Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
noviembre
(Total:
77
)
- Principales características del Ransomware Conti
- El 86% de Google Cloud comprometidas son para mina...
- Jack Dorsey renuncia como CEO de Twitter
- Ikea víctima de un ciberataque en su correo electr...
- Localizado en Siberia importante operador ruso del...
- Pfizer denuncia a una empleada por la filtración d...
- Empleados de Amazon cotilleaban las compras de los...
- Utilizar SSD como caché para acelerar rápidez disc...
- Ejemplos comando find para buscar en Linux
- Funcionamiento Protocolo p2p (BitTorrent)
- 35 administraciones de España cayeron en una simpl...
- Listado anual de las peores contraseñas de 2021
- Fallo en chips MediaTek permite espiar las llamada...
- 9,3 millones teléfonos Huawei infectados con malwa...
- Varias aplicaciones populares para Android contien...
- Dos detenidos por utilizar PCs de exposición de Me...
- R-Photo: programa gratuito para recuperar fotos y ...
- Propuesta de liberar el rango IP reservadas 127.0....
- Un estado alemán se pasa al código abierto y usará...
- Método para localizar micro-cámaras ocultas utiliz...
- Tails es el sistema operativo anónimo vía Tor arra...
- Empleados de Microsoft filtran un documento que re...
- Detenido estafador de criptomonedas que usaba la w...
- Apple demanda la empresa israelí NSO Group por hac...
- Burlar lector de huella con una foto, una impresor...
- Recuperar ficheros secuestrados por el ransomware ...
- Analizar amenazas tráfico de red con Brim
- Un nuevo exploit de día cero para Windows permite ...
- Roban mediante bots de voz los código de autentica...
- Filtrados datos de 1,2 millones clientes de GoDadd...
- Facebook retrasa el cifrado de extremo a extremo e...
- Activar segundo factor autenticación (2FA) en una ...
- Red Tor: ¿qué es, cómo funciona y cómo se usa?
- Microsoft Defender utilizará IA para evitar ataque...
- Botnet Emotet-TrickBot vuelve de la mano de operad...
- Qualcomm promete procesadores ARM para PC parar po...
- Windows 10 ahora sólo recibirá una actualización a...
- Apple permite el derecho a reparar en casa con pie...
- Variante Botnet Mirai con apenas 15 mil dispositiv...
- Restablecer Windows 11 a la configuración de fábrica
- Windows 10 versión 2004 dejará de recibir actualiz...
- Intel celebra el 50º Aniversario del Intel 4004, e...
- Microsoft advierte del aumento de ataques de phish...
- Parches para múltiples vulnerabilidades de CPU's I...
- Se cumplen 25 años del sistema operativo IBM OS/2 ...
- Hackean servidor de correo electrónico del FBI par...
- LibreWolf, un fork de Firefox basado en la privaci...
- EulerOS, la distribución de Huawei basada en CentOS
- BlackArch: distro de hacking ético para pentesting
- OnionShare permite compartir documentos y chatear ...
- YouTube oculta el número de votos negativos
- Datos personales de clientes de Movistar y O2 expu...
- Mejores distribuciones de Linux para hacking ético
- Casi 15 años para ser finalmente absueltos los res...
- La historia de The Pirate Bay en una serie de tele...
- Un ataque del ransomware Conti obliga a detener la...
- Una madre se hace pasar por una adolescente para a...
- Roban 240 mil euros a una anciana mediante Bizum c...
- Disponible Navegador Tor 11 estrena nuevo diseño b...
- Ucraniano de 22 años operador del ransomware ruso ...
- Paquetes NPM maliciosos contienen malware
- Distro oficial para RaspBerry Pi se actualiza a De...
- El Equipo de F1 McLaren recibe más de 34 mil corre...
- Tiendas MediaMarkt víctimas de un ataque ransomwar...
- Actualización de seguridad crítica para Cisco Poli...
- Xiaomi presenta la tecnología Loop LiquidCool para...
- Pwn2Own: Samsung Galaxy S21 hackeado dos veces e i...
- Estados Unidos ofrece recompensas de hasta 10 mill...
- La empresa Israelí NSO, responsable del espionaje ...
- Vulnerabilidad crítica en el módulo TIPC del kerne...
- Diferencias entre Windows 11 Home y Pro
- Tutorial: herramienta gratuita Rufus para crear un...
- Detectan atacantes explotando el grave fallo RCE n...
- Contraseña y usuario por defecto de los routers de...
- Facebook dejará de usar reconocimiento facial y bo...
- Trojan Source: vulnerabilidad unicode en los compi...
- Botnet infecta más de 1,6 millones routers en China
- ► septiembre (Total: 56 )
-
▼
noviembre
(Total:
77
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Analizar amenazas tráfico de red con Brim
Brim es una herramienta de código abierto multiplataforma para el análisis de tráfico de red. Wireshark es el estándar de facto para analizar el tráfico de la red. Desafortunadamente, se vuelve cada vez más lento a medida que aumenta la captura de paquetes. Brim resuelve este problema tan bien que cambiará su flujo de trabajo de Wireshark.
A la hora de analizar tráfico de red en busca de actividad maliciosa existen muy buenas herramientas disponibles, como es el caso de Wireshark o NetworkMiner,
Brim: herramienta para analizar tráfico malicioso de una red
Brim es una herramienta open source pensada para especialistas de seguridad en redes que facilita la búsqueda y el análisis de los datos a través de las siguientes fuentes:
- Capturas de tráfico de red creadas por Wireshark o TCPdump (pcap)
- Registros estructurados, como los provenientes del framework Zeek
Esto es particularmente útil para quienes necesitan procesar grandes volúmenes de tráfico de red, especialmente aquellos que son engorrosas de analizar con Wireshark, tshark u otros analizadores de paquetes de datos.
Entre las características más destacadas de esta herramienta podemos nombrar que cuenta con soporte multiplataforma
(la aplicación es compatible con sistemas Windows, macOS y GNU/Linux), y
que está desarrollada e integrada con otras herramientas open source
cómo Zed, Zeek y Suricata y el proyecto de reglas para IDS/IPS conocido como Emerging Threats.
Utilizando las consultas que vienen por defecto en Brim
Si bien la herramienta posee un completo lenguaje de sintaxis de consultas, una de las funcionalidades más valoradas en Brim son las consultas que vienen configuradas por defecto en la GUI. Utilizar estas consultas es un excelente punto de partida a la hora de comenzar a indagar en el tráfico de red capturado.
Entre las tantas consultas disponibles, algunas de las más destacadas son :
- Alertas de Suricata (IDS), por categorías
- Alertas de Suricata (IDS), por origen y destino
- Resumen de las actividades
- Consultas DNS únicas
- Consultas HTTP
- Actividades de archivos
Brim carga e indexa el archivo seleccionado. El índice es una de las razones por las que Brim es tan rápido. La ventana principal contiene un histograma de volúmenes de paquetes a lo largo del tiempo y una lista de «flujos» de red.
Un archivo PCAP contiene un flujo de paquetes de red ordenados por tiempo para una gran cantidad de conexiones de red. Los paquetes de datos para las diversas conexiones están entremezclados porque algunos de ellos se habrán abierto al mismo tiempo. Los paquetes de cada «conversación» de la red se intercalan con los paquetes de otras conversaciones.
Wireshark muestra el flujo de la red paquete por paquete, mientras que Brim usa un concepto llamado «flujos». Un flujo es un intercambio (o conversación) de red completo entre dos dispositivos. Cada tipo de flujo está categorizado, codificado por colores y etiquetado por tipo de flujo. Verá flujos etiquetados como «dns», «ssh», «https», «ssl» y muchos más.
Filtrado en Brim
La búsqueda y el filtrado en Brim son flexibles y completos, pero no es necesario que aprenda un nuevo idioma de filtrado si no lo desea. Puede crear un filtro sintácticamente correcto en Brim haciendo clic en los campos en la ventana de resumen y luego seleccionando opciones de un menú.
El texto _path = «dns» se agrega a la barra de búsqueda.
Ese filtro
se aplica al archivo PCAP, por lo que solo mostrará los flujos que son
flujos del Servicio de nombres de dominio (DNS).
El texto del filtro también se agrega al historial de búsqueda en el panel izquierdo.
Editar términos de búsqueda
Si desea buscar algo, pero no ve un flujo de ese tipo, puede hacer clic en cualquier flujo y editar la entrada en la barra de búsqueda.
Por ejemplo, sabemos que debe haber al menos un flujo SSH en el archivo PCAP porque usamos rsync para enviar algunos archivos a otra computadora, pero no podemos verlos.
Entonces, haremos clic derecho en otro flujo, seleccionaremos «Filtro = Valor» en el menú contextual y luego editaremos la barra de búsqueda para que diga «ssh» en lugar de «dns».
Otros sistemas IDS que puedes encontrar :
- Bro (Zeek): es de tipo NIDS y tiene funciones de registro de tráfico y análisis, monitor de tráfico SNMP, y actividad FTP, DNS, y HTTP, etc.
- OSSEC: es de tipo HIDS, de código abierto y gratuito. Además, es multiplataforma, y sus registros incluyen también FTP, datos del servidor web y email.
- Snort: es uno de los más famosos, de código abierto, y de tipo NIDS. Incluye sniffer para paquetes, registro para paquetes de red, threat intelligence, bloqueo de firmas, actualizaciones en tiempo real de las firmas de seguridad, habilidad para detectar eventos muy numerosos (OS, SMB, CGI, buffer overflow, puertos ocultos,…).
- Suricata: otro tipo NIDS, también de código abierto. Puede monitorizar actividad a bajo nivel, como TCP, IP, UDP, ICMP, y TLS, en tiempo real para aplicaciones como SMB, HTTP, y FTP. Permite la integración con herramientas de terceros como Anaval, Squil, BASE, Snorby, etc.
- Security Onion: NIDS/HIDS, otro sistema IDS especialmente focalizado a las distros Linux, con capacidad para detectar intrusos, monitorización empresarial, sniffer de paquetes, incluye gráficos de lo que sucede, y se pueden usar herramientas como NetworkMiner, Snorby, Xplico, Sguil, ELSA, y Kibana.
Fuentes:
https://kirukiru.es/transforme-su-flujo-de-trabajo-de-wireshark-con-brim-en-linux/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.