LabEx
Iniciar SesiónÚnete Gratis

Exportar Evidencia de Red Sospechosa

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este desafío, asumirás el rol de un analista de seguridad en TechDefend que ha detectado tráfico HTTP sospechoso. Tu tarea es usar Wireshark para aislar este tráfico de un archivo de red pre-capturado y exportarlo como un archivo CSV para el análisis del equipo forense.

El ejercicio pondrá a prueba tu habilidad para abrir capturas de paquetes, aplicar filtros de protocolo en Wireshark y exportar datos filtrados en el formato requerido. Deberás asegurarte de que la evidencia exportada se guarde correctamente en la ubicación designada con toda la información necesaria del protocolo HTTP intacta.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/display_filters -.-> lab-548847{{"Exportar Evidencia de Red Sospechosa"}} wireshark/export_packets -.-> lab-548847{{"Exportar Evidencia de Red Sospechosa"}} end

Exportar Evidencia de Red Sospechosa

Como analista de seguridad en TechDefend, has detectado tráfico HTTP inusual que puede indicar una posible brecha (breach). Tu supervisor necesita esta evidencia para una investigación urgente. Debes aislar rápidamente el tráfico HTTP sospechoso y exportarlo en un formato adecuado para que el equipo forense lo analice.

Tareas

  • Aplica un filtro para mostrar solo el tráfico HTTP y luego exporta estos paquetes como un archivo CSV llamado evidence.csv en el directorio /home/labex/project.

Requisitos

  • Abre el archivo proporcionado network_traffic.pcap en Wireshark usando la terminal o la GUI (Graphical User Interface).
  • Utiliza la funcionalidad de filtro de Wireshark para mostrar solo el tráfico HTTP.
  • Exporta el tráfico HTTP filtrado como un archivo CSV llamado evidence.csv.
  • Guarda el archivo CSV en el directorio /home/labex/project.
  • El archivo exportado debe contener información del protocolo HTTP.

Ejemplos

Aquí tienes una pequeña muestra de cómo podría verse el archivo CSV exportado (el contenido real dependerá del tráfico capturado):

Wireshark filter

Sugerencias

  • Para abrir Wireshark desde la terminal, simplemente escribe wireshark en la terminal y presiona Enter.
  • Para abrir un archivo de captura específico, puedes usar wireshark /home/labex/project/network_traffic.pcap.
  • El filtro básico para mostrar solo el tráfico HTTP es simplemente escribir "http" en el cuadro de filtro en la parte superior de Wireshark.
  • Para exportar paquetes como CSV, ve a File → Export Packet Dissections → As CSV (Archivo → Exportar Disecciones de Paquetes → Como CSV).
  • Asegúrate de seleccionar la ubicación correcta del archivo (/home/labex/project) y el nombre del archivo (evidence.csv) al guardar.
✨ Revisar Solución y Practicar

Resumen

En este desafío, trabajé como analista de seguridad en TechDefend para aislar y exportar tráfico HTTP sospechoso de una captura de red. Utilizando Wireshark, abrí un archivo de paquetes pre-capturado (network_traffic.pcap), apliqué filtros para mostrar solo el tráfico HTTP y exporté los datos filtrados como un archivo CSV llamado evidence.csv en el directorio especificado.

El desafío demostró habilidades esenciales de un analista de seguridad, incluyendo el análisis de tráfico de red con Wireshark, la aplicación de filtros específicos de protocolo y la exportación adecuada de evidencia en un formato adecuado para la investigación forense. Estas técnicas son cruciales para los profesionales de la seguridad al identificar y documentar posibles brechas de red para su posterior análisis.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante