Wireshark es el estándar de facto para analizar el tráfico de la red. Desafortunadamente, se vuelve cada vez más lento a medida que aumenta la captura de paquetes. Brim resuelve este problema tan bien que cambiará su flujo de trabajo de Wireshark.
Wireshark es una maravillosa pieza de software de código abierto. Es utilizado por aficionados y profesionales en todo el mundo para investigar problemas de redes. Captura los paquetes de datos que viajan por los cables o por el éter de su red. Una vez que haya capturado su tráfico, Wireshark le permite filtrar y buscar en los datos, rastrear conversaciones entre dispositivos de red y mucho más.
Sin embargo, por muy bueno que sea Wireshark, tiene un problema. Los archivos de captura de datos de red (llamados seguimientos de red o capturas de paquetes) pueden llegar a ser muy grandes, muy rápidamente. Esto es especialmente cierto si el problema que está intentando investigar es complejo o esporádico, o si la red es grande y está ocupada.
Cuanto mayor sea la captura de paquetes (o PCAP), más lento se vuelve Wireshark. Solo abrir y cargar un rastro muy grande (cualquier cosa de más de 1 GB) puede llevar tanto tiempo que pensaría que Wireshark se había derrumbado y abandonado el fantasma.
Trabajar con archivos de ese tamaño es un verdadero dolor de cabeza. Cada vez que realizas una búsqueda o cambias un filtro, tienes que esperar a que los efectos se apliquen a los datos y se actualicen en la pantalla. Cada retraso interrumpe su concentración, lo que puede obstaculizar su progreso.
Brim es el remedio para estos males. Actúa como un preprocesador interactivo y front-end para Wireshark. Cuando desee ver el nivel granular que puede proporcionar Wireshark, Brim lo abre instantáneamente exactamente en esos paquetes.
Si realiza muchas capturas de red y análisis de paquetes, Brim revolucionará su flujo de trabajo.
Brim es muy nuevo, por lo que aún no ha llegado a los repositorios de software de las distribuciones de Linux. Sin embargo, en la página de descarga de Brim , encontrará archivos de paquetes DEB y RPM, por lo que instalarlo en Ubuntu o Fedora es bastante simple.
Si usa otra distribución, puede descargar el código fuente de GitHub y crear la aplicación usted mismo.
Brim utiliza zq
una herramienta de línea de comandos para los registros de Zeek , por lo que también deberá descargar un archivo ZIP que contenga los zq
binarios.
Si está utilizando Ubuntu, deberá descargar el archivo del paquete DEB y el zq
archivo ZIP de Linux. Haga doble clic en el archivo del paquete DEB descargado y se abrirá la aplicación de software de Ubuntu. La licencia de Brim aparece erróneamente como «Propietaria»: utiliza la Licencia de 3 cláusulas BSD .
Haga clic en «Instalar».
Cuando se complete la instalación, haga doble clic en el zq
archivo ZIP para iniciar la aplicación Archive Manager. El archivo ZIP contendrá un solo directorio; arrástrelo y suéltelo desde el «Administrador de archivos» a una ubicación en su computadora, como el directorio «Descargas».
Escribimos lo siguiente para crear una ubicación para los zq
binarios:
sudo mkdir / opt / zeek
Necesitamos copiar los binarios del directorio extraído a la ubicación que acabamos de crear. Sustituya la ruta y el nombre del directorio extraído en su máquina en el siguiente comando:
sudo cp Downloads / zq-v0.20.0.linux-amd64 / * / opt / Zeek
Necesitamos agregar esa ubicación a la ruta, por lo que editaremos el archivo BASHRC:
sudo gedit .bashrc
Se abrirá el editor gedit. Desplácese hasta el final del archivo y luego escriba esta línea:
export PATH = $ PATH: / opt / zeek
Guarde sus cambios y cierre el editor.
Para instalar Brim en Fedora, descargue el archivo del paquete RPM (en lugar del DEB) y luego siga los mismos pasos que cubrimos para la instalación de Ubuntu arriba.
Curiosamente, cuando el archivo RPM se abre en Fedora, se identifica correctamente como una licencia de código abierto, en lugar de una propietaria.
Haga clic en «Mostrar aplicaciones» en el dock o presione Super + A. Escriba «borde» en el cuadro de búsqueda y luego haga clic en «borde» cuando aparezca.
Brim se inicia y muestra su ventana principal. Puede hacer clic en «Elegir archivos» para abrir un explorador de archivos, o arrastrar y soltar un archivo PCAP en el área rodeada por el rectángulo rojo.
Brim utiliza una pantalla con pestañas y puede tener varias pestañas abiertas simultáneamente. Para abrir una nueva pestaña, haga clic en el signo más (+) en la parte superior y luego seleccione otro PCAP.
Brim carga e indexa el archivo seleccionado. El índice es una de las razones por las que Brim es tan rápido. La ventana principal contiene un histograma de volúmenes de paquetes a lo largo del tiempo y una lista de «flujos» de red.
Un archivo PCAP contiene un flujo de paquetes de red ordenados por tiempo para una gran cantidad de conexiones de red. Los paquetes de datos para las diversas conexiones están entremezclados porque algunos de ellos se habrán abierto al mismo tiempo. Los paquetes para cada «conversación» de la red se intercalan con los paquetes de otras conversaciones.
Wireshark muestra el flujo de la red paquete por paquete, mientras que Brim usa un concepto llamado «flujos». Un flujo es un intercambio (o conversación) de red completo entre dos dispositivos. Cada tipo de flujo está categorizado, codificado por colores y etiquetado por tipo de flujo. Verá flujos etiquetados como «dns», «ssh», «https», «ssl» y muchos más.
Si desplaza la pantalla de resumen de flujo hacia la izquierda o hacia la derecha, se mostrarán muchas más columnas. También puede ajustar el período de tiempo para mostrar el subconjunto de información que desea ver. A continuación, se muestran algunas formas en las que puede ver los datos:
Brim puede mostrar dos paneles laterales: uno a la izquierda y otro a la derecha. Estos pueden estar ocultos o permanecer visibles. El panel de la izquierda muestra un historial de búsqueda y una lista de PCAP abiertos, llamados espacios. Presione Ctrl + [para activar o desactivar el panel izquierdo.
El panel de la derecha contiene información detallada sobre el flujo resaltado. Presione Ctrl +] para activar o desactivar el panel derecho.
Haga clic en «Conexión» en la lista «Correlación de UID» para abrir un diagrama de conexión para el flujo resaltado.
En la ventana principal, también puede resaltar un flujo y luego hacer clic en el icono de Wireshark. Esto lanza Wireshark con los paquetes mostrados para el flujo resaltado.
Se abre Wireshark y muestra los paquetes de interés.
La búsqueda y el filtrado en Brim son flexibles y completos, pero no es necesario que aprenda un nuevo idioma de filtrado si no lo desea. Puede crear un filtro sintácticamente correcto en Brim haciendo clic en los campos de la ventana de resumen y luego seleccionando opciones de un menú.
Por ejemplo, en la imagen de abajo, hicimos clic con el botón derecho en un campo «dns». Luego seleccionaremos «Filtro = Valor» en el menú contextual.
Entonces ocurren las siguientes cosas:
_path = "dns"
se agrega a la barra de búsqueda.Podemos agregar más cláusulas al término de búsqueda utilizando la misma técnica. Haremos clic derecho en el campo de dirección IP (que contiene “192.168.1.26”) en la columna “Id.orig_h”, y luego seleccionaremos “Filtro = Valor” en el menú contextual.
Esto agrega la cláusula adicional como una cláusula AND. La pantalla ahora está filtrada para mostrar los flujos de DNS que se originaron en esa dirección IP (192.168.1.26).
El nuevo término de filtro se agrega al historial de búsqueda en el panel izquierdo. Puede saltar de una búsqueda a otra haciendo clic en los elementos de la lista del historial de búsqueda.
La dirección IP de destino para la mayoría de nuestros datos filtrados es 81.139.56.100. Para ver qué flujos de DNS se enviaron a diferentes direcciones IP, hacemos clic con el botón derecho en «81.139.56.100» en la columna «Id_resp_h» y luego seleccionamos «¡Filtro! = Valor» en el menú contextual.
Solo un flujo de DNS que se originó desde 192.168.1.26 no se envió a 81.139.56.100, y lo hemos localizado sin tener que escribir nada para crear nuestro filtro.
Cuando hacemos clic con el botón derecho en un flujo «HTTP» y seleccionamos «Filtro = Valor» en el menú contextual, el panel de resumen mostrará solo los flujos HTTP. Luego podemos hacer clic en el ícono Pin junto a la cláusula de filtro HTTP.
La cláusula HTTP ahora está fijada en su lugar, y cualquier otro filtro o término de búsqueda que usemos se ejecutará con la cláusula HTTP antepuesta.
Si escribimos «GET» en la barra de búsqueda, la búsqueda se restringirá a los flujos que ya han sido filtrados por la cláusula fijada. Puede fijar tantas cláusulas de filtro como sea necesario.
Para buscar paquetes POST en los flujos HTTP, simplemente borramos la barra de búsqueda, escribimos «POST» y luego presionamos Enter.
El desplazamiento lateral revela la ID del host remoto.
Todos los términos de búsqueda y filtrado se agregan a la lista «Historial». Para volver a aplicar cualquier filtro, simplemente haga clic en él.
También puede buscar un host remoto por su nombre.
Si desea buscar algo, pero no ve un flujo de ese tipo, puede hacer clic en cualquier flujo y editar la entrada en la barra de búsqueda.
Por ejemplo, sabemos que debe haber al menos un flujo SSH en el archivo PCAP porque solíamos rsync
enviar algunos archivos a otra computadora, pero no podemos verlo.
Por lo tanto, haremos clic con el botón derecho en otro flujo, seleccionaremos «Filtro = Valor» en el menú contextual y luego editaremos la barra de búsqueda para que diga «ssh» en lugar de «dns».
Presionamos Enter para buscar flujos SSH y encontramos que solo hay uno.
Al presionar Ctrl +] se abre el panel derecho, que muestra los detalles de este flujo. Si se transfirió un archivo durante un flujo, aparecen los hash MD5 , SHA1 y SHA256 .
Haga clic con el botón derecho en cualquiera de ellos y luego seleccione «Búsqueda de VirusTotal» en el menú contextual para abrir su navegador en el sitio web de VirusTotal y pasar el hash para su verificación.
VirusTotal almacena los hashes de malware conocido y otros archivos maliciosos. Si no está seguro de si un archivo es seguro, esta es una manera fácil de verificar, incluso si ya no tiene acceso al archivo.
Si el archivo es benigno, verá la pantalla que se muestra en la imagen a continuación.
Brim hace que trabajar con Wireshark sea aún más rápido y fácil al permitirle trabajar con archivos de captura de paquetes muy grandes. Pruébelo hoy mismo.
El mundo del gaming ha experimentado un crecimiento exponencial en los últimos años. La…
Stokkete/Shutterstock.com ¿Sigue utilizando una unidad flash USB obsoleta para almacenar sus archivos? ¿Por qué no…
LG Los fabricantes siempre intentan mejorar el rendimiento de imagen de los monitores. Como resultado,…
Patty Chan/Shutterstock.com Si cree en lo que ve en las redes sociales, puede pensar en…
Seksan.TH/Shutterstock.com Los servicios de suscripción como Netflix, Game Pass y Spotify nos permiten consumir tantas…
fatmawati achmad zaenuri/Shutterstock El acceso a Internet, oa cualquier otra red, se rige por la…