Banner 1

Wireshark. Tshark. Detectando tráfico P2P en nuestra red.

Publicado por Unknown en 11:26 domingo, 17 de agosto de 2008 Etiquetas: ,

Wireshark. Tshark. Detectando tráfico P2P en nuestra red.


Fruto de algún que otro comentario y algunos correos, en esta entrada voy a dar algunas pistas para tratar de descubrir y analizar el tráfico P2P en nuestra red. El tráfico generado por Ares, Emule / Edonkey, BitTorrent, etc, deja una serie de huellas con las que podemos trabajar para su descubrimiento. Para ello podemos usar cualquier sniffer tal como windump / tcpdump, Wireshark o Tshark, aunque son estos dos últimos los que continenen algunas utilidades que nos hará el trabajo más facil. De Esta forma nos será también más facil bloquearlos.

La forma más básica de descubrir el tráfico P2P es filtrando por los puertos que, por defecto, suelen usar estos programas. Hay que tener en cuenta que en la mayoría de estos programas estos puertos usados son configurables, pero es ya la primera pista para ir comenzando a abordar el problema.

Algunos puertos usados por los programas P2P.

Gnutella (Bearshare, Limewire)
TCP 6346, 6347, 6348
UDP 6346, 6347, 6348

Kazaa, Grokster, Morpheous
TCP 1214
UDP 1214

WinMX & Napster
TCP 6257
UDP 6257
TCP 6699
UDP 6699

eDonkey
TCP 4661-4672
UDP 4661-4672

BitTorrent
TCP 6881-6889
UDP 6881-6889

Napster
TCP 4444, 5555, 6666, 7777, 8888
UDP 4444, 5555, 6666, 7777, 8888

Analizando el tráfico P2P. Las huellas.

Otra forma de descubrir este tráfico es poe las huellas dejadas en las trazas o paquetes capturados.

Ares suele algunas pistas sobre sue uso en nuestras capturas:

traza ares

De la misma forma, Napster suele dejar en las capturas:

@napster.com

Emule deja la firma: "Server eMule"

Gnutella suele dejar ditrectamente: "GNUTELLA" ó "GNUTELLA OK"

BitTorrent puede dejar algo parecedo a: "BitTorrent protocol"

En resúmen, casi todos los progrmas P2P suelen dejar una huella bastante evidente. Es cuentión de usarlos y analizar dichas huellas para que nos sirva de filtro.

Filtrando por protocolos en Wireshark / Tshark.

Mientras capturamos en Wireshark o Tshark, podemos o filtrar por puertos (lo hemos visto más arriba), o por protocolo en los filtros de visualizaxión (Display Filter):

Filtrando por protocolos podemos usar la opción -R de Tshark o la ventana de Display Filter de Wireshark introduciendo cualquiera de estos disertores:

gnutella
bittorrent
edonkey

Tambíen podemos usar desde el menú principal de Wireshark:

Edit > Preferences > Protocols> BitTorrent , EDONKEY

Estadísticas de uso.

Usando las estadísticas, podemos también ver según el protocolo P2P la cantidad frames y bytes que circulan por la red. Lo vimos en su momento aquí y aquí :

estadisticas emule edonkey

Otro tipo de estadísiticas:

estadisticas wireshark tshark

Vemos claramente el uso de edonkey / Emule en las estadisticas.

Uso de IDS o Sistemas de detección de Intrusos y cortafuegos.

La mayoría de firewalls o cortafuegos tienen estadísticas, logs y sistemas para bloquear el uso de programas P2P. Así mismo, un IDS tal como Snort , contienen una serie de reglas para detectar el uso del tráfico P2P.

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Powered by Bad Robot
Helped by Blackubay