Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

12 analizadores de paquetes de red para administradores de sistemas y analistas de seguridad

analizador de redes
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Su red es la columna vertebral de sus operaciones comerciales. Asegúrese de saber lo que está pasando en su interior.

En muchos sentidos, el panorama de las empresas digitales ha experimentado una revolución o dos. Lo que empezó tan simple Scripts CGI escrito en Perl ahora se ha convertido en implementaciones agrupadas que se ejecutan completamente automatizadas en Kubernetes y otros marcos de orquestación (perdón por la jerga pesada, no me lo estoy inventando; ¡así son las cosas en estos días!).

Una típica aplicación web moderna distribuida en contenedores (fuente: medium.com)

Pero no puedo evitar sonreír al pensar que los fundamentos siguen siendo los mismos que en la década de 1970.

Todo lo que tenemos son abstracciones sobre abstracciones soportadas por cables físicos duros que forman la red (está bien, hay redes virtuales que están bien, pero entiendes la idea). Si queremos ser elegantes, podemos dividir la red en capas según el modelo OSI, pero todo dicho y hecho, siempre, siempre estamos tratando con Protocolos TCP / IP (¡advertencia, mucha lectura por delante!), pings, enrutadores, todos los cuales tienen un objetivo en común: la transmisión de paquetes de datos.

Entonces, ¿qué es un paquete de red?

No importa lo que estemos haciendo, chateando, streaming de vídeo, jugar, navegar, comprar cosas: es esencialmente un intercambio de paquetes de datos entre dos computadoras (redes). Un "paquete" es la unidad más pequeña de información que fluye en una red (o entre redes), y existe un método bien definido para construir y verificar paquetes de red (más allá del alcance de este artículo, pero si te sientes aventurero, aquí tienes más, ).

Flujo de paquetes en una red (fuente: training.ukdw.ac.id)

En términos más simples, cada paquete representa un enlace en la cadena y se transmite correctamente en el origen y se valida en el destino. Incluso si llega un solo paquete u ordena, el proceso se suspende hasta que se hayan recibido todos los paquetes en el orden correcto, y solo entonces se unen para formar los datos que originalmente representaron (una imagen, por ejemplo).

Ahora que entendemos que es una red, se convierte en comprender lo que hace un analizador de redes. Es una herramienta que le permite echar un vistazo a paquetes individuales en su red.

Pero, ¿por qué querrías tomar esa molestia? Discutamos eso a continuación.

¿Por qué necesitamos analizar paquetes?

Parece que los paquetes son prácticamente los bloques de construcción básicos en un flujo de datos de red, al igual que los átomos son la base de toda la materia (sí, lo sé, estas no son verdaderas partículas fundamentales, pero es una analogía suficientemente buena para nuestros propósitos) . Y cuando se trata de analizar materiales o gases, nunca nos preocupamos por lo que hace un átomo individual; Entonces, ¿por qué preocuparse por un solo paquete de red a nivel individual? ¿Qué podemos saber aparte de lo que ya sabemos?

Es difícil vender la importancia del análisis a nivel de paquete cuando no le han mordido por la espalda antes, pero lo intentaré.

El análisis de paquetes significa ensuciarse las manos y llegar hasta la tubería para averiguar algo. Por lo general, es necesario analizar los paquetes de red cuando todo lo demás ha fallado. Por lo general, esto incluye escenarios aparentemente sin esperanza de la siguiente manera:

  • Pérdida inexplicable de datos secretos a pesar de que no hay una violación evidente
  • Diagnosticar aplicaciones lentas cuando parece que no hay evidencia alguna
  • Asegurarse de que su computadora / red no se haya visto comprometida
  • Demostrar o refutar que un atacante no lo es a cuestas fuera de tu wifi
  • Averiguar por qué tu el servidor es el cuello de botella a pesar de poco tráfico

Con todo, el análisis de paquetes cae bajo ciertos tipos de evidencia sólida. Si sabe cómo realizar un análisis de paquetes y tiene una instantánea, puede evitar ser acusado erróneamente de un pirateo o simplemente ser culpado como un desarrollador incompetente o administrador de red.

¡Se trata de los cerebros! (fuente: dailydot.com)

Con respecto a una historia real, creo que este comentario en la publicación del blog encontró aquí es excepcional (reproducido aquí por si acaso):

Una aplicación crítica para mi empresa presentaba problemas de rendimiento y se caía de bruces en las implementaciones de los clientes. Era una aplicación de precios de acciones utilizada a la cabeza de las plantas de cotización en empresas financieras de todo el mundo. Si tenía un 401 (k) alrededor del año 2000, probablemente dependía de esta aplicación. Hice un análisis del tipo que ha estado describiendo, específicamente el comportamiento de TCP. Señalé que el problema estaba en la implementación de TCP por parte del proveedor del sistema operativo. El comportamiento erróneo fue que siempre que la pila de envío entraba en control de congestión, nunca se recuperaba. Esto resultó en una ventana de envío cómicamente pequeña, a veces solo unos pocos múltiplos de MSS.

Me tomó un tiempo luchar con los administradores de cuentas y la gente de soporte para desarrolladores del proveedor del sistema operativo que no entendían el problema, mi explicación o que el problema *no* podía estar en la aplicación porque la aplicación ignora maravillosamente las maquinaciones de TCP. Era como hablarle a una pared. comencé en cuadrado uno con cada llamada de conferencia. Eventualmente hablé por teléfono con un chico con quien podría tener una buena conversación. ¡Resulta que puso las extensiones RFC1323 en la pila! Al día siguiente tenía en mis manos un parche para el sistema operativo y el producto funcionó perfectamente a partir de ese momento.

El desarrollador explicó que había un error que causaba que los ACK entrantes * con cargas útiles * se clasificaran incorrectamente como DUPACK cuando la pila estaba en control de congestión.

Esto nunca sucedería con aplicaciones semidúplex como HTTP, pero la aplicación que estaba soportando enviaba datos bidireccionalmente en el socket en todo momento.

En ese momento, no tenía mucho apoyo de la gerencia (mi gerente incluso me gritó por "siempre querer usar un rastreador" para solucionar problemas), y nadie más que yo estaba considerando la implementación de TCP del proveedor del sistema operativo como fuente del problema. Luchar con la solución del proveedor del sistema operativo por mí mismo hizo que esta victoria fuera particularmente dulce, me hizo ganar una tonelada de capital para hacer mis propias cosas y me llevó a que aparecieran los problemas más interesantes en mi escritorio.

En caso de que no tuviera ganas de leer ese bloque de texto, o si no tenía mucho sentido, este caballero se enfrentaba a problemas de rendimiento que se atribuían a su solicitud, y la dirección, como se esperaba, no prestaba apoyo. . Fue solo un análisis de paquetes completo que demostró que el problema no estaba en la aplicación, sino en cómo el sistema operativo manejaba el protocolo de red.

La solución no fue una puesta a punto en la aplicación, ¡sino un parche de los desarrolladores del sistema operativo! 😮

Chico Oh chico . . . Sin un análisis a nivel de paquete, ¿dónde crees que estaría esta persona? Probablemente fuera de su trabajo. Si esto no le convence de la importancia del análisis de paquetes (también llamado rastreo de paquetes), no sé qué lo hará. 🙂

Ahora que sabe que el análisis de paquetes es una superpotencia, tengo buenas noticias: ¡no es del todo difícil hacerlo!

Gracias a las herramientas de detección de paquetes potentes pero fáciles de usar, la recopilación de información del análisis a nivel de paquete puede ser tan fácil como leer un panel de ventas. Dicho esto, necesitará algo más que un conocimiento superficial de lo que sucede dentro de una red. Pero, de nuevo, aquí no hay ciencia espacial, no hay lógica retorcida que dominar, solo sentido común.

Si comienza a leer la documentación de una de estas herramientas a medida que las usa en su red, muy pronto se convertirá en un experto. 😀

Wireshark

Wireshark es un proyecto antiguo (que comenzó en 1998) que es prácticamente el estándar de la industria cuando se trata de sumergirse profundamente en las redes. Es impresionante si se tiene en cuenta que es una organización puramente dirigida por voluntarios, respaldada por algunos patrocinadores generosos. Wireshark sigue siendo de código abierto (no en GitHub, pero se puede encontrar el código aquí) e incluso tiene una tecnología conferencia a su nombre!

Entre las muchas capacidades de Wireshark se encuentran:

  • Soporte para cientos de protocolos de red.
  • Interoperable con muchos formatos de archivo (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (comprimido y sin comprimir), Sniffer® Pro y NetXray®, y así sucesivamente).
  • Ejecute prácticamente todas las plataformas (Linux, Windows, macOS, Solaris, FreeBSD y más).
  • Lectura de datos en vivo desde Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, entre otros.
  • Descompresión gzip sobre la marcha.
  • Se admiten montones de protocolos de descifrado (WPA / WPA2, SNMPv3, etc.)
  • Análisis extenso de VoIP
  • Reglas de colores para un escaneo visual más rápido

Consulte este fantástico curso en línea para enseñarte a dominar Wireshark.

¿Busca Wireshark en su terminal? Claro, prueba Terremoto

tcpdump

Si eres de la vieja escuela (lee adicto a la línea de comandos), tcpdump es para ti.

Es otro de esos icónicos Utilidades de Linux (como curl) que sigue siendo tan relevante como siempre, tanto que casi todas las demás herramientas "más sofisticadas" se basan en él. Como dije antes, no hay un entorno gráfico, pero la herramienta lo compensa con creces.

Pero instalarlo puede ser complicado; mientras que tcpdump viene incluido con la mayoría de las distribuciones modernas de Linux, si la tuya no lo hace, tendrás que compilar desde la fuente.

Los comandos tcpdump son cortos y simples, destinados a resolver un problema en particular, como:

  • Visualización de todas las interfaces disponibles
  • Capturando solo una de las interfaces
  • Guardar paquetes capturados en un archivo
  • Capturando solo paquetes fallidos

. . . y así.

Si sus necesidades son simples y necesita ejecutar un escaneo rápido, tcpdump puede ser una excelente opción a considerar (especialmente si escribe tcpdump ¡y descubra que ya está instalado!). Echa un vistazo a esta publicación para ver algo en tiempo real. ejemplos del comando tcpdump.

Tproxy

Proxy es una herramienta de línea de comandos simple, de código abierto, para conexiones TCP proxy a través de la red. Tproxy está escrito en el lenguaje de programación Go y es una herramienta de línea de comandos de Go, y está empaquetado como un binario de Go, por lo que está disponible en todas las plataformas modernas de Linux y macOS.

La imagen de abajo muestra la línea de comando para monitorear las conexiones Mysql:

Su caso de uso principal es hacer proxy de conexiones HTTP e inspeccionar el contenido de la solicitud HTTP y las respuestas. También se puede utilizar para proxy de otros protocolos, como CALCETINES o TCP. Se puede utilizar para conexiones TCP proxy entre dos hosts o para analizar el tráfico en una conexión activa. Es útil para depurar y probar aplicaciones que utilizan TCP como protocolo de transporte y para crear servicios de proxy TCP.

Fue escrito con el objetivo de proporcionar una interfaz fácil de usar para la utilidad de línea de comandos tcpdump, lo que permite a los usuarios realizar conexiones TCP proxy y realizar otros análisis de red avanzados sin necesidad de comprender el protocolo TCP subyacente.

Debajo de la línea de comando se muestran las conexiones de gRPC:

Actúa como un proxy TCP, permitiéndole conectarse a aplicaciones y servicios remotos como si estuviera en la máquina local. Permite crear servicios TCP personalizados en hosts remotos, similar a un proxy TCP inverso que permite una variedad de mejoras de seguridad, resolución de problemas y rendimiento cuando se trata de aplicaciones que usan TCP.

A continuación se muestran algunos usos más de Tproxy

  • Es útil para depurar y optimizar conexiones TCP.
  • También es útil para comprender cómo funcionan otros programas proxy, como Burp Suite y ZAP.
  • Se puede utilizar para conexiones TCP proxy entre dos hosts, o entre un host y un servicio TCP remoto, como una base de datos o un servicio web.
  • Supervise las conexiones MySQL y las conexiones gRPC y también verifique la confiabilidad de la conexión en términos de tasa de retransmisión y RTT

La mayoría de los usuarios encontrarán que Tproxy simplifica su flujo de trabajo y les permite realizar análisis de red complejos y analizar aplicaciones web sin necesidad de modificar la aplicación o la red misma. La herramienta se puede descargar desde GitHub.

NetworkMiner

Promocionarse como una herramienta de análisis de red forense (FNAT), NetworkMiner es uno de los mejores analizadores de nivel de paquetes que encontrará. Es una herramienta de código abierto que puede analizar una red de forma pasiva y viene con una impresionante interfaz GUI para análisis que puede mostrar imágenes individuales y otros archivos transferidos.

Pero eso no es todo. NetworkMiner viene con excelentes otras características como:

  • Soporte IPv6
  • Análisis de archivos PCAP
  • Extraiga certificados X.509 del tráfico cifrado SSL
  • Pcap sobre IP
  • Funciona con varios tipos de tráfico, como FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, etc
  • Huellas digitales del SO
  • Localización geográfica de IP
  • Compatibilidad con secuencias de comandos de línea de comandos

Tenga en cuenta que algunas de estas funciones están disponibles en la versión comercial.

Fiddler

A diferencia de otros rastreadores de redes pasivos, Fiddler es algo que se encuentra entre su dispositivo y el mundo exterior y, por lo tanto, requiere cierta configuración (¿es por eso que lo llamaron "Fiddler"? 😉).

Es una herramienta gratuita personalizable (usando FiddlerScript) que tiene un historial largo y distinguido, por lo que si su objetivo es rastrear el tráfico HTTP / HTTPS como un jefe, Fiddler es el camino a seguir.

Hay muchas cosas que puedes hacer con Fiddler, especialmente si estás de humor para ponerte la sudadera con capucha de hacker:

  • Manipulación de sesiones: Extraiga los encabezados HTTP abiertos y los datos de sesión, modificándolos de la forma que desee.
  • Prueba de seguridad: Le permite simular ataques man-in-the-middle y descifrar todo el tráfico HTTPS por usted.
  • Pruebas de rendimiento: Analice los tiempos de carga de la página (o respuesta de la API) y vea qué parte de la respuesta es el cuello de botella.

En caso de que se sienta perdido, documentación es muy bueno y es muy recomendable.

WinDump

Si echas de menos la simplicidad de tcpdump y quieres llevarlo a tus sistemas Windows, saluda a WinDump. Una vez instalada, funciona desde la línea de comandos escribiendo "tcpdump" de la misma manera que la utilidad funciona en sistemas Linux.

Tenga en cuenta que no hay nada que instalar per se; WinDump es un binario que se puede ejecutar de inmediato, siempre que tenga instalada una implementación de biblioteca Pcap (npcap se recomienda ya que winpcap ya no está en desarrollo).

BruteShark

Tiburón Bruto es una herramienta de análisis forense de red (NFAT) eficaz que puede utilizar para procesar e inspeccionar el tráfico de red, como archivos PCAP, y capturarlo directamente desde las interfaces de red. 

Incluye la reconstrucción de sesiones TCP, la creación de mapas de red, la extracción de hashes de contraseñas fuertemente cifradas, la conversión de hashes a formato Hashcat para realizar un ataque de fuerza bruta fuera de línea.

La intención principal detrás de este proyecto es ayudar a los administradores de red e investigadores de seguridad responsables de analizar el tráfico de la red e identificar las debilidades.

Hay dos versiones de BruteShark disponibles: una interfaz gráfica de usuario (GUI) aplicación basada en Windows y una CLI herramienta para Linux y Windows. Algunos de los proyectos incluidos en esta solución pueden incluso utilizarse de forma independiente para analizar el tráfico de red en máquinas con Windows y Linux.

BruteShark también puede realizar varias operaciones como extraer consultas DNS, tallar archivos, extraer llamadas VoIP (SIP, RTP), construir diagramas de red para usuarios y nodos de red, extraer hashes de autenticación usando Hashcat (NTLM, HTTP-Digest, CRAM-MD5, Kerberos, etc.), y recuperar y codificar contraseñas y nombres de usuario.

Todos los proyectos se implementan a través de .Net Standard y .Net Core para soporte multiplataforma y moderno. Esta solución ofrece una arquitectura de tres capas e incluye uno o varios proyectos, incluidos PL, BLL y DAL en cada capa. 

A través de DAL (Data Access Layer), el proyecto ayuda a leer archivos sin procesar de PCAP utilizando controladores como WinPcap, libpcap y bibliotecas contenedoras como SharpPcap. De manera similar, BLL (Business Logic Layer) es responsable del análisis de la información de la red (TCP, paquete, etc.) y PL utiliza un proyecto transversal y se refiere a las capas BLL y DAL. 

OmniPeek

Para redes más grandes que tienen toneladas de MB de datos fluyendo a través de ellas cada segundo, las herramientas que usan todos los demás pueden quedarse sin fuerza. Si te enfrentas a lo mismo OmniPeek podría valer la pena echarle un vistazo.

Es un rendimiento, análisis y herramienta forense para analizar redes, especialmente cuando necesita tanto capacidades de bajo nivel como cuadros de mando completos.

Fuente: sniffwifi.com

Capsa

Si lo único que le preocupa es la plataforma Windows, Capsa también es un competidor serio. Viene en tres versiones: gratuita, estándar y empresarial, cada una con diferentes capacidades.

Dicho esto, incluso la versión gratuita admite más de 300 protocolos y tiene características interesantes como alertas (que se activan cuando se cumplen ciertas condiciones). La oferta estándar es superior, admite más de 1000 protocolos y le permite analizar conversaciones y reconstruir flujos de paquetes.

Con todo, una opción sólida para los usuarios de Windows.

EtherApe

Si lo que busca son visualizaciones poderosas y código abierto, EtherApe es una gran opción. Si bien los binarios prediseñados están disponibles solo para un puñado de Distribuciones de Linux, la fuente está disponible (tanto en SourceForge como en GitHub), por lo que crearla por su cuenta es una opción.

Esto es lo que hace que EtherApe sea excelente en mi opinión:

  • Monitoreo codificado por colores de múltiples nodos.
  • Soporte para una tonelada de formatos de paquetes como ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, etc. (en realidad, muchos, muchos, más) .
  • Leer datos en vivo desde el "cable" o desde un archivo tcpdump.
  • Soporta resolución de nombres estándar
  • En las últimas versiones, la GUI se ha trasladado a GTK3, lo que resulta en una experiencia más agradable.

CommView

Si es una tienda exclusiva de Windows y valora la conveniencia del soporte prioritario, CommView es recomendado. Es un potente analizador de tráfico de red con funciones avanzadas como análisis de VoIP, seguimiento remoto, etc., integradas.

Lo que más me impresionó es su capacidad para exportar datos a formatos utilizados por varios formatos abiertos y propietarios, como Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump y Wireshark / pcapng, e incluso volcados hexadecimales simples.

Wifi Explorer

El último en la lista es Explorador Wifi, que tiene una versión gratuita para Windows y una versión estándar para Windows y macOS. Si el análisis de la red WiFi es todo lo que necesita (que es prácticamente el estándar en estos días), entonces Wifi Explorer le facilitará la vida.

Es una herramienta bellamente diseñada y rica en funciones para cortar directamente al corazón de la red.

Mención de Honor: Sería un flaco favor cerrar esta publicación sin mencionar un analizador de red exclusivo de macOS con el que me topé: Little Snitch. Tiene un firewall incorporado, por lo que viene con el beneficio adicional de permitirle controlar inmediatamente todo el tráfico perfectamente (lo que puede parecer una molestia, pero es una gran ganancia a largo plazo).

¿Qué es lo siguiente?

También deberías explorar estos software de monitoreo de red para una mejor visibilidad de la infraestructura. Si está buscando desarrollar una carrera en redes y seguridad, consulte algunos de los mejores cursos en línea aquí.

Gracias a nuestros patrocinadores
Más lecturas excelentes sobre Networking
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder