Daboweb

TCPDump

Herramientas para la interpretación de capturas de red. (3/10)

Posted by Alfon on julio 30, 2010
Seguridad Informática

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En la segunda hemos avanzado bastante en los filtros e interpretadas algunas capturas. Seguimos ahora con la  herramienta de captura Tshark. Los comandos, aplicación de filtros y formateo de datos, preferencias de columnas, etc.

Introducción a Tshark.

Tshark no es otra cosa que la herramienta de captura de tráfico de red Wirehsark pero en línea de comandos. Se sitúa en un nivel intermedio entre  capturadores como Windump o TCPDump y Wireshark que vermos más adelante.

Sin más dilación comenzamos a usar Tshark.

Listamos las interfaces:

[email protected]:~# tshark -D
1. eth0
2. usbmon1 (USB bus number 1)
3. usbmon2 (USB bus number 2)
4. any (Pseudo-device that captures on all interfaces)
5. lo

Ejecutamos Tshark usando la interface eth0:

[email protected]:~# tshark -i1
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
  0.000000  192.168.1.5 -> 82.159.204.86 TCP 6895 > http [FIN, ACK] Seq=1 Ack=1 Win=64167 Len=0
  0.000752 82.159.204.86 -> 192.168.1.5  TCP http > 6895 [ACK] Seq=1 Ack=2 Win=64581 Len=0
  0.462409 Dell_89:85:5b -> Broadcast    ARP Who has 192.168.1.29?  Tell 192.168.1.239
  2.261727 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.260476 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.913459 Dell_d3:4f:0c -> Broadcast    ARP Who has 192.168.1.28?  Tell 192.168.1.237
  7.211227 MS-NLB-PhysServer-01_00:00:00:00 -> Broadcast    MS NLB MS NLB heartbeat
^C7 packets captured

Condicionando las capturas:

Podemos condicionar las capturas atendiendo, por ejemplo, a criterios de tiempo o de cantidad de paquetes capturados, haciendo que Tshark finalice la captura cuando deseemos:

  • -c termina la captura hasta n paquetes
  • -aduration n termina la captura hasta n segundos
  • afilesize n termina la captura hasta n Kb. (cuando salvemos a fichero la captura).
  • -afiles n termina la captura hasta n ficheros (en caso de múltiples capturas)

Ejemplos:

  • La captura termina después de 10 segundos: tshark -i1 -aduration:10
  • La captura termina despues de salvar 200 Kb. en el fichero: tshark -i1 -afilesize:200 -w fichero.pcap
  • La captura termina después de 10 paquetes capturados: tshark -i1 -c 10

Continue reading…

Tags: , , , , ,

Herramientas para la interpretación de capturas de red. (2/10)

Posted by Alfon on julio 21, 2010
Seguridad Informática

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En este segunda parte veremos el resto de la parte dedicada a filtros y comenzaremos con la interpretación de las capturas.

Filtros.

Seguimos con la aplicación de filtros pcap que comenzamos en la primera parte. Recordamos lo último que vimos sobre expresiones en formato hexadecimal y seguimos.

Expresiones en formato Hexadecimal.

Para especificar una dirección IP, TCPdump / Windump, etc,  trabaja mejor con el formato hexadecimal.

Para una dirección 192.168.1.5, su equivalente en hexadecimal sería:

192 > C0
168 > A8
1 > 01
5 > 05

es decir: C0A80405

Para Windump, añadimos el indicativo de que se trata de formato hexadecimal: 0x

y nos quedaría: 0xC0A80105

Apliquemos esto a nuestros ejemplos de filtros y a lo ya visto hasta ahora en la primera parte:

  • Datagramas IP cuyo IP de origen sea 0xC0A80105 o 192.168.1.5
windump -i1 -qtn "ip[12:4] = 0xC0A80105"
IP 192.168.1.5.26495 > 192.168.1.245.53: UDP, length 30
IP 192.168.1.5.5879 > 192.168.1.245.53: UDP, length 31
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 621
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 640
  • Datagramas IP cuyo IP de origen sea mayor que 192.168.1.5
windump -i1 -qtn "ip[12:4] > 0xC0A80105"
IP 192.168.1.200 > 224.0.0.251: igmp
IP 192.168.1.11 > 239.255.255.250: igmp
IP 192.168.1.202 > 224.0.0.251: igmp
IP 192.168.1.201 > 224.0.1.60: igmp
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
  • Datagramas IP cuyo valor TTL sea mayor que 5
windump -i1 -qnt "ip[8]> 5"
IP 192.168.1.239.138 > 192.168.1.255.138: UDP, length 201
IP 192.168.1.30.138 > 192.168.1.255.138: UDP, length 201

Sobre datagramas IP, TTL, etc. más información en Seguridad y Redes:
http://seguridadyredes.nireblog.com/post/2009/11/05/wireshark-windump-analisis-capturas-trafico-red-interpretacian-datagrama-ip-actualizacian.

Continue reading…

Tags: , , , ,

Herramientas para la interpretación de capturas de red. (1/10 )

Posted by Alfon on julio 14, 2010
Hardware, Seguridad Informática

Comenzamos aquí lo que será la primera parte de Herramientas para la interpretación de capturas de red que dedicaremos a Windump (Windows), y TCPDump para sistemas basados en GNU/Linux-UNIX. Hablaremos de los dos indistíntamente.

El propósito de Windump / TCPDump es la captura y análisis del tráfico de red. Es un sniffer. Aquí teneís información sobre detección de sniffers: Detectando Sniffers en nuestra red. Redes conmutadas y no conmutadas.

Estan basados en la librería de captura de paquetes Pcap / Winpcap. Estas dos librerías son usadas por otras herramientas como Ethereal o Snort, e incluyen un lenguaje de filtros común para todos. Quizás, como ya hablamos en la introducción, Windump/TCPDump no sea la herramienta perfecta atendiendo a la interpretación fácil de los datos reportados, pero sí que es de las mejores en cuanto a su potencia y flexibilidad. Veremos el uso de estas herramientas desde un enfoque lo más práctico posible.

Enlaces para descarga de TCPDump y Windump:

Una vez instalada la librería y el programa en sí, tan sólo debemos de introducir en la línea de comandos (haremos referencia a Windump, para Windows, aunque casi todo es válido para su versión GNU/Linux).

Comenzando.

Antes que nada tendremos que averiguar cuales son las interfaces de red de que disponemos y, de ellas, cual vamos a usar:

[email protected]:~# tcpdump -D
1.eth0
2.usbmon1 (USB bus number 1)
3.usbmon2 (USB bus number 2)
4.any (Pseudo-device that captures on all interfaces)
5.lo

Las opciones básicas para comenzar a usar son las siguientes:

-i(interface) interface que vamos ausar para la captura
-n no resolver los nombres de host
-v -vv cantidad de información que nos devuelve
-t elimina marcas de tiempo.
-q estableceremos el indicador de salida rápida que hará que nos devuelva menos información y que las líneas sean más cortas. Se puede combinar con -v y -vv

Vemos estas opciones iniciales con un ejemplo: Continue reading…

Tags: , , ,