Cómo detectar abuso de purple con Wireshark


Con unos pocos clics rápidos, puede detectar el abuso de la red con Wireshark. Jack Wallen te muestra cómo.

«data-credit =» Imagen: iStockphoto / marchmeena29 «rel =» noopener noreferrer nofollow «>Hombre de negocios trabajando en ordenador portátil. Proteja la computadora de seguridad de red y proteja su concepto de datos. Crimen digital cometido por un hacker anónimo

Imagen: iStockphoto / marchmeena29

Recientemente, tenía motivos para preocuparme de que hubiera tráfico nefasto en mi red de área neighborhood (LAN) y decidí que necesitaba monitorear la purple para averiguar qué estaba pasando. Naturalmente, recurrí al keep track of de purple de código abierto, Wireshark.

Wireshark es una herramienta bastante impresionante que puede hacer más que la mayoría de los analizadores de red. El problema es que aquellos que no están familiarizados con la herramienta pueden tener problemas para saber por dónde empezar puede ser realmente intimidante.

Con ese fin, quería mostrarle una forma de detectar el abuso de la pink con Wireshark. Específicamente, quiero mostrarle lo fácil que es realmente ver qué protocolos se están utilizando en su red y luego averiguar de dónde se originan esos protocolos. Con esa información en la mano, es mucho más fácil determinar si está ocurriendo algo desagradable (como BitTorrent, Bitcoin, and many others.).

VER: Conciencia de seguridad y política de capacitación (TechRepublic Quality)

Lo que necesitarás

Para detectar el abuso de la red, necesitará instalar Wireshark. La plataforma que use no importará. Sin embargo, lo que importará es que puede iniciar Wireshark con privilegios de administrador.

Estaré demostrando en Pop! _OS Linux. Si está utilizando una plataforma diferente, necesitará saber cómo iniciar Wireshark con derechos de administrador.

Cómo iniciar Wireshark con privilegios de administrador

La razón por la que debe iniciar Wireshark con privilegios de administrador es que debe poder ejecutar / usr / bin / dumpcap, lo que solo puede hacer un usuario con derechos de administrador. La forma más fácil de iniciar Wireshark con privilegios de administrador es abrir una ventana de terminal y emitir el comando:

sudo wireshark

Con Wireshark abierto, localizará sus interfaces y luego podrá seleccionar un filtro de captura y hacer clic en el botón de inicio (la aleta de tiburón azul) (Figura A)

Figura A

wiresharkb.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/06/11/2acea50f-ee25-4ec2-8da7-5655c12d59c1/resize/770x/badb177fb0a62d06e5d8d7a811941ad1/wiresharkb.jpg

La ventana principal de Wireshark.

Cómo monitorear protocolos

Una vez que Wireshark esté capturando paquetes en su crimson, verá paquetes volando en la ventana principal (Figura B)

Figura B

Wireshark capturando paquetes.

«data-credit =» «rel =» noopener noreferrer nofollow «>wiresharkc.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/06/11/01dce9d0-72b1-44c1-9f1d-4a7b6e4c988b/resize/770x/9db37d1081d83cb9bf9ead064842a3ad.wiresk

Wireshark capturando paquetes.

Mientras Wireshark está capturando paquetes, haga clic en Estadísticas | Jerarquía de protocolo. La ventana resultante enumera todos los protocolos de crimson capturados en su LAN (Figura C)

Figura C

La ventana Jerarquía de protocolos de Wireshark en acción.

«data-credit =» «rel =» noopener noreferrer nofollow «>wireshark-protocal.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/06/11/13f27785-09cd-41cb-801c-83df1cf8783d/resize/770x/138ac6ec0c5cd7672c3d4c5100b1ae57/wireshark-pr5 .jpg

La ventana Jerarquía de protocolos de Wireshark en acción.

Digamos que detecta un protocolo que parece sospechoso. Como puede ver arriba, Wireshark está detectando el tráfico de BitTorrent, que generalmente no tiene en su crimson. Haga clic derecho en esa entrada, seleccione Aplicar como filtro | Seleccionado. Cierre la jerarquía de protocolo y regrese a la ventana principal de Wireshark, donde verá el filtro BitTorrent aplicado (Figura D)

Figura D

wireshark-bittorrent.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/06/11/fb1ac2a5-cb9b-4600-90a4-b9724c72cc5a/resize/770x/a12b22f042239eb73bc9a4eb7d77b2ab/wiresbc9a4eb7d77b2ab/wires .jpg

El filtro BitTorrent aplicado desde la ventana Jerarquía de protocolo de Wireshark.

Luego puede ver el destino y la dirección de origen del protocolo infractor. Localice la dirección IP en su red y detenga cualquier aplicación que envíe o reciba esos paquetes.

Una cosa a tener en cuenta sobre la Jerarquía de protocolos es que no recibe actualizaciones en tiempo real. Si no ve nada ofensivo en la ventana, es posible que deba cerrarla, esperar un poco (para que Wireshark recolecte más paquetes) y luego volver a abrirla.

Y ese es el método más simple de usar Wireshark para detectar el abuso de la pink en su LAN. Aunque Wireshark puede hacer mucho más, si está buscando una forma de detectar rápidamente el tráfico no deseado en su crimson, este método debería funcionar siempre.



Enlace a la noticia original