La captura y el análisis de paquetes son extremadamente útiles para examinar las interacciones de la red e identificar las transmisiones ineficaces, así como las ciberamenazas peligrosas.
La captura de paquetes se refiere a interceptar y recoger un paquete de datos mientras viaja por una conexión de red. Los paquetes de datos se registran e inspeccionan para identificar y gestionar problemas de red como la alta latencia y los fallos. La información adquirida a partir del análisis de paquetes se utiliza para ayudar a un administrador de red a solucionar y arreglar los fallos de la red en menos tiempo.
El análisis de paquetes se utiliza para algunas de las siguientes tareas.
- Detección de riesgos de seguridad
- Solucionar problemas de DNS
- Identificar y resolver problemas de conectividad de la red
- Detección de fallos en la red
- Detección y solución de fugas de paquetes
- Detección y prevención demalware
Es posible capturar paquetes de datos completos o segmentos concretos de un paquete. Un paquete de datos completo consta de dos partes: una carga útil y una cabecera. El segmento de la carga útil contiene el contenido real del paquete, mientras que el segmento de la cabecera contiene información como las direcciones de origen y destino del paquete.
Hemos resumido una lista de unas cuantas aplicaciones para realizar la captura y el análisis de paquetes completos.
Pongámonos en marcha.
Colasoft Capsa
Capsa es un analizador de red portátil en tiempo real, una herramienta de supervisión y diagnóstico para redes cableadas e inalámbricas. Las inspecciones de paquetes de datos se pueden programar para que se ejecuten en un momento determinado, como de forma regular o mensual. Las exploraciones regulares garantizan que no se le escape ningún problema de rendimiento que pueda surgir. Si acaba perdiéndose algo, las alertas por correo electrónico y audio le notificarán cada vez que se produzca una sesión de red que requiera su participación.
Capsa ayuda al usuario a mantenerse actualizado sobre las vulnerabilidades y amenazas que podrían provocar una interrupción del servicio. Todas las métricas críticas de VoIP (Voz sobre Protocolo de Internet), como el tipo de códec de llamada y la distribución de eventos, están bien controladas con esta herramienta. Es una herramienta excelente para las personas que deseen dedicarse a la inspección de paquetes y aprender a detectar problemas en la red y mejorar su seguridad.
Características:
- Utilidades integradas gratuitas para crear y reproducir paquetes, así como para escanear y hacer ping a direcciones IP.
- Diagnostica los problemas de la red y recomienda soluciones automáticamente.
- Admite el análisis de flujos VoIP y TCP, que puede utilizarse para diagnosticar problemas de red como el tiempo de respuesta lento y las transacciones CRM (gestión de relaciones con los clientes).
- Se pueden detectarataques DDoS, ataques ARP y escaneo de puertos TCP, y también permite al usuario detectar los fallos técnicos de la red.
- Esta herramienta es compatible con más de 1800 protocolos, por lo que resulta sencillo examinar los protocolos de una red y comprender lo que está ocurriendo.
- Recoge todos los paquetes de datos y muestra la información completa de la secuencia de paquetes en formato hexadecimal y ASCII. (Descodificación de paquetes en profundidad)
- El tráfico de red y la información de rendimiento se pueden mostrar en formatos gráficos.
Colasoft proporciona otras herramientas como Network Performance Analysis System (nChronos) y Unified Performance Management Solution (Colasoft UPM). Proporciona una prueba gratuita de 30 días para comprobar las características antes de comprar.
TCPDump
TCPDump es una potente herramienta de analizador de paquetes de línea de comandos de código abierto que captura protocolos como TCP, UDP e ICMP (Protocolo de mensajes de control de Internet). Esta herramienta viene preinstalada en todos los sistemas operativos tipo Unix. TCPDump se publica bajo licencia BSD. Puede inspeccionar las cabeceras de los paquetes TCP/IP fácilmente con tcpdump. Emite la información de cada transmisión de datos, y el script se ejecuta hasta que usted lo termina con la opción Ctrl C.
Tcpdump es muy sencillo de configurar, y si aprende el uso de la herramienta, las banderas y los argumentos, podrá utilizar esta herramienta para solucionar problemas de conectividad y asegurar la red. Los paquetes de datos registrados se guardarán en un archivo para su posterior análisis con tcpdump. Guarda el archivo en formato de extensión PCAP, que puede inspeccionarse fácilmente con tcpdump o Wireshark que lee archivos de formato PCAP (abreviatura de captura de paquetes).
Funciones:
- Es posible filtrar los paquetes de datos capturados por origen, destino y protocolo.
- Gratuito y de código abierto
Aquí tiene un artículo sobre cómo capturar y analizar el tráfico de red con tcpdump.
Paessler PRTG
Una de las herramientas de supervisión de red y análisis de tráfico más populares es Paessler PRTG Network Monitor. Esta herramienta proporciona información crucial sobre la infraestructura de su red y su rendimiento.
Es compatible con Windows. Incluye diversas opciones de supervisión, como la supervisión del ancho de banda y el análisis del tráfico. Existe una versión gratuita de Paessler PRTG. Para informar sobre las métricas de rendimiento de la red, emplea una combinación de un rastreador de paquetes, WMI y SNMP.
Características:
- Alertas flexibles – PRTG cuenta con más de diez tecnologías diseñadas, incluyendo SMS, notificaciones push, correos electrónicos, activación de solicitudes HTTP, etc.
- Múltiples interfaces de usuario – Construido sobre AJAX con fuertes requisitos de seguridad, de alto rendimiento atribuible a la tecnología Single Page Application (SPA),
- Solución de conmutación por error de clúster – Para constituir una solución de supervisión ligeramente elevada.
- Mapas y cuadros de mando – Utiliza mapas en tiempo real con información actual en directo para visualizar la red.
- Supervisión distribuida – Utilizando interceptores portátiles, puede supervisar numerosas redes en varias ubicaciones y múltiples redes dentro de su organización.
- Informes exhaustivos en forma de cifras, estadísticas y gráficos
Esta herramienta admite diversos métodos de alerta, como SMS, correos electrónicos y conexiones de terceros a plataformas como Slack. PRTG está disponible en versión ilimitada durante 30 días. Tras el periodo gratuito, volverá a la forma gratuita.
Wireshark
Wireshark es un analizador de paquetes gratuito y de código abierto que permite examinar las transmisiones de datos de red en tiempo real. Esta herramienta permite a los administradores de red sondear la red a un nivel microscópico para localizar el origen de los problemas y errores de tráfico. Es una gran herramienta que exige una sólida comprensión de los conceptos de red.
Características:
- Funciona prácticamente con cualquier sistema operativo, incluidos Windows, distribuciones Linux, Mac OS X, etc.
- Crea informes basados en datos estadísticos actuales.
- Puede filtrar la salida con una variedad de opciones, como temporizadores y filtros.
- Visualice los paquetes de red con gráficos y diagramas IO.
- También puede registrar el tráfico USB.
- Ofrece una amplia gama de usos, entre los que se incluyen la identificación del tráfico no autorizado, la configuración del filtrado de paquetes, etc.
- Se pueden aplicar reglas de codificación por colores para identificar los tipos de tráfico.
- Investigación detallada de VoIP (protocolo de voz sobre Internet).
La pérdida de paquetes de datos, los problemas de latencia de la red, las dependencias de las aplicaciones y el tamaño ineficaz de las ventanas son los problemas más comunes en la resolución de problemas en los que Wireshark puede ayudar. Esta herramienta le permite supervisar el tráfico de red y proporciona mecanismos de búsqueda y localización del origen de un problema.
El tráfico unidifusión (sin conexión) que no se envía a la interfaz de la dirección MAC de la red también puede supervisarse con la herramienta Wireshark.
No dude en visitar este artículo sobre la solución de problemas de latencia de red con Wireshark.
Arkime
Arkime funciona en colaboración con el sistema de seguridad existente para recopilar e indexar el tráfico de red y las transmisiones de datos en formato PCAP estándar.
Todos los paquetes de datos registrados se almacenan y exportan en formato PCAP ordinario, lo que le permite utilizar sus herramientas de ingesta PCAP favoritas, como Wireshark o tcpdump en su proceso analítico.
La retención PCAP viene determinada por la cantidad de espacio disponible en el disco del sensor, mientras que la retención API viene determinada por el tamaño del clúster Elasticsearch. Ambos parámetros pueden modificarse en cualquier momento.
Arkime está diseñado para funcionar en varios sistemas y se adapta a decenas de gigabits por segundo de tráfico. Todos los archivos en formato PCAP que se guardan en los sensores Arkime pueden instalarse y sólo se puede acceder a ellos a través de la interfaz web o la API de Arkime. Los archivos PCAP pueden cifrarse en reposo con Arkime.
Características:
- Proporciona una interfaz web fácil de usar para examinar, encontrar y extraer archivos PCAP.
- Gratuito y de código abierto
- Permite que otras herramientas de ingesta de PCAP inspeccionen los archivos PCAP guardados.
Los datos PCAP y los datos de transacciones con formato JSON pueden recuperarse directamente a través de las API. Consulte la documentación completa de la API de Arkime aquí.
Conclusión
El análisis de los datos de captura de paquetes suele exigir un alto nivel de conocimientos técnicos, que puede lograrse utilizando estas herramientas.
Espero que este artículo le haya resultado muy útil para conocer las herramientas de captura y análisis de paquetes completos para redes pequeñas y grandes.
Puede que también le interese conocer las mejores herramientas de Software Analizador Wi-Fi.