WireShark y tcpdump son dos herramientas muy interesantes, y que pueden ayudar en la administración de una red. Hace unas semanas, una de las máquinas de la oficina se infectó con un virus que intentaba mediante fuerza bruta obtener los usuarios y passwords del Active Directory (Domain Controllers).
Por fortuna y desgracia, estaba la política de bloqueo de cuentas después de 3 intentos fallidos. Fortuna porque dificultó la obtención de las cuentas de usuario y desgracia porque todos los usuarios de la oficina estaban molestos ya que se les bloqueaba la cuenta frecuentemente.
El personal de soporte en IT revisó los dos Domain Controllers sin encontrar solución al problema. También instalaron soluciones de antivirus en todas las maquinas, y realizaron los escaneos de virus. Lograron borrar bastantes virus, pero no se resolvió el problema.
Sospechaban de algun virus que estaba intentando adivinar los passwords de los usuarios, pero no tenían manera de comprobarlo. Me decidí a prestarle una ayudita con WireShark, después de unos minutos pude observar que se estaban presentando muchas peticiones de authenticación desde una máquina. La máquina realizaba intentos de autenticación con muchos usuarios, siendo una máquina que le corresponde a una sola persona de la oficina.
La máquina habia sido escaneada con antivirus, pero paso desapersibido. Le sugerí a la persona de soporte que desconectara el equipo de la red a ver que ocurria, y en efecto las cuentas dejaron de bloquearse.
WireShark y tcpdump realizan la misma función: sniffing. Pero estas herramientas se pueden complementar entre ellas. WireShark funciona en modo gráfico, pero tcpdump no necesita del entorno gráfico para funcionar. Por lo que podrías realizar un sniffing con el tcpdump en un servidor, en donde generalmente no instalas ni corres GUI.
user@server# tcpdump -nn -s 0 -w sniffing.pcap -i eth0
La sentencia creará un archivo sniffing.pcap el cual puedes posteriormente descargar a tu desktop y examinarlo con WireShark. WireShark es mucho más completo, ya que entiende más protocolos de comunicación, además de contar con otras caracteristicas de rastreo de conversaciones entre otras cosas.
Un buen libro sobre WireShark para principiantes es: Practical Packet Analysys de No Starch Press.
Lo confieso, yo lo leí. ;)
Por fortuna y desgracia, estaba la política de bloqueo de cuentas después de 3 intentos fallidos. Fortuna porque dificultó la obtención de las cuentas de usuario y desgracia porque todos los usuarios de la oficina estaban molestos ya que se les bloqueaba la cuenta frecuentemente.
El personal de soporte en IT revisó los dos Domain Controllers sin encontrar solución al problema. También instalaron soluciones de antivirus en todas las maquinas, y realizaron los escaneos de virus. Lograron borrar bastantes virus, pero no se resolvió el problema.
Sospechaban de algun virus que estaba intentando adivinar los passwords de los usuarios, pero no tenían manera de comprobarlo. Me decidí a prestarle una ayudita con WireShark, después de unos minutos pude observar que se estaban presentando muchas peticiones de authenticación desde una máquina. La máquina realizaba intentos de autenticación con muchos usuarios, siendo una máquina que le corresponde a una sola persona de la oficina.
La máquina habia sido escaneada con antivirus, pero paso desapersibido. Le sugerí a la persona de soporte que desconectara el equipo de la red a ver que ocurria, y en efecto las cuentas dejaron de bloquearse.
WireShark y tcpdump realizan la misma función: sniffing. Pero estas herramientas se pueden complementar entre ellas. WireShark funciona en modo gráfico, pero tcpdump no necesita del entorno gráfico para funcionar. Por lo que podrías realizar un sniffing con el tcpdump en un servidor, en donde generalmente no instalas ni corres GUI.
user@server# tcpdump -nn -s 0 -w sniffing.pcap -i eth0
La sentencia creará un archivo sniffing.pcap el cual puedes posteriormente descargar a tu desktop y examinarlo con WireShark. WireShark es mucho más completo, ya que entiende más protocolos de comunicación, además de contar con otras caracteristicas de rastreo de conversaciones entre otras cosas.
Un buen libro sobre WireShark para principiantes es: Practical Packet Analysys de No Starch Press.
Lo confieso, yo lo leí. ;)
No hay comentarios:
Publicar un comentario