03 noviembre 2010

Capturas de paquetes, un interés común.

Las capturas de paquetes juegan un papel importantísimo en seguridad. Su utilidad pasa desde analizar protocolos y comunicaciones de aplicaciones, hasta detectar problemas en una red, pasando por hacer un análisis forense de un ataque, y muchas cosas más.

Son una fuente de información muy amplia para realizar estudios, detectar fallos, depurar, etc ...

Debido a sus características y lo útil que podría ser compartirlas, han empezando a surgir comunidades y utilidades basadas en Internet para intercambiar información "empaquetada" de esta forma. Además, se añaden las funciones típicas de la "web 2.0", por lo que todo el mundo puede subir capturas nuevas, votar las de otras personas, comentarlas, utilizar tags para clasificar la información, etc...

- openpacket.org Una comunidad que, según comentan ellos mismos, tiene el objetivo de proporcionar un repositorio centralizado de trazas de tráfico para investigadores, analistas y otros miembros de la comunidad de la seguridad.
Tiene una web bastante bien organizada, con un prudente número de capturas de red. Principalmente se encuentran capturas de protocolos, ataques y virus. En su buscador podemos seleccionar las Most interesting, e incluso podemos buscar según si las trazas provienen de tráfico normal, sospechoso o malicioso.
Mantienen un blog donde publican cambios y novedades. Una de las personas detrás del proyecto es Richard Bejtlich.

- pcapr.net Otra comunidad muy parecida, pero que posee un número de usuarios y capturas muchísimo más alto que la anterior, además tiene un toque social algo más marcado. Cuentan con algunas herramientas interesantes, entre ellas una aplicación que permite analizar las trazas desde la propia web, sin necesidad de descargarlas.
El proyecto es mantenido por Mu Dynamics.

Aunque no esté directamente relacionado con estos dos sitios web, es necesario hacer una mención a CloudShark. Se trata de una página web a la que podemos subir capturas y analizarlas a través del navegador. Tiene una interfaz muy parecida a la de Wireshark (la web utiliza tshark), y tiene un abanico de opciones más amplio de lo que en un principio se espera para ser una web (frente al propio Wireshark).

Las situaciones en las que nos puede ser útil son muchas, desde que no tenemos un analizador de paquetes a mano, hasta que queremos compartir la captura con un amigo.

Las clásica crítica a estos servicios es que son una potencial vía de fugas de datos sensibles, y es cierto, si se utilizan sin precaución.

2 comments :

Anónimo dijo...

Hola!

Muy útil, gracias!

Un saludo

Carlos dijo...

Curioso, nunca pensé que se pudieran llegar a crear comunidades sobre algo como esto...
Por cierto, felicidades por el premio.