LabEx
Iniciar SesiónÚnete Gratis

Extraer Evidencia de Tráfico Web

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este desafío, asumirás el papel de un aprendiz de ciberseguridad en NetDefenders investigando una posible fuga de datos. Tu instructor te ha proporcionado un archivo de captura de tráfico de red, y tu misión es extraer evidencia de comunicación entre un empleado y labex.io para tu informe de formación forense.

Usando Wireshark, analizarás el tráfico de red capturado filtrando los paquetes TCP que contengan "labex", siguiendo el flujo TCP (TCP stream) para examinar la conversación completa y guardando la evidencia como un archivo de texto. Este ejercicio práctico demuestra técnicas esenciales de análisis forense de redes utilizadas por los profesionales de seguridad para identificar y documentar comunicaciones web sospechosas.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/follow_tcp_stream("Follow TCP Stream") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/display_filters -.-> lab-548842{{"Extraer Evidencia de Tráfico Web"}} wireshark/follow_tcp_stream -.-> lab-548842{{"Extraer Evidencia de Tráfico Web"}} wireshark/export_packets -.-> lab-548842{{"Extraer Evidencia de Tráfico Web"}} end

Revelar Conversaciones Web Ocultas

Como aprendiz de ciberseguridad en NetDefenders, estás investigando una posible fuga de datos. Tu instructor ha capturado tráfico de red de un empleado que accede a labex.io y te ha asignado la tarea de extraer los detalles de la comunicación como evidencia para tu informe de formación forense.

Tareas

  • Filtrar el tráfico capturado de Wireshark para mostrar solo los paquetes TCP que contengan labex
  • Seguir un flujo TCP (TCP stream) de los paquetes filtrados y guardarlo como tcp_evidence.txt en la carpeta del proyecto

Requisitos

  1. Abre el archivo de captura network_evidence.pcapng en Wireshark, que se encuentra en tu directorio /home/labex/project.
  2. Utiliza un filtro de visualización (display filter) para mostrar solo los paquetes TCP que contengan "labex" en su contenido.
  3. Selecciona uno de los paquetes filtrados, luego utiliza la función "Follow TCP Stream" de Wireshark para ver la conversación completa.
  4. Guarda el contenido del flujo TCP (TCP stream) como un archivo llamado tcp_evidence.txt en el directorio /home/labex/project.
  5. El archivo guardado debe contener los datos completos del flujo TCP (TCP stream) entre tu sistema y labex.io.

Ejemplos

Cuando apliques el filtro correcto, tu visualización de Wireshark podría verse así:

Wireshark filter

Después de seguir el flujo TCP (TCP stream), verás una ventana que muestra los datos de la conversación. El archivo guardado contendrá estos datos, que podrían incluir información de negociación TLS (TLS handshake) y tráfico HTTPS cifrado.

Sugerencias

  • Para filtrar los paquetes TCP que contengan texto específico, utiliza el formato: tcp contains "text"
  • Haz clic derecho en un paquete y selecciona "Follow" > "TCP Stream" para ver la conversación completa
  • En la ventana "Follow TCP Stream", haz clic en el botón "Save As" para guardar los datos del flujo
  • Asegúrate de guardar el archivo con exactamente el nombre requerido en el directorio especificado
  • El diálogo de guardar podría tener una ubicación diferente por defecto, así que navega a /home/labex/project antes de guardar
✨ Revisar Solución y Practicar

Resumen

En este desafío, realicé tareas de análisis forense de redes utilizando Wireshark para extraer evidencia de tráfico web de un archivo de paquetes capturados. La investigación se centró en examinar la comunicación entre un sistema y labex.io para documentar una posible fuga de datos, lo que requirió aplicar filtros de visualización (display filters) específicos para aislar los paquetes TCP relevantes que contuvieran "labex" en su contenido.

El proceso involucró abrir un archivo de captura de red, filtrar el tráfico, seguir flujos TCP (TCP streams) para ver las comunicaciones completas y guardar la evidencia como un archivo de texto. Estas técnicas representan habilidades esenciales para los profesionales de ciberseguridad que realizan investigaciones forenses de redes y preparan evidencia para informes de incidentes de seguridad.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante