Hoy cuando llegué a la oficina estaban echando un ojo a Microsoft Network Monitor y, como ya podéis suponer, la curiosidad mató al gató, así que aparqué el post que tenía pensado para hoy y he perdido algo de tiempo (desastre de gestión de agenda) para enredar un rato con esta versión, ya que hace tiempo que solo utilizo Wireshark.

La herramienta tiene cosas chulas, así que os dejo algunas cosas que me han gustado a primera vista, y que harán que empiece a usarla un poco más, para que le saque un poco más de jugo.

El árbol por procesos

Me ha gustado mucho el panel de la izquierda en el que muestra las conversaciones dividias por procesos localex. Para ello, agrupa las tramas por puertos, reconoce cuáles son las aplicaciones corriendo en esos puertos y muestra una vista que permite ver, rápidamente, que aplicación está conversando con quién.



Figura 1: Organización de conversaciones por procesos

Parseador de protocolos Windows

Una de las cosas más importantes cuando tienes una captura es el motor de parseo, es decir, el poder pasar de bits a estructuras de datos, protocolos o conversaciones reconocibles. En este caso, Network Monitor viene con diferentes motores de parseo que pueden ser aplicados en diferentes entornos.


Figura 2: Selección de parseador

Y, como se puede ver, hay uno especialmente creado para reconocer todos los protocolos y estructuras de datos definidos por la MSDN de Microsoft. Tras aplicarlo a una conexión a un servidor interno la información se muestra de maravilla. En este caso es el paquete 303 es parte de la negociación TLS.


Figura 3: Conversación TLS vista con Network Monitor

Llevado por la curiosidad guardé la captura y la abrí con Wireshark y fue a analizar el mismo paquete, y la verdad es que la vista de Network Monitor es bastante más clara.



Figura 4: Mismo paquete analizado con Wireshark

Una de las cosas que tiene Wireshark para analizar las conversaciones es el Follow Stream, que permite seguir las conversaciones tanto a nivel TCP como SSL, pero en este caso, muestra la conexión vacía, con lo que no se obtenía más información.

Los Buffers de análisis

Una de las cosas que también me ha gustado, es la capacidad de seleccionar un conjunto de paquetes y con el botón derecho gestionar diferentes bufferes de datos. Cada buffer de datos es un fichero de capturas, que hace que sea fácil seleccionar los datos interesantes en diferentes ficheros al mismo tiempo, y entregar los informes de datos en las auditorias de seguridad con los ficheros filtrados.



Figura 6: Gestión de múltiples Buffer

Por supuesto, tiene la posibilidad de crear filtros, de ampliar el parseador con tus propias estructuras, etcétera. Puedes descargarlo y probarlo tú también desde la siguiente URL: Descargar Microsoft Network Monitor

Saludos Malignos!



Publicado por Maligno en http://www.elladodelmal.com/2011/04/...a-windows.html