Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Analizar amenazas tráfico de red con Brim


Brim es una herramienta de código abierto multiplataforma para el análisis de tráfico de red.  Wireshark es el estándar de facto para analizar el tráfico de la red. Desafortunadamente, se vuelve cada vez más lento a medida que aumenta la captura de paquetes. Brim resuelve este problema tan bien que cambiará su flujo de trabajo de Wireshark.

 


 

 

A la hora de analizar tráfico de red en busca de actividad maliciosa existen muy buenas herramientas disponibles, como es el caso de Wireshark o NetworkMiner,

 

Brim: herramienta para analizar tráfico malicioso de una red

Brim es una herramienta open source pensada para especialistas de seguridad en redes que facilita la búsqueda y el análisis de los datos a través de las siguientes fuentes:

  • Capturas de tráfico de red creadas por Wireshark o TCPdump (pcap)
  • Registros estructurados, como los provenientes del framework Zeek




Esto es particularmente útil para quienes necesitan procesar grandes volúmenes de tráfico de red, especialmente aquellos que son engorrosas de analizar con Wireshark, tshark u otros analizadores de paquetes de datos.

 

Entre las características más destacadas de esta herramienta podemos nombrar que cuenta con soporte multiplataforma (la aplicación es compatible con sistemas Windows, macOS y GNU/Linux), y que está desarrollada e integrada con otras herramientas open source cómo Zed, Zeek y Suricata y el proyecto de reglas para IDS/IPS conocido como Emerging Threats.

Utilizando las consultas que vienen por defecto en Brim

Si bien la herramienta posee un completo lenguaje de sintaxis de consultas, una de las funcionalidades más valoradas en Brim son las consultas que vienen configuradas por defecto en la GUI. Utilizar estas consultas es un excelente punto de partida a la hora de comenzar a indagar en el tráfico de red capturado.

Entre las tantas consultas disponibles, algunas de las más destacadas son :

  • Alertas de Suricata (IDS), por categorías
  • Alertas de Suricata (IDS), por origen y destino
  • Resumen de las actividades
  • Consultas DNS únicas
  • Consultas HTTP
  • Actividades de archivos

 Brim carga e indexa el archivo seleccionado. El índice es una de las razones por las que Brim es tan rápido. La ventana principal contiene un histograma de volúmenes de paquetes a lo largo del tiempo y una lista de «flujos» de red.

Un archivo PCAP contiene un flujo de paquetes de red ordenados por tiempo para una gran cantidad de conexiones de red. Los paquetes de datos para las diversas conexiones están entremezclados porque algunos de ellos se habrán abierto al mismo tiempo. Los paquetes de cada «conversación» de la red se intercalan con los paquetes de otras conversaciones.

Wireshark muestra el flujo de la red paquete por paquete, mientras que Brim usa un concepto llamado «flujos». Un flujo es un intercambio (o conversación) de red completo entre dos dispositivos. Cada tipo de flujo está categorizado, codificado por colores y etiquetado por tipo de flujo. Verá flujos etiquetados como «dns», «ssh», «https», «ssl» y muchos más.


Filtrado en Brim

La búsqueda y el filtrado en Brim son flexibles y completos, pero no es necesario que aprenda un nuevo idioma de filtrado si no lo desea. Puede crear un filtro sintácticamente correcto en Brim haciendo clic en los campos en la ventana de resumen y luego seleccionando opciones de un menú.

El texto _path = «dns» se agrega a la barra de búsqueda.


Ese filtro se aplica al archivo PCAP, por lo que solo mostrará los flujos que son flujos del Servicio de nombres de dominio (DNS).
El texto del filtro también se agrega al historial de búsqueda en el panel izquierdo.

Editar términos de búsqueda

Si desea buscar algo, pero no ve un flujo de ese tipo, puede hacer clic en cualquier flujo y editar la entrada en la barra de búsqueda.

Por ejemplo, sabemos que debe haber al menos un flujo SSH en el archivo PCAP porque usamos rsync para enviar algunos archivos a otra computadora, pero no podemos verlos.

Entonces, haremos clic derecho en otro flujo, seleccionaremos «Filtro = Valor» en el menú contextual y luego editaremos la barra de búsqueda para que diga «ssh» en lugar de «dns».

Otros sistemas IDS que puedes encontrar :

  • Bro (Zeek): es de tipo NIDS y tiene funciones de registro de tráfico y análisis, monitor de tráfico SNMP, y actividad FTP, DNS, y  HTTP, etc.
  • OSSEC:  es de tipo HIDS, de código abierto y gratuito. Además, es multiplataforma, y sus registros incluyen también FTP, datos del servidor web y email.
  • Snort: es uno de los más famosos, de código abierto, y de tipo NIDS. Incluye sniffer para paquetes, registro para paquetes de red, threat intelligence, bloqueo de firmas, actualizaciones en tiempo real de las firmas de seguridad, habilidad para detectar eventos muy numerosos (OS, SMB, CGI, buffer overflow,  puertos ocultos,…).
  • Suricata: otro tipo NIDS, también de código abierto. Puede monitorizar actividad a bajo nivel, como TCP, IP, UDP, ICMP, y TLS, en tiempo real para aplicaciones como SMB, HTTP, y FTP. Permite la integración con herramientas de terceros como Anaval, Squil, BASE, Snorby, etc.
  • Security Onion: NIDS/HIDS, otro sistema IDS especialmente focalizado a las distros Linux, con capacidad para detectar intrusos, monitorización empresarial, sniffer de paquetes, incluye gráficos de lo que sucede, y se pueden usar herramientas como NetworkMiner, Snorby, Xplico, Sguil, ELSA, y Kibana.

 Fuentes:

https://www.welivesecurity.com/la-es/2021/11/22/como-analizar-trafico-red-con-brim-detectar-actividad-maliciosa/

https://kirukiru.es/transforme-su-flujo-de-trabajo-de-wireshark-con-brim-en-linux/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.