Transforme su flujo de trabajo de Wireshark con Brim en Linux

Contenidos

Cables Ethernet coloridos.

Wireshark es el estándar de facto para analizar el tráfico de la red. Desafortunadamente, se torna cada vez más lento a medida que crece la captura de paquetes. Borde resuelve este problema tan bien que cambiará su flujo de trabajo de Wireshark.

Wireshark es genial, pero. . .

Wireshark es una maravillosa pieza de software open source. Es utilizado por aficionados y profesionales en todo el mundo para investigar problemas de redes. Captura los paquetes de datos que viajan por los cables o por el éter de su red. Una vez que haya capturado su tráfico, Wireshark le posibilita filtrar y buscar datos, rastrear conversaciones entre dispositivos de red y mucho más.

A pesar de esto, por muy bueno que sea Wireshark, tiene un obstáculo. Los archivos de captura de datos de red (denominados seguimientos de red o capturas de paquetes) pueden llegar a ser muy grandes, muy rápidamente. Esto es especialmente cierto si el problema que está tratando de investigar es complejo o esporádico, o si la red es grande y está ocupada.

Cuanto mayor sea la captura de paquetes (o PCAP), más lento se torna Wireshark. Solo abrir y cargar un rastro muy grande (cualquier cosa de más de 1 GB) puede llevar tanto tiempo que pensaría que Wireshark se había derrumbado y abandonado el fantasma.

Trabajar con archivos de ese tamaño es un verdadero dolor de cabeza. Cada vez que realiza una búsqueda o cambia un filtro, debe esperar a que los efectos se apliquen a los datos y se actualicen en la pantalla. Cada retraso interrumpe su concentración, lo que puede obstaculizar su progreso.

Borde es el remedio para estos males. Actúa como preprocesador interactivo y front-end para Wireshark. Cuando desee ver el nivel granular que puede proporcionar Wireshark, Brim lo abre instantáneamente exactamente en esos paquetes.

Si realiza muchas capturas de red y análisis de paquetes, Brim revolucionará su flujo de trabajo.

RELACIONADO: Cómo utilizar filtros de Wireshark en Linux

Instalación de Brim

Brim es muy nuevo, por lo que aún no ha llegado a los repositorios de software de las distribuciones de Linux. A pesar de esto, en el Página de descarga de Brim, encontrará archivos de paquetes DEB y RPM, por lo que instalarlo en Ubuntu o Fedora es bastante simple.

Si utiliza otra distribución, puede descargar el código fuente desde GitHub y compile la aplicación usted mismo.

Usos del borde zq, una herramienta de línea de comandos para Zeek registros, por lo que además deberá descargar un archivo ZIP que contenga zq binarios.

Instalación de Brim en Ubuntu

Si está usando Ubuntu, deberá descargar el archivo del paquete DEB y zq Archivo ZIP de Linux. Haga doble clic en el archivo del paquete DEB descargado y se abrirá la aplicación de software de Ubuntu. La licencia de Brim aparece erróneamente como «Propietaria»: utiliza la Licencia BSD de 3 cláusulas.

Haga clic en «Instalar».

Haga clic en "Instalar".

Cuando se complete la instalación, haga doble clic en el zq Archivo ZIP para iniciar la aplicación Archive Manager. El archivo ZIP contendrá un solo directorio; arrástrelo y suéltelo desde el «Administrador de archivos» a una ubicación en su computadora, como el directorio «Descargas».

Escribimos lo siguiente para crear una ubicación para el zq binarios:

sudo mkdir /opt/zeek

Necesitamos copiar los binarios del directorio extraído a la ubicación que acabamos de crear. Sustituya la ruta y el nombre del directorio extraído en su máquina en el siguiente comando:

sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek

Necesitamos agregar esa ubicación a la ruta, por lo que editaremos el archivo BASHRC:

sudo gedit .bashrc

Se abrirá el editor gedit. Desplácese hasta la parte inferior del archivo y posteriormente escriba esta línea:

export PATH=$PATH:/opt/zeek

El archivo BASHRC en el editor gedit con la línea export PATH = $ PATH: / opt / zeek.

Guarde sus cambios y cierre el editor.

Instalación de Brim en Fedora

Para instalar Brim en Fedora, descargue el archivo del paquete RPM (en lugar del DEB) y posteriormente siga los mismos pasos que cubrimos para la instalación de Ubuntu arriba.

Curiosamente, cuando el archivo RPM se abre en Fedora, se identifica correctamente como una licencia open source, en lugar de una propietaria.

Lanzamiento de Brim

Haga clic en «Mostrar aplicaciones» en el dock o presione Super + A. Escriba «borde» en el cuadro de búsqueda y posteriormente haga clic en «borde» cuando aparezca.

Escribe "borde" en el cuadro de búsqueda.

Brim se inicia y muestra su ventana principal. Puede hacer un clic en «Seleccionar archivos» para abrir un explorador de archivos, o arrastrar y soltar un archivo PCAP en el área rodeada por el rectángulo rojo.

La ventana principal de Brim después del inicio.

Brim utiliza una pantalla con pestañas y puede tener varias pestañas abiertas simultáneamente. Para abrir una nueva pestaña, haga clic en el signo más (+) en la parte de arriba y posteriormente seleccione otro PCAP.

Conceptos básicos del borde

Brim carga e indexa el archivo seleccionado. El índice es una de las razones por las que Brim es tan rápido. La ventana principal contiene un histograma de volúmenes de paquetes a lo largo del tiempo y una lista de «flujos» de red.

La ventana principal de Brim con un archivo PCAP cargado.

Un archivo PCAP contiene un flujo de paquetes de red ordenados por tiempo para una gran cantidad de conexiones de red. Los paquetes de datos para las diversas conexiones están entremezclados debido a que algunos de ellos se habrán abierto al mismo tiempo. Los paquetes de cada «conversación» de la red se intercalan con los paquetes de otras conversaciones.

Wireshark muestra el flujo de red paquete por paquete, mientras que Brim utiliza un concepto llamado «flujos». Un flujo es un intercambio de red completo (o conversación) entre dos dispositivos. Cada tipo de flujo está categorizado, codificado por colores y etiquetado por tipo de flujo. Verá flujos etiquetados como «dns», «ssh», «https», «ssl» y muchos más.

Si desplaza la pantalla de resumen de flujo hacia la izquierda o hacia la derecha, se mostrarán muchas más columnas. Además puede ajustar el período de tiempo para mostrar el subconjunto de información que desea ver. A continuación, se muestran algunas formas en las que puede ver los datos:

  • Haga clic en una barra del histograma para ampliar la actividad de la red dentro de él.
  • Haga clic y arrastre para resaltar un rango de la pantalla del histograma y acerque el zoom. Brim mostrará los datos de la sección resaltada.
  • Además puede especificar períodos exactos en los campos «Fecha» y «Hora».

Brim puede mostrar dos paneles laterales: uno a la izquierda y otro a la derecha. Estos pueden estar ocultos o permanecer visibles. El panel de la izquierda muestra un historial de búsqueda y una lista de PCAP abiertos, llamados espacios. Presione Ctrl +[ to toggle the left pane on or off.

The "Spaces" pane in Brim.

The pane on the right contains detailed information about the highlighted flow. Press Ctrl+] para activar o desactivar el panel derecho.

Un panel de "Campos" resaltado en Brim.

Haga clic en «Conectar» en el listado «Correlación de UID» para abrir un diagrama de conexión para el flujo resaltado.

Haga clic en "Conectar".

En la ventana principal, además puede resaltar un flujo y posteriormente hacer un clic en el icono de Wireshark. Esto lanza Wireshark con los paquetes del flujo resaltado que se muestran.

Se abre Wireshark y muestra los paquetes de interés.

Los paquetes seleccionados de Brim se muestran en Wireshark.

Filtrado en Brim

La búsqueda y el filtrado en Brim son flexibles y completos, pero no es necesario que aprenda un nuevo idioma de filtrado si no lo desea. Puede crear un filtro sintácticamente correcto en Brim haciendo clic en los campos en la ventana de resumen y posteriormente seleccionando opciones de un menú.

A modo de ejemplo, en la imagen de abajo, hicimos clic con el botón derecho en un campo «dns». Posteriormente, seleccionaremos «Filtro = Valor» en el menú contextual.

Un menú contextual en la ventana de resumen.

Entonces ocurren las siguientes cosas:

  • El texto _path = "dns" se agrega a la barra de búsqueda.
  • Ese filtro se aplica al archivo PCAP, por lo que solo mostrará los flujos que son flujos del Servicio de nombres de dominio (DNS).
  • El texto del filtro además se agrega al historial de búsqueda en el panel izquierdo.

Una pantalla de resumen filtrada por DNS.

Podemos agregar más cláusulas al término de búsqueda usando la misma técnica. Haremos clic derecho en el campo de dirección IP (que contiene “192.168.1.26”) en la columna “Id.orig_h”, y posteriormente seleccionaremos “Filtro = Valor” en el menú contextual.

Esto agrega la cláusula adicional como una cláusula AND. La pantalla ahora está filtrada para mostrar los flujos de DNS que se originaron en esa dirección IP (192.168.1.26).

Una pantalla de resumen filtrada por tipo de flujo y dirección IP.

El nuevo término de filtro se agrega al historial de búsqueda en el panel izquierdo. Puede saltar de una búsqueda a otra haciendo clic en los ítems de la lista del historial de búsqueda.

La dirección IP de destino para la mayoría de nuestros datos filtrados es 81.139.56.100. Para ver qué flujos de DNS se enviaron a diferentes direcciones IP, hacemos clic con el botón derecho en “81.139.56.100” en la columna “Id_resp_h” y posteriormente seleccionamos “¡Filtro! = Valor” en el menú contextual.

Pantalla de resumen con un filtro de búsqueda que contiene una cláusula "! =".

Solo un flujo de DNS que se originó en 192.168.1.26 no se envió a 81.139.56.100, y lo hemos localizado sin tener que escribir nada para crear nuestro filtro.

Fijación de cláusulas de filtro

Cuando hacemos clic con el botón derecho en un flujo «HTTP» y seleccionamos «Filtro = Valor» en el menú contextual, el panel de resumen mostrará solo los flujos HTTP. Posteriormente podemos hacer un clic en el ícono Pin junto a la cláusula de filtro HTTP.

La cláusula HTTP ahora está fijada en su lugar, y cualquier otro filtro o término de búsqueda que usemos se ejecutará con la cláusula HTTP antepuesta.

Si escribimos «GET» en la barra de búsqueda, la búsqueda se restringirá a los flujos que ya han sido filtrados por la cláusula fijada. Puede fijar tantas cláusulas de filtro como sea necesario.

"OBTENER" en el cuadro de búsqueda.

Para buscar paquetes POST en los flujos HTTP, simplemente borramos la barra de búsqueda, escribimos «POST» y posteriormente pulsamos Enter.

"POST" en el cuadro de búsqueda ejecutado con la cláusula "HTTP" fijada.

El desplazamiento lateral revela la ID del host remoto.

La columna "Host" remoto en la pantalla de resumen de Brim.

Todos los términos de búsqueda y filtrado se agregan a la lista «Historial». Para volver a aplicar cualquier filtro, simplemente haga clic en él.

La lista "Historial" rellenada automáticamente.

Además puede buscar un host remoto por su nombre.

Buscando "trustwave.com" en Brim.

Editar términos de búsqueda

Si desea buscar algo, pero no ve un flujo de ese tipo, puede hacer un clic en cualquier flujo y editar la entrada en la barra de búsqueda.

A modo de ejemplo, sabemos que debe haber al menos un flujo SSH en el archivo PCAP debido a que usamos rsync para enviar algunos archivos a otra computadora, pero no podemos verlos.

Entonces, haremos clic con el botón derecho en otro flujo, seleccionaremos «Filtro = Valor» en el menú contextual y posteriormente editaremos la barra de búsqueda para que diga «ssh» en lugar de «dns».

Pulsamos Enter para buscar flujos SSH y encontramos que solo hay uno.

Un flujo SSH en la ventana de resumen.

Al presionar Ctrl +]se abre el panel derecho, que muestra los detalles de este flujo. Si se transfirió un archivo durante un flujo, el MD5, SHA1, y SHA256 aparecen hashes.

Haga clic con el botón derecho en cualquiera de estos y posteriormente seleccione «Búsqueda de VirusTotal» en el menú contextual para abrir su navegador en la VirusTotal portal web y pasar el hash para su verificación.

VirusTotal almacena los hash de malware conocido y otros archivos maliciosos. Si no está seguro de si un archivo es seguro, esta es una forma fácil de verificar, inclusive si ya no tiene acceso al archivo.

Las opciones del menú contextual de hash.

Si el archivo es benigno, verá la pantalla que se muestra en la imagen a continuación.

Una respuesta "No se encontraron coincidencias" del sitio VirusTotal.

El complemento perfecto para Wireshark

Brim hace que trabajar con Wireshark sea aún más rápido y fácil al permitirle trabajar con archivos de captura de paquetes muy grandes. ¡Pruébelo hoy mismo!

Suscribite a nuestro Newsletter

No te enviaremos correo SPAM. Lo odiamos tanto como tú.