InetVis está basado en el concepto de Spinning Cube of Potencial Doom. Se trata de una herramienta de visualicación tridimensional del tráfico de red que, además, puede visualizarse reproduciéndose a lo largo del tiempo.
Su objetivo principal es el análisis de tráfico anómalo y scan de puertos a través de una serie de patrones.
InetVis está disponible tanto para sistemas Linux como windows y lo podemos descargar desde:
En esta ocasión vamos a usarlo desde un entorno Windows.
Introducción a InetVis.
Cuando cargamos InetVis tenemos una ventana de visualización con un cubo que representa lo siguiente:
- el eje z en color rojo representa las IP direcciones cuyo origen están en internet.
- el eje x en color azul representa para red interna las IP o direcciones de destino.
- el eje y en color verde representa los puertos de destino tanto tcp como udp.
- el plano inferior en color gris representa el tráfico icmp.
La representación del tráfico de red la realiza a partir de archivos .pcap (.cap).
También a través de la interface de red que tengamos por defecto.
Disponemos, además, de 4 paneles / ventanas:
- ventana de visualización: visualización gráfica del tráfico
- panel de control: para reproducir el tráfico, escalas de tiempo y filtros BPF.
- plotter setting: para establecer rangos de red local y externa (internet). Rangos de puertos y esquemas (luego lo veremos)
- reference frame setting: opciones de visualización del cubo, tamaños e los puntos, etc.
Los abriremos todos desde el panel de control > View
Podemos manejar el cubo para ir cambiando de perspectiva principalmente de la siguiente forma:
- con el ratón y botón izquierdo para rotar el cubo
- con la rueda central del ratón par hacer zoom
- con el botón derecho para desplazamientos
- Control+l, r, t, b para las vistas.
Hasta aquí una visión muy rápida de la herramienta. El resto lo vamos a ver con ejemplos.
Carga de fichero .pcap y opciones.
InetVis está preparado para grandes archivos de tráfico de red. En mi caso he llegado a cargar archivos de hasta 3 Gb. sin problema alguno. Al principio cuando cargamos un archivo, es posible que nos de un error para avisarnos que tenemos que indicar al menos, el rango de red local. Lo vemos ahora.
El uso de InetVis es muy sencillo. Aquí lo importante es interpretar los datos gráficos obtenidos.
Una vez que cargamos Inetvis nos aseguramos que estamos en el Panel de control en Mode > Replay capture file y cargamos el fichero. También podemos ir directamente a n File > Open. Una vez cargado el archivo .pcap con extensión .cap, es posible que nos salga un error que solo es un aviso para que introduzcamos el rango de red local, así pues, en el panel Plotter Setting > Destination Home Network Range introducimos las datos del rango de red interna o red local. Tenemos que darle al botón OK. (V) para aplicar:
En este mismo panel, y en Color Mapping usamos el schema Destination port. Elegimos el tamaño de puntos (2). suavizado, y fondo negro. Poco más si no queremos establecer rango acotado de red internet.
En Control Panel elegimos escala de tiempo adecuada al tamaño de nuestro fichero .pcap para la velocidad de reproducción y pulsamos a play. También podemos desplazarnos por la línea de tiempo o ajustar time range a un valor mayor para que barra de línea de tiempo se desplaze a mayor velocidad.
En la ventana InetVis Display veremos como, dependiendo del tamaño de fichero .pcap y densidad del tráfico, como se van rellenado de puntos conformando una serie de líneas, agrupaciones de puntos etc, a través de los ejes del cubo. Una vez terminado este proceso podemos comenzar a interpretar los datos obtenidos.
Interpretando los datos.
Ahora vamos a ver unos ejemplo para entender la filosofía y e interpretación de los datos con InetVis. Aunque InetVis está pensado para detectar los potrscan provenientes de la red internet, los ejemplo los voy a realizar dentro de la red local del laboratorio. Una vez entendido su funcionamiento iremos a casos ya reales.
Vamos a usar en el panel Plogtter Setting y Colour Mapping diferentes esquemas de color. Por defecto tenemos Destination port pero si aplicamos Source IP addres vemos lo siguiente:
La fecha y hora que se aprecia arriba se refiere al archivo de captura .pcap.
Vemos, dentro del círculo blanco, una serie de 5 puntos rojos en línea a través del eje z que corresponde a direcciones de origen provenientes de Internet. Como están en línea suponemos que usan el mismo puerto, además es un puerto bajo, son cinco puntos (hosts). Podría ser, de hecho es así, comunicaciones http desde 5 hosts distintos hacia un solo host en la red interna.
Lo más llamativo es una línea vertical a lo largo del eje (y) que corresponde a los puertos de destino. Al ser una línea se trata de un solo host y muchos puertos. La gama de colores (de rojo a amarillo, verde, etc) se refiere al nivel de actividad que supone que los puertos bajos son los más usados y activos. En este caso se están usando como puertos de destino la mayoría de ellos, con lo cual lo tenemos claro, se trata de un scan de puertos. Este patrón siempre se va a repetir para estos casos.
Otro ejemplo para aclarar ideas.
Aquí he acotado el rango de puertos desde el 15000 a 16000 (eje y). Vemos en el eje x (en azul) un solo host de la red interna que tiene tráfico com varios hosts (vemos la distribución de puntos a lo largo del eje z) usando puertos muy cercanos y aproximados a 15600. Si aplicamos el esquema de mapa de color de direcciones IP de origen, se torna de varios colores. Si aplicamos Puerto de destino, se aprecia muy poca variación: desde azul a morado pero poco apreciable (puertos muy consecutivos y cercanos en ango pequeño) Se trata de una comunicación entre un solo host de la red interna con varios hosts de la red internet. Los host internet usando un solo puerto origen y el destino contra host interno a varios puertos. En la imagen de abajo he aplicado el esquema IP origen.
Lo comprobamos:
No hay comentarios:
Publicar un comentario