NetworkTotal: Conoce esta herramienta online para análisis de archivos pcap

Escrito por Sergio De Luz

Para cualquier administrador de redes es fundamental saber manejarse con analizadores de protocolos como Wireshark, el programa multiplataforma más utilizado para capturar todo el tráfico de una o varias interfaces, y posteriormente analizarlo. Hoy os presentamos NetworkTotal, una herramienta online completamente gratuita que nos permitirá realizar análisis de los archivos pcap capturados anteriormente.

¿Qué es y para qué nos servirá NetworkTotal?

NetworkTotal es una herramienta online que nos permitirá subir nuestros archivos pcap capturados, con un tamaño máximo de hasta 25MB. Una vez que hayamos subido la captura pcap que hemos realizado, NetworkTotal procesará todo este archivo contra el sistema de detección de intrusiones de Suricata, para comprobar si en esa captura hay algún tipo de actividad sospechosa, y ayudarnos a dar con ella de manera fácil y rápida. Actualmente NetworkTotal utiliza el Suricata IDS y también las reglas Emerging Threats PRO, aunque están trabajando para incorporar otros motores adicionales.

Aunque podríamos utilizar Wireshark para analizar manualmente toda la captura, es posible que te interese saber si un IDS tan potente como Suricata detectará el tráfico malicioso que supuestamente has capturado, sin necesidad de estar horas analizando manualmente la captura pcap por ti mismo. También es posible que quieras conocer si el tráfico generado por ti, y capturado, es detectado por IDS como el de Suricata, con el fin de evadirlo.

Los programas que podremos utilizar para capturar el tráfico de red, pueden ser Wireshark para Windows, y también tcpdump para sistemas basados en Linux y Unix. Una captura de tráfico podría contener información importante en su interior, el desarrollador de NetworkTotal indica que solo almacena el pcap durante el tiempo que tarda Suricata IDS en procesarlo, después de este procesado automáticamente la captura la borra de sus servidores. Además, un detalle muy importante es que en el análisis de Suricata IDS no muestra información más detallada, como por ejemplo las direcciones IP de origen y destino, protocolos de red utilizados, recursos compartidos a los que se ha accedido, credenciales de usuario etc.

Funcionamiento de NetworkTotal

El funcionamiento de esta herramienta es muy sencilla, simplemente debemos acceder la web de NetworkTotal, y una vez dentro tendremos que subir nuestra captura pcap que hayamos capturado anteriormente con tcpdump o similares. Si subes una captura no compatible, automáticamente nos devolverá un error y no nos permitirá subir la captura.

Al pinchar en “Examinar”, debemos buscar la captura pcap, y posteriormente pinchamos en el botón de “Upload”.

Una vez que hayamos subido la captura, nos indicará que la está procesando para posteriormente mostrarnos un informe con todo lo que ha detectado Suricata IDS 2.0.11:

Si esperamos unos minutos, podemos pinchar directamente en el hipervínculo que tenemos en la propia web, y nos llevará directamente hacia el informe que ha sacado de Suricata IDS. A continuación, podéis ver el análisis de la captura pcap que hemos subido:

Os recomendamos visitar la web oficial de NetworkTotal donde encontraréis todos los detalles sobre esta herramienta tan interesante.