo con las necesidades que el
administrador contemple dentro de la organizacin.
Esta es una de las herramientas ms poderosas en el campo de la administracin de

alertas de ataques.

MRTG(Multi Router Traffic Grapher) es una utilidad creada por

Tobias Oetiker usada para crear graficas que representan una
visualizacin de datos en tiempo real. El uso mas comn de
esta utilidad es en el router, pero se puede utilizar para
graficar cualquier cosa, por ejemplo el numero de miembros o
visitantes en una pagina web.

 Es multiplataforma por lo que es compatible con la mayora de las plataformas Unix y

Windows. Adems de ser open-source.

Esta escrito en Perl.
Utiliza una aplicacin SNMP porttil escrito completamente en Perl.(No necesita

instalar ningn paquete externo SNMP).

Las interfaces de routers pueden ser fcilmente identificadas por su direccin IP,

descripcin y direccin Ethernet.

Mantiene un constante tamao de los archivos de registro (logfiles).
Algunas rutinas escritas en C para mejora de rendimiento.
Grficos generados directamente en formato PNG.
Paginas web producidas son altamente configurables.

 Lectores externos para graficas MRTG pueden crear otras interpretaciones de los

datos.
El software de MRTG puede ser usado no solamente para medir trafico de redes en

interfaces, sino tambin para construir graficas de cualquier cosa que tenga un
equivalente de MIB SNMP, como carga de CPU, disponibilidad de disco, temperatura,
etc.
Puede ser extendido para trabajar con RRDTool.
Permite establecer alarmas.
Fcil de configurar (menos de 30 min).
Soporta Ipv6.
Altamente popular, por ende abundante soporte y ayuda en lnea.

 Genera cada grafica (dependiendo de cuantas graficas se tengan configuradas) cada

5 minutos, creando sobrecarga en algunos casos.

Manejo de MRTG puede ser tedioso.
Muy pocas opciones de costumizar las opciones de graficas.

Espacio de disco siempre es un problema.

Las graficas no pueden ser directamente comparadas.
Intil para planeacin de capacidad.
Pierde resolucin rpidamente.

 Obtn los paquetes requeridos.

Perl. La mayor parte de mrtg esta escrita en Perl
Gd. Librera bsica para dibujar graficas.
Libpng. Requerida por gd para producir archivos PNG.

Zlib. Comprime las graficas creadas.

Mrtg. La utilidad misma.

Compila e instala los paquetes.

Crea archivos cfg para interfaces de enrutadores con cfgmaker.

Crea paginas de los archivos cfg con indexmaker.

Lanza MRTG peridicamente desde Cron o correrlo en modo daemon.

RDDTool.
Base de datos round robin para series de tiempos y almacenamiento

de datos.
Usado en lnea de comandos.
Hecho para ser mas rpido y mas flexible.
Incluye cgi y herramientas de graficacin, mas api.
Soluciona los problemas de historial y problemas simples de interfaces.

 MRTG-1.0
Creado en la primavera de 1995.

Completamente escrito en perl.

Muy lento y con problemas de portabilidad y escalabilidad.

MRTG-2.0
Sali al mercado en ener0 de 1997
Mas rpido.

Virtualmente independiente de plataforma.

Mas fcil de usar.

MRTG-3.0
Implementacin de la herramienta rrdtool.
Mayor rendimiento.
Fcil configuracin.
Soluciones integrales.

Mrtg es una herramienta muy popular debido a lo til y

sencilla de usar que es. Tambin es una herramienta que ha
venido a mas desde su primer versin, las mejoras en
rendimiento, facilidad de uso, manejo de espacio y mas la han
hecho la herramienta mas utilizada para la medicin de
trafico, ya que se puede utilizar para medir no solo trafico sino
cualquier cosa medible en una red.

tcpdump

 Tcpdump es la herramienta principal de anlisis de la red, de los profesionales de seguridad de

la informacin. Tener un conocimiento slido de esta aplicacin es obligatoria para cualquiera

que desee un conocimiento profundo de TCP / IP.
Un profundo conocimiento de estos protocolos permite a la resolucin de problemas en un

nivel mucho ms all de la analista medio.

 Tcpdump imprime una descripcin de los contenidos de los paquetes sobre una interfaz de red que coincide con la

expresin booleana; la descripcin es precedida por un sello de tiempo, impreso, por defecto, como horas, minutos,
segundos y fracciones de segundos desde la medianoche.

Tambin se puede ejecutar con la bandera -w, lo que hace que para guardar los datos de paquete a un archivo para su

posterior anlisis, y / o con la bandera -r, que hace que se lea desde un archivo guardado de paquetes en lugar de leer
los paquetes a partir de una interfaz de red. Tambin se puede ejecutar con la bandera -V, lo que hace que leer una lista
de archivos de paquetes guardados. En todos los casos, slo los paquetes que expresin de coincidencia ser procesado
por tcpdump.

Si no se ejecutan con la bandera -c, tcpdump continuara la captura de paquetes hasta que es interrumpida por una seal

SIGINT (generada, por ejemplo, al escribir su carcter de interrupcin, generalmente control-C) o una seal
SIGTERM (normalmente generada con el comando para matar el proceso); si se ejecuta con la opcin -c, capturar los
paquetes hasta que es interrumpida por una seal SIGINT o SIGTERM o el nmero especificado de paquetes han sido
procesados.

Cuando termina de tcpdump paquetes captura, se informe cargos de:

''paquetes `capturados'' (este es el nmero de paquetes que tcpdump ha recibidos y procesados).
''paquetes recibidos por el filtro '' (el significado de esto depende del sistema operativo en el que se est ejecutando tcpdump, y

posiblemente en la forma en que el sistema operativo se ha configurado - si se ha especificado un filtro en la lnea de comandos, en
algunos sistemas operativos cuenta paquetes, independientemente de si fueron igualados por la expresin de filtro y, aun si fueron
igualados por la expresin de filtro, independientemente de si tcpdump ha ledo y los procesados, sin embargo, en otros sistemas
operativos que cuenta solamente los paquetes que fueron igualadas por la expresin de filtro, independientemente de si tcpdump ha
ledo y que ha procesado todava, y en otros sistemas operativos porque cuenta slo los paquetes que fueron agrupados por la
expresin de filtro y se procesaron por tcpdump);
''Paquetes borrados por el kernel', (este es el nmero de paquetes que fueron arrojadas, debido a una falta de espacio de memoria

intermedia, por el mecanismo de captura de paquetes en el sistema operativo en el que se ejecuta tcpdump, si el sistema operativo
informa de que la informacin a las aplicaciones; si no, ser reportado como 0).

Ventajas
Herramienta muy potente y precisa acerca del trafico de red.
Soporta una gran cantidad de protocolos.

Desventajas
Requiere de alto conocimiento y anlisis del protocolo TCP/IP.
Altos requerimientos de recursos para un desempeo optimo (segn el fin que se tenga).

 Descargar e instalar:

#apt-get install tcpdump

Si es necesario, checar dependencias e instalarlas antes.

#apt-cache depends tcpdump

Tambin puede ser importante saber la versin instalada.

#apt-cache policy tcpdump

Capturar paquetes de una interfaz Ethernet determinada utilizando tcpdump i

Captura slo nmero N de paquetes usando -c tcpdump

Muestra paquetes capturados en ASCII utilizando tcpdump -A

Capturar los paquetes y escribir en un archivo usando -w tcpdump

Recibir slo los paquetes de un tipo de protocolo especfico

Recibe paquetes fluye en un puerto en particular mediante el puerto tcpdump

Capturar paquetes para todo destino IP y el puerto

Captura de paquetes de comunicacin TCP entre dos hosts

tcpdump filtrar los paquetes - Captura todos los paquetes que no sean arp y rarp

Ultimo (actual)
4.6.2 / 1.6.2
Sep 2, 2014

En desarrollo

git clone git://bpf.tcpdump.org/tcpdump

Noviembre, 2014.
Anteriores
4.5.1 / 1.5.3
Nov 20, 2013/Dec 3, 2013/Jan 14, 2014
4.4.0 / 1.4.0
May 20, 2013

 Tcpdump es un herramienta de anlisis de trafico muy potente y flexible que puede apoyarnos

en la labor de auditoria, monitoreo y en cierta medida ante ataques de red.

 http://www.tcpdump.org/manpages/tcpdump.1.html
http://openmaniak.com/tcpdump.php
http://www.thegeekstuff.com/2010/08/tcpdump-command-examples/
http://www.danielmiessler.com/study/tcpdump/

 IPTraf es una herramienta para la consola que monitorea el trfico de

redes en nuestro sistema y es sumamente til para depurar problemas

de ese tipo. Se puede ejecutar tanto en modo interactivo como en
modo desatendido (batch). Funciona recolectando informacin de las
conexiones TCP, como las estadsticas y la actividad de las interfaces,
as como las cadas de trfico TCP y UDP. Se encuentra disponible en
sistemas operativos GNU/Linux.

 Adems de un men de opciones a pantalla completa, IPTraf posee las

siguientes caractersticas:
Monitoreo de trafico IP, tras informaciones sobre el trfico de IP que

pasa sobre nuestra red LAN. Incluye informaciones sobre el TCP bytes
y contenido, detalles ICMP, y tipos de paquetes OSPF.
Estadsticas de interface general detallado mostrando IP, TCP, UDP,

ICMP, no-IP y otros paquetes IP, errores checksum IP, actividad del
interface, contenido del tamao del paquete.
Contenido de TCP y UDP, servicio de monitoreo de paquetes de

entrada y salida para TCP comunes y puertas UDP aplicacin.

 Mdulo de estadsticas que descubre hosts activos mostrando tambin

estadsticas de las actividades de datos sobre ellos.

TCP, UDP, filtros y otros protocolos de visualizacin, permitiendo que

usted visualiza solamente el trfico en el cual est interesado.

Permite grabar Logs.
Soporta redes Ethernet, FDDI, ISDN, SLIP y PPP.
Utiliza el built-in interface de socket raw del kernel Linux, permitiendo

que l sea usado en una amplia gama de placas de rede soportadas.

 Ventajas
Es capaz de brindar mucha informacin como el nmero de paquetes y

bytes en una conexin TCP, estadsticas de una interfaz e indicadores

de actividad, cadas en el trfico TCP/UDP y nmero de bytes y
paquetes en una estacin LAN.
Esta herramienta podra resultar muy til ya que por ejemplo

analizando el trfico de red

podramos detectar si hay algn
infiltrado, que est haciendo uso ilegal de nuestra conexin o algn
programa (por ejemplo un troyano) haciendo mal uso de lo nuestro.

 IPTraf admite una amplia gama de interfaces de red:

Loopback local
Todas las interfaces Ethernet admitidas por GNU/Linux.
Todas las interfaces FDDI admitidas por GNU/Linux.
SLIP
Asynchronous PPP
Synchronous PPP over ISDN

 ISDN con encapsulacin Raw IP

ISDN con encapsulacin Cisco HDLC
Lnea IP Paralela.
Desventajas
Solo se encuentra disponible para sistemas operativos basados en

GNU/Linux.
Est en modo consola.

 Instalando a partir de 'source'.

Desde la terminal escribir lo siguiente:
# tar zxvf iptraf-x.y.z.tar.gz

# ./Setup
Instalacin en Debian:
# apt-get install iptraf

Instalacin en CentOs:
# yum install iptraf

 IpTraf es una utilidad basada en lo que

comn mente se conoce como

interfaces curses (Curses es una
biblioteca de control de terminal para
sistemas
basados
en
Unix,
posiblemente considerada como las
primeras libreras para interfaces de
usuarios) y lo que realiza es
interceptar los paquetes que se estn
transfiriendo en la red para luego
brindarnos informacin sobre los
mismos.

 IP traffic monitor. Nos muestra en tiempo real del trfico que pasa por las interfaces.

Podemos seleccionar slo una interfac o todas. Podemos ver qu IP est haciendo
uso del trfico de red.
General interfaces statistics. Muestra estadsticas de las interfaces.
Detailed interfaces statistics. Informacin ms detallada de una interfaz en concreto.
Statistical breakdowns.... Trfico de paquetes por tamao o por TCP/UDP en una

interfaz.
LAN station monitor. Muestra las estadsticas de nuestra red detectadas en una o

todas las interfaces.

Filters. Podemos configurar filtros o crea uno nuevo.
Configure. Configurar IPtraf para nuestras necesidades

 IPTraf 2.2.2 Released, July 14, 2000

Updates, September 18, 2000
Mailing Lists Now Available, September 30, 2000

IPTraf 2.3.0 Released, November 6, 2000

IPTraf 2.3.1 Released, November 13, 2000
IPTraf on ZDNet, February 18, 2001

IPTraf 2.4.0 Released, March 20 2001

IPTraf 2.5.0 Released, August 14 2001

 IPTraf 2.6 First Beta Released, January 29, 2002

IPTraf 2.6.0 Released, April 24, 2002
IPTraf 2.6.1 Released, May 2, 2002

IPTraf 2.7.0 Released, May 19, 2002

IPTraf 3.0.0 - September 19, 2005 (ltima versin estable)

 Esta es una de las herramientas ideales para monitorear las redes de

nuestras oficinas, si bien no contamos con una versin del todo grfico,
mostrando diagramas estadsticos ni mucho menos dibujos, pero es
realmente til la informacin que podemos obtener si es que realmente
hacemos una buena lectura de la misma. Al poder ejecutarse
remotamente bajo un protocolo SSH (Secure Shell) podemos conocer
an ms informacin y de alguna manera mantener el control del
trfico de la red.