Captura de paquetes: Qué es y qué necesita saber
La captura de paquetes es una herramienta vital que se utiliza para mantener las redes funcionando de forma segura y eficiente. En las manos equivocadas, también se puede usar para robar datos confidenciales como nombres de usuario y contraseñas. En esta publicación, profundizaremos en lo que es una captura de paquetes, cómo funciona, qué tipo de herramientas se utilizan y veremos algunos casos de uso de muestra.
- ¿Qué es la captura de paquetes?
- ¿Cómo Funciona la Captura de Paquetes?
- Cómo Leer una Captura de paquetes
- Formatos, Bibliotecas y Filtros, ¡Oh Dios!
- Herramientas de captura de paquetes
- Casos de uso de Captura de Paquetes y Rastreador de paquetes
- Ventajas y desventajas de la Captura de paquetes
¿Qué es la Captura de paquetes?
La captura de paquetes se refiere a la acción de capturar paquetes de Protocolo de Internet (IP) para su revisión o análisis. El término también se puede usar para describir los archivos que generan las herramientas de captura de paquetes, que a menudo se guardan en el .formato pcap. La captura de paquetes es una técnica común de solución de problemas para los administradores de red, y también se utiliza para examinar el tráfico de red en busca de amenazas de seguridad. Después de una filtración de datos u otro incidente, las capturas de paquetes proporcionan pistas forenses vitales que ayudan a las investigaciones. Desde la perspectiva de un agente de amenazas, las capturas de paquetes se pueden usar para robar contraseñas y otros datos confidenciales. A diferencia de las técnicas de reconocimiento activo como el escaneo de puertos, la captura de paquetes se puede realizar sin dejar rastro para los investigadores.
¿Cómo Funciona La Captura De Paquetes?
¡Hay más de una forma de atrapar un paquete! Las capturas de paquetes se pueden realizar desde un equipo de red, como un enrutador o un conmutador, desde un hardware dedicado llamado tap, desde la computadora portátil o de escritorio de un analista e incluso desde dispositivos móviles. El enfoque utilizado depende del objetivo final. No importa qué enfoque se utilice, la captura de paquetes funciona creando copias de algunos o todos los paquetes que pasan a través de un punto determinado de la red.
Capturar paquetes de su propia máquina es la forma más fácil de comenzar, pero hay algunas advertencias. De forma predeterminada, las interfaces de red solo prestan atención al tráfico destinado a ellas. Para obtener una vista más completa del tráfico de red, querrá poner la interfaz en modo promiscuo o modo de monitor. Tenga en cuenta que este enfoque también capturará una vista limitada de la red; en una red cableada, por ejemplo, solo verá el tráfico en el puerto de conmutador local al que está conectado su máquina.
En un enrutador o conmutador, las funciones conocidas como duplicación de puertos, supervisión de puertos y analizador de puertos conmutados (SPAN) permiten a los administradores de red duplicar el tráfico de red y enviarlo a un puerto especificado, generalmente para exportar paquetes a una solución de supervisión dedicada. Muchos switches y enrutadores de nivel empresarial ahora tienen una función de captura de paquetes integrada que se puede usar para solucionar problemas rápidamente desde la interfaz de línea de comandos o la interfaz web del dispositivo. Otros tipos de equipos de red, como firewalls y puntos de acceso inalámbricos, también suelen tener funcionalidad de captura de paquetes.
Si realiza una captura de paquetes en una red especialmente grande u ocupada, un toque de red dedicado podría ser la mejor opción. Los toques son la forma más cara de capturar paquetes, pero no introducen ninguna penalización de rendimiento, ya que son hardware dedicado.
Cómo Leer una Captura de paquetes
Para comprender y analizar una captura de paquetes, necesitará algunos conocimientos fundamentales de conceptos básicos de red, especialmente el modelo OSI. Si bien puede haber diferencias entre herramientas específicas, las capturas de paquetes siempre consistirán en una carga útil y algunas cabeceras. La carga útil consiste en los datos reales que se transfieren, esto podría ser bits de una película en streaming, correos electrónicos, ransomware o cualquier otra cosa que atraviese una red. Los encabezados de paquetes contienen toda la información crítica que ayuda a los equipos de red a decidir qué hacer con cada paquete. Lo más importante son las direcciones de origen y destino, pero los paquetes IP tienen un total de 14 encabezados que cubren todo, desde la Clase de Servicio hasta el Tipo de protocolo. Un analista de redes profesional tendrá un conocimiento detallado de todos estos campos, pero una comprensión general de la estructura de paquetes es todo lo que se necesita para comenzar a solucionar problemas de rendimiento o aprender más sobre cómo funcionan las redes.
| Versión | Longitud del encabezado | Valor DSCP | ECN | Longitud total del paquete |
| Identificación | Banderas | Desplazamiento de fragmentos | ||
| Time to Live (TTL) | Protocolo | Suma de comprobación de encabezado | ||
|
Dirección IP de Origen |
||||
|
Dirección IP de Destino |
||||
|
Opcional |
||||
Aparte de las direcciones de origen y destino, algunos de los campos más importantes de una solución de problemas la perspectiva puede incluir Puntos de Código de Servicios diferenciados (DSCP), indicadores y TTL. El DSCP se utiliza para garantizar la calidad de servicio (QoS) y es un campo importante para el tráfico en tiempo real, como la voz sobre IP (VoIP). Los indicadores se usan con mayor frecuencia para controlar la fragmentación de paquetes y pueden convertirse en un problema cuando un paquete que tiene el indicador No Fragmentar también excede el tamaño Máximo de Unidad de Transmisión (MTU) de un enlace de red. Los valores TTL se disminuyen después de cada salto y pueden proporcionar pistas importantes sobre la ruta de un paquete a través de la red.
Para tipos de tráfico sin cifrar, los rastreadores de paquetes pueden profundizar más que solo los encabezados e inspeccionar la carga útil real. Esto puede ser increíblemente útil para solucionar problemas de red, pero también es un problema de seguridad potencial cuando hay datos confidenciales, como nombres de usuario y contraseñas. Comprender el significado detrás de la carga útil de un paquete puede requerir el conocimiento del protocolo en uso.
Las aplicaciones de captura de paquetes y análisis de red con frecuencia incluyen herramientas para filtrar, visualizar e inspeccionar grandes cantidades de datos. Estas herramientas permiten un análisis que no es posible a través de la inspección manual de una captura de paquetes. Los archivos de captura también se pueden introducir en un Sistema de Detección de Intrusos/Sistemas de Protección (IDS/IPS), un Sistema de Gestión de Eventos e Información de Seguridad (SIEM) u otros tipos de productos de seguridad para buscar signos de ataque o violación de datos.
Formatos, Bibliotecas y filtros, ¡Oh Dios!
Cuando se trata de capturas de paquetes, hay una gama de terminología relacionada que puede confundirse bastante rápidamente. Analicemos algunos de los términos más comunes e importantes que podrías escuchar:
Formatos de captura de paquetes
Mientras que las herramientas de captura de paquetes como Wireshark se pueden usar para inspeccionar el tráfico en tiempo real, es más común guardar las capturas en un archivo para su análisis posterior. Estos archivos se pueden guardar en una variedad de formatos. .los archivos pcap son los más comunes y generalmente son compatibles con una amplia gama de analizadores de red y otras herramientas. .pcapng se basa en lo simple .formato pcap con nuevos campos y capacidades y ahora es el formato predeterminado al guardar archivos en Wireshark. Algunas herramientas comerciales también pueden utilizar formatos propietarios.
Bibliotecas
Bibliotecas como libpcap, winpcap y npcap son las verdaderas estrellas del espectáculo de captura de paquetes, se conectan a la pila de redes de un sistema operativo y proporcionan la capacidad de buscar paquetes que se mueven entre interfaces. Muchas de estas bibliotecas son proyectos de código abierto, por lo que puede encontrarlas en una amplia variedad de herramientas de captura de paquetes comerciales y gratuitas. En algunos casos, es posible que deba instalar la biblioteca por separado de la herramienta.
Filtrado
La captura de paquetes completos puede ocupar bastante espacio y exigir más recursos del dispositivo de captura. También es excesivo en la mayoría de los casos: la información más interesante suele ser solo una pequeña parte del tráfico total observado. Las capturas de paquetes a menudo se filtran para eliminar la información relevante. Esto puede basarse en todo, desde la carga útil hasta la dirección IP y una combinación de factores.
Herramientas de captura de paquetes
Un gran número de herramientas diferentes están disponibles para capturar y analizar los paquetes que atraviesan su red. A veces se les conoce como rastreadores de paquetes. Estas son algunas de las más populares:
Wireshark
La herramienta de paquetes por excelencia, Wireshark es la herramienta de captura de paquetes de referencia para muchos administradores de red, analistas de seguridad y aficionados. Con una interfaz gráfica de usuario sencilla y un montón de funciones para clasificar, analizar y dar sentido al tráfico, Wireshark combina facilidad de uso y potentes capacidades. El paquete Wireshark también incluye una utilidad de línea de comandos llamada tshark.
tcpdump
Ligero, versátil y preinstalado en muchos sistemas operativos tipo UNIX, tcpdump es el sueño hecho realidad de un adicto a la CLI cuando se trata de capturas de paquetes. Esta herramienta de código abierto puede capturar rápidamente paquetes para su análisis posterior en herramientas como Wireshark, pero tiene muchos comandos y conmutadores propios para dar sentido a grandes sumas de datos de red.
Monitor de rendimiento de red SolarWinds
Esta herramienta comercial ha sido durante mucho tiempo una de las favoritas por su facilidad de uso, visualizaciones y capacidad para clasificar el tráfico por aplicación. Aunque la herramienta solo se instala en plataformas Windows, puede rastrear y analizar el tráfico desde cualquier tipo de dispositivo.
ColaSoft Capsa
ColaSoft hace un rastreador de paquetes comercial dirigido a clientes empresariales, pero también ofrece una edición reducida dirigida a estudiantes y a aquellos que recién se inician en la creación de redes. La herramienta cuenta con una variedad de funciones de monitoreo para ayudar en la resolución de problemas y el análisis en tiempo real.
Kismet
Kismet es una utilidad dedicada a capturar tráfico inalámbrico y detectar redes y dispositivos inalámbricos. Disponible para plataformas Linux, Mac y Windows, esta herramienta admite una amplia gama de fuentes de captura, incluidas radios Bluetooth y Zigbee. Con la configuración correcta, puede capturar paquetes de todos los dispositivos de la red.
Casos de Uso de Captura de Paquetes y Rastreador de Paquetes
Si bien el término Rastreador de paquetes puede evocar imágenes de hackers que acceden de forma encubierta a comunicaciones confidenciales, hay muchos usos legítimos para un rastreador de paquetes. Los siguientes son algunos casos de uso típicos para rastreadores de paquetes:
Descubrimiento de activos / Reconocimiento pasivo
Los paquetes, por su propia naturaleza, incluyen direcciones de origen y destino, por lo que se puede usar una captura de paquetes para descubrir puntos finales activos en una red determinada. Con suficientes datos, incluso es posible tomar huellas digitales de los puntos finales. Cuando se hace con fines comerciales legítimos, esto se denomina descubrimiento o inventario. Sin embargo, la naturaleza pasiva de una captura de paquetes la convierte en una excelente manera para que los atacantes maliciosos recopilen información para las etapas posteriores de un ataque. Por supuesto, la misma técnica puede ser utilizada por los equipos rojos que prueban la seguridad de una organización
Solución de problemas
Al solucionar problemas de red, inspeccionar el tráfico de red real puede ser el medio más efectivo de reducir la causa raíz de un problema. Los rastreadores de paquetes permiten a los administradores e ingenieros de red ver el contenido de los paquetes que atraviesan la red. Esta es una capacidad esencial para solucionar problemas de protocolos de red fundamentales como DHCP, ARP y DNS. Sin embargo, las capturas de paquetes no revelan el contenido del tráfico de red cifrado.
El rastreo de paquetes puede ayudar a verificar que el tráfico está tomando la ruta correcta a través de la red y se está tratando con la prioridad correcta. Un enlace de red congestionado o roto a menudo es fácil de detectar en una captura de paquetes porque solo estará presente un lado de una conversación típicamente bilateral. Las conexiones con un gran número de reintentos o paquetes abandonados a menudo son indicativas de un enlace sobreutilizado o un hardware de red defectuoso.
Detección de intrusos
El tráfico de red sospechoso se puede guardar como captura de paquetes y se puede alimentar a una solución IDS, IPS o SIEM para un análisis posterior. Los atacantes hacen todo lo posible para mezclarse con el tráfico de red normal, pero una inspección cuidadosa puede descubrir tráfico encubierto. Direcciones IP maliciosas conocidas, cargas útiles reveladoras y otros detalles minuciosos pueden ser indicativos de un ataque. Incluso algo tan inocuo como una solicitud de DNS, si se repite en un intervalo regular, podría ser un signo de una baliza de comando y control.
Respuesta a incidentes y análisis forense
Las capturas de paquetes proporcionan una oportunidad única para los servicios de respuesta a incidentes. Los atacantes pueden tomar medidas para cubrir sus pistas en los puntos finales, pero no pueden anular el envío de paquetes que ya hayan atravesado una red. Ya se trate de malware, exfiltración de datos o algún otro tipo de incidente, las capturas de paquetes a menudo pueden detectar signos de un ataque que otras herramientas de seguridad no detectan. Como un encabezado de paquete siempre contendrá una dirección de origen y una de destino, los equipos de respuesta a incidentes pueden usar capturas de paquetes para rastrear la ruta de un atacante a través de la red o detectar signos de datos que se están extrayendo de la red.
Ventajas y desventajas de la captura de paquetes
Como ya se ha indicado, las capturas de paquetes son un gran activo para los administradores de red y los equipos de seguridad. Sin embargo, no son la única opción para monitorear el tráfico de red, y puede haber casos en los que cosas como SNMP o NetFlow son mejores opciones. He aquí un vistazo a algunas de las ventajas y desventajas de usar capturas de paquetes:
Ventaja: La visión más completa del tráfico de red
La captura de paquetes es, por definición, una copia duplicada de los paquetes reales que atraviesan una red o un enlace de red. Es, por lo tanto, el análisis más exhaustivo posible del tráfico de red. Las capturas de paquetes contienen un gran nivel de detalle que no está disponible en otras soluciones de monitoreo, incluida la carga útil completa, todos los campos de encabezado IP y, en muchos casos, incluso información sobre la interfaz de captura. Esto puede hacer que la captura sea la única solución viable en los casos en que se requieren muchos detalles.
Ventaja: Se puede guardar para análisis adicionales
Las capturas de paquetes se pueden guardar para análisis o inspección adicionales en el estándar de la industria .pcap y .pcapng formatos. Esto permite, por ejemplo, que el tráfico sospechoso sea guardado por un ingeniero de red y luego revisado por un analista de seguridad. Una amplia variedad de herramientas son compatibles con este formato, incluidas las herramientas de análisis de seguridad. También es posible guardar una captura de paquetes que consta de varias horas de datos y revisarla en un momento posterior.
Ventaja: Independiente del hardware
SNMP y NetFlow requieren soporte a nivel de hardware de red. Si bien ambas tecnologías gozan de un amplio apoyo, no están disponibles universalmente. También puede haber diferencias en la forma en que cada proveedor los implementa. La captura de paquetes, por otro lado, no requiere soporte de hardware especializado y puede realizarse desde cualquier dispositivo que tenga acceso a la red.
Desventaja: Tamaños de archivo grandes
La captura de paquetes completos puede ocupar grandes cantidades de espacio en disco, en algunos casos hasta 20 veces más que otras opciones. Incluso cuando se aplica el filtrado, un solo archivo de captura puede ocupar muchos gigabytes de almacenamiento. Esto puede hacer que las capturas de paquetes no sean adecuadas para el almacenamiento a largo plazo. Estos tamaños de archivo grandes también pueden dar lugar a largos tiempos de espera al abrir a .pcap en una herramienta de análisis de red.
Desventaja: Demasiada información
Mientras que las capturas de paquetes para proporcionar una visión muy completa del tráfico de red, a menudo son demasiado completas. La información relevante a menudo se puede perder en grandes cantidades de datos. Las herramientas de análisis tienen funciones de ordenar, ordenar y filtrar archivos de captura, pero en muchos casos de uso es posible que otras opciones sirvan mejor. A menudo es posible solucionar problemas de una red o detectar signos de un ataque con solo las versiones resumidas del tráfico de red disponibles en otras soluciones de monitoreo. Un enfoque común es usar una tecnología como NetFlow para monitorear todo el tráfico y pasar a una captura de paquetes completa según sea necesario.
Desventaja: Campos fijos
Las iteraciones más recientes de NetFlow permiten registros personalizables, lo que significa que los administradores de red pueden elegir qué información capturar. Dado que la captura de paquetes se basa en la estructura existente de un paquete IP, no hay espacio para la personalización. Esto puede no ser un problema, pero de nuevo, dependiendo del caso de uso, puede que no sea necesario capturar todos los campos de un paquete IP.
Conclusión
La captura de paquetes es invaluable desde una perspectiva de solución de problemas y seguridad, pero nunca debe ser la única herramienta en la que confíe un administrador de red o ingeniero de seguridad. El mayor uso del cifrado para fines legítimos e ilegítimos limita la eficacia de herramientas como Wireshark. Las capturas de paquetes tampoco dan a los respondedores de incidentes una gran idea de qué acciones han tenido lugar en un host. Los archivos podrían haber sido modificados, los procesos ocultos y las nuevas cuentas de usuario creadas sin generar un solo paquete. La plataforma de protección de datos Varonis proporciona una visión centrada en los datos de su organización que puede detectar amenazas que no se detectan en la red. Como siempre, asegúrese de emplear prácticas de defensa en profundidad y las mejores prácticas en su red. Y cuando esté listo para agregar Varonis a su complemento de herramientas de seguridad, programe una demostración individual.