York

York es una sencilla herramienta de captura de red que puede registrar y analizar el tráfico de la interfaz de red elegida. Al igual que con muchas herramientas similares, el programa funciona mediante el uso de WinPcap para registrar el tráfico de red. 

Tenemos que configurar el adaptador de red que le gustaría que para iniciar la sesión, ya que esto no se decide de forma automática. Una vez configurado, puede mostrar sus datos de tráfico en todo tipo de formas. La vista de paquetes muestra los detalles básicos de cada conexión: el tamaño de las direcciones locales y de destino, los puertos y paquetes. 


La herramienta no sólo olfatear el tráfico sino también los salva. Si los archivos guardados son imágenes, que se pueden reproducir en una presentación de diapositivas y en un protector de pantalla como ventanas.

York también puede capturar los archivos que el acceso y las imágenes que vea. Y el programa detecta incluso HTTP, FTP, POP3, SMTP, SMB, VNC y AIM contraseñas, muy útil si, por ejemplo, se le ha olvidado una contraseña de cuenta de correo electrónico y su cliente de correo electrónico no ofrece ninguna manera de mostrarlo.

Tráfico de red

De registro de origen, destino [FQDN o la dirección IP], el protocolo y el tamaño del paquete de todo el tráfico de red en su red. La tarjeta de red se pone en el modo promiscuo.

Las contraseñas

Captura de HTTP, FTP, POP3, SMTP, SMB, VNC y AIM contraseñas / hash y cookies HTTP como "GX".

Archivos

Captura y HTTP transmitida tienda y archivos FTP. Puede utilizar el patrón para almacenar archivos sólo específicos.

Presentación foto

Imágenes capturadas se muestran en una presentación de diapositivas o en pantalla completa. También se incluye un protector de pantalla que muestra las imágenes capturadas.

Opciones avanzadas y notas

Puede escribir los registros en una base de datos MySQL. Múltiples filtros se pueden utilizar para buscar en la base de datos. Se puede seleccionar un cliente y seguir sus clics en su navegador. [WebSession]. El tráfico puede ser capturado, enviado desde se repetido desde un archivo pcap.

Analizar los protocolos de una red LAN

¿Qué es un Protocolo?

En redes informáticas, un protocolo es el lenguaje (conjunto de reglas formales) que permite comunicar nodos (computadoras) entre sí.

Al encontrar un lenguaje común no existen problemas de compatibilidad entre ellas.

Analizador de protocolos

"Analizador de red" (también llamado rastreador de puertos o analizador de trafico de red, o sniffer), es un programa que permite supervisar el tráfico de red, es decir, capturar la información que circula por la red.

Funcionamiento

 En una red no conmutada, los datos se envían a todos los equipos de la red.
Pero en uso normal, los equipos ignoran los paquetes que se les envían. Así, al usar la interfaz de red en un modo específico, es posible supervisar todo el tráfico que pasa a través de una tarjeta de red (una tarjeta de red Ethernet, una tarjeta de red inalámbrica, etc.).


 Aplicaciones

• Analizador de protocolos con una poderosa interface gráfica que le permite rápidamente diagnosticar problemas y anormalidades en su red.
• Monitorea el ancho de banda de una red LAN (Quien la está usando y para que)
• Análisis de fallos para descubrir problemas en la red.

• Detección de intrusos.

En este video se muestra el Funcionamiento Protocolo TCP/IP :

WhatsUp GOLD

Diseñado sobre una arquitectura ampliable y escalable, con WhatsUp GOLD puede descubrir, crear mapas y gestionar toda su infraestructura (sus dispositivos de red, servidor, aplicaciones, recursos virtuales, parámetros de configuración y tráfico de red) en cuestión de minutos, y desde una sola consola.

Características: 

• Monitoreo en ambos entornos de infraestructuras físicas y virtuales  
• Reduce el tiempo caído de red que suele ser costoso  
• Envía notificaciones cuando surgen problemas  
• Reúne información periódica sobre la red y genera reportes  
• Rápida solución de problemas 

En este vídeo se muestran las características generales de Whatsup Gold:

Nagios

Es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado.

 Características:

• Herramienta libre de monitorización (de servicios y recursos)  
• Envío de notificaciones mediante múltiples métodos cuando los problemas aparecen y cuando se resuelven ( vía e-mail, SMS, alertas sonoras, etc.)  
• Consola web para la visualización del estado actual de todos los servicios, generación de estadísticas, historial de alarmas, etc.  
• Monitorización de equipos remotos a través de túneles.  

El siguiente vídeo se puede observar la Instalación y Configuración de Nagios:

NetFlow Analyzer

Es principalmente una herramienta de monitorización del ancho de banda y análisis de tráfico de la red completa que brinda una visión en tiempo real del rendimiento del ancho de banda de la red.

Características:  

• Optimiza el ancho de banda  
• Detecta tráfico WAN no autorizado en la red  
• Informes programados y perfiles de alerta  
• Solución más rápida de los problemas de la red  
• Identifica que usuarios, aplicaciones y protocolos están consumiendo el ancho de banda de la red 

Aquí se mostramos un vídeo de como utilizar NetFlow Analyzer :

Capsa Network Analyzer

Capsa Free es un analizador de red del freeware imprescindible para monitorización de Ethernet, solución de problemas y el análisis.
Proporciona a los usuarios con gran experiencia para aprender a controlar las actividades de la red, a identificar problemas de red , mejorar la seguridad de la red.
Capsa es la heramienta perfecta para los administradores de red y sistemas, ya que permite un control detallado y eshautivo de la red.
.

Características:  

• Analizador de red portátil para LAN y WLAN que se realiza en tiempo real de captura de paquetes  
• Análisis de protocolos avanzados  
• Proporciona una visibilidad completa y de alto nivel para toda la red  
• Ayuda a identificar y resolver rápidamente los diversos problemas de aplicación.  

Wireshark

¿Qué es?

Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica

 Aplicaciones
 Wireshark es una herramienta gráfica utilizada por los profesionales y administradores de red para identificar y analizar tráfico en un momento determinado. Pertenece a lo que en el lenguaje IT se denominan analizadores de protocolos de red, analizadores de paquetes, packetsniffer o sniffer.

Características

• Disponible para UNIX, LINUX, Windows y Mac OS.
•  Captura los paquetes directamente desde una interfaz de red.
•   Permite obtener detalladamente la información del protocolo utilizado en el paquete capturado. Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas. Filtra los paquetes que cumplan con un criterio definido previamente. 
• Realiza la búsqueda de los paquetes que cumplan con un criterio definido previamente.
•  Permite obtener estadísticas.  
• Sus funciones gráficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que cumplen con los filtros establecidos.  

 Barra de Menús

 El Menu File

Contiene Opciones para abrir y convinar archivos de captura,guardar,imprimir, explorar archivos de captura en totalidad o parte y salir de Wireshark.

El Menú Editar

El Menú View

Main Toolbar 

 Este elemento de menú oculta o muestra la barra de herramientas principal

Filter Toolbar

Este elemento de menú se esconde y muestra la barra de herramientas de filtro

Wireless Toolbar (Windows only)  

Este elemento de menú oculta o muestra la barra de herramientas inalámbricas. Consulte la documentación AirPcap para más información.

Statusbar

Este elemento de menú oculta o muestra la barra de estado

Packet List 

 Este elemento de menú oculta o muestra el panel de la lista de paquetes.

El Menú Go

El Menú Capture





El Menú Analyze



El Menú Estadistics




El Menú Telephony




El Menú Tools




El Menú Internals





El Menú Help

Instalación de Wireshark

Requerimientos Técnicos 

Las características de los equipos dependen del volumen de información que se desee almacenar en caso de guardar los registros que genera Wireshark de los paquetes capturados, además del tráfico y tamaño de la red.

Para el caso de Windows:

• Sistema Operativo:Windows XP Home, XP Pro, XP Tablet PC, XP Media Center, Server 2003, Vista, 2008, 7, or 2008 R2  
• Arquitectura:32 y 64 bits.  
• Memoria RAM:128MB (depende del número de paquetes se vayan a capturar).  
• Espacio en Disco: 75MB disponibles en Disco. (Depende del número de paquetes que se vayan a almacenar en disco).
•  Resolución de pantalla:1280x1024.  
• Tarjetas de Red Soportadas: Para el caso de las Ethernet cualquier tarjeta que soporte Windows. Para el caso de las tarjetas inalámbricas las 802.11.  

Pasos para Instalar WireShark en Windows 

1. Una vez que se obtiene el instalador desde http://www.wireshark.org/download.html se ejecuta el archivo wireshark descargado para iniciar la instalación. Es importante mencionar que las librerías necesarias como WinPcap están incluidas en el instalador.

2. Presionando el botón "Next" se despliega la especificación de la licencia y al presionar el botón  "I agree" se despliega la siguiente ventana para seleccionar los componentes que se desean instalar.

Para esta instalación se seleccionarán los siguientes:

• Wireshark, GUI del analizador de protocolos.
• TShark, línea de comando del analizador de protocolos.
• Plugins/Extensions, especificar plugins y extensiones para TShark y Wireshark en este punto deberá seleccionar todos los ítems listados.
• Tool, ofrece herramientas adicionales aplicar a los archivos que contienen los paquetes para su análisis seleccionar todas las ofrecidas durante la instalación.

3.  Después aparece la pantalla que permite seleccionar si se desea crear un acceso directo a la aplicación en el escritorio, crear un menú de inicio y visualizar el icono en la barra de tareas. Adicionalmente se tiene la posibilidad de permitir, que los archivos generados por otros analizadores de tráfico puedan ser visualizados con Wireshark (opción que debemos seleccionar).

4. A continuación se deberá seleccionar el directorio donde se instalará la aplicación, en este punto se acepta el indicado por defecto en el instalador. El instalador de WireShark contiene una versión de WinPcap se verifica si se debe actualizar versión en el PC donde se está realizado la instalación y ofrece la opción de agregar un servicio para que usuarios que no tiene privilegios de administrador pueda capturar paquetes. En este punto se seleccionan ambos ítems.
Se presiona el botón "Install" para iniciar el proceso de instalación.

5. Como se mencionó anteriormente el instalador de WireShark para Windows permite hacer la instalación de las librerías, plugins, servicios, etc. Particularmente para el caso de WinPcap se interrumpe la instalación en el punto que muestra la pantalla arriba e inicia el asistente para la instalación de WinPcap. Se debe seleccionar "Next" hasta finalizar la instalación.

Análisis del tráfico

1. Ejecutamos WireShark

2. Vamos al apartado “Capture” y hacemos click en “Options”



3. En esta área seleccionamos la tarjeta de red a usar, podremos observar que se cuenta con la tarjeta de Ethernet y la tarjeta inalámbrica o WIFI.

 

4. Hacemos click en “Start” para comenzar a capturar los datos que se encuentren en el tráfico de la red

5. Comenzaremos a ver como los datos empiezan a aparecer en diferentes colores Cada línea representa un paquete, y hay 6 columnas que proporcionan información sobre él.

•  La primera columna indica un número por orden de llegada de los paquetes mientras esté en marcha la captura del tráfico. Esto es para darte una referencia e identificar fácilmente un determinado paquete. 

• “Time” es el tiempo en segundos, hasta 6 decimales, de cuando se recibió el paquete después de que empezaras a registrar el tráfico de la red.

• ”Source” incluye la dirección IP de origen del paquete. • ”Destination” indica la dirección IP destino de cada paquete. 

• La columna “Protocol” indica qué protocolo utiliza cada paquete. Los más comunes son TCP, UDP y HTTP.

• Y la columna “Info” incluye información del paquete como si se tratase de una continuación de otro paquete, la verificación de que otro paquete se ha recibido, etc. 

Interfaz del usuario de WireShark

Cuando se comienza a utilizar el analizador de paquetes de red Wireshark
los aspectos que saltan a la vista de manera más inmediata es la distintiva interfaz
gráfica, que si bien da un fácil y veloz acceso a las funciones de Wireshark, puede
resultar un tanto confusa la primera vez que se utiliza.


MENÚ PRINCIPAL

Utilizado para iniciar las acciones y/o funciones de la aplicación.

• File. Similar a otras aplicaciones GUI este contiene los ítems para manipular archivos y para cerrar la aplicación Wireshark.  
• Edit. Este menú contiene ítems aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paqu configurar la interfaz de usuario.  
• View. Permite configurar el despliegue de la data capturada.  
• Go. Contiene ítems que permiten el desplazamiento entre los paquetes.
• Capture. Inicia y detiene la captura de paquetes.  
• Analyze. Contiene ítems que permite manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etc.
• Statistics. Contiene ítems que permiten definir u obtener las estadísticas de la data capturada.  
• Help. Menú de ayuda. 

 Barra de herramientas:

Este es uno de los componentes de la interfaz del que más uso se hace durante una captura de paquetes, debido a que proporciona un acceso veloz a las funciones más comúnmente usadas.
Un detalle que puede resultar abrumador cuando se hace uso de Wireshark por primera vez son los iconos de dicha barra, puesto que no se parecen a los usados en otras aplicaciones y se habilitan o deshabilitan durante la operación del programa, es por esto que cada icono se presentara a continuación indicando su función y en qué circunstancias se encuentra habilitado.



Páneles 
Panel de paquetes capturados En este panel se despliega la lista de paquetes capturados. Cada línea corresponde a un paquete capturado al seleccionar una de estas, ciertos detalles son desplegados en el resto de los paneles.

• No. Posición del paquete en la captura.  
• Time. Muestra el Timestamp del paquete.  
• Source. Dirección origen del paquete.  
• Destination. Dirección destino del paquete.
• Protocol. Nombre del protocolo del paquete.  
• Info. Información adicional del contenido del paquete. 

Panel para detalles del paquete
Contiene el protocolo y los campos correspondientes del paquete previamente seleccionado en el panel de paquetes capturados.
 Seleccionando una de estas líneas con el botón secundario del Mouse se tiene opciones para ser aplicadas según las necesidades. Panel de paquetes capturados en bytes
En este panel se despliega el contenido del paquete en formato hexadecimal.
De izquierda a derecha se muestra el offset del paquete, seguidamente se muestra la data del paquete y finalmente se muestra la información en caracteres ASCII si aplica o “.” en caso contrario.

Barra de estado 

Despliega información sobre la captura actual mostrando:

• El nombre del archivo actual  
• La cantidad de paquetes capturados  
• La cantidad de paquetes mostrados  
• El tiempo  
• El perfil de configuración  

Timestamp.- Secuencia de caracteres, que denotan la hora y fecha en la cual ocurrió determinado evento.
Offset.- Dirección destino del paquete.
ASCII.- Es una sigla para "American Standard CodeforInformationInterchange" (Código Standard Norteamericano para Intercambio de Información), es un código numérico que representa los caracteres.

En este vídeo se mostraran algunas herramientas básicas de este programa "WireShark" :

WinPCap

WinPcap es un software que permite a la tarjeta interfaz de red funcionar en un modo híbrido. No obstante, este también puede ser considerado como “aplicación potencialmente no deseada” que debería ser desinstalada si la tienes en tu ordenador desde la nada.



 WinPcap ha sido discutido en varios foros de seguridad, y parece que la razón principal por la que los usuarios lo consideran “virus” es por sus métodos de distribución. Justo como otras muchas aplicaciones similares, la distribución de este programa depende de algunos freeware y shareware

En el siguiente video se puede motrar los pasos para descargar el WinPcap, esperemos y les sirva:

GFI Web monitor

Es una herramienta que le permite monitorear los sitios que están examinando sus usuarios y que archivos están descargando -en TIEMPO REAL.
Además puede bloquear el acceso a sitios para adultos así como realizar análisis ANTI-VIRUS de todas las descargas.



 Características:  

• Control de aplicaciones: Bloquear aplicaciones web por nombre y categoría utilizando una avanzada tecnología de inspección. 
• Controles sociales: Bloquear aplicaciones, juegos y otras funciones de Facebook, permitiendo controlar el acceso sin bloquear completamente el sitio.  
• Base de datos con cobertura de 160 millones de URLs  
• Monitoreo del ancho de banda por usuario/sitio  
• Monitorea y bloquea mensajes MSN y MS live Messenger entrantes y salientes así como transferencias de archivos.
• Políticas de control de descarga basadas en usuario/grupo/ip  

En el vídeo se muestra, la interfaz de usuario y muestra algunas características que cuenta este programa: