Capturador De Red Tcpdump
©Todos los derechos reservados 2004.
Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
Rector
Juan Ramón de la Fuente
Secretario General
Enrique del Val Blanco
Director General de Servicios de Cómputo Académico
Dr. Alejandro Pisanty Baruch
Dra. Genevieve LucetLagriffoul
Directora de Cómputo para la Investigación
Lic. Juan Carlos Guel López
Departamento de Seguridad en Cómputo/UNAM-CERT
TALLER DE SEGURIDAD EN REDES
Editor
Dirección General de Servicios de Cómputo Académico
Dirección de Cómputo para la Investigación
© 2004 Universidad Nacional Autónoma de México
Esta edición y sus características son propiedad de la
Universidad Nacional Autónomade México.
Ciudad Universitaria, México, DF
Ni la totalidad ni parte de esta publicación puede reproducirse,
registrarse o transmitirse en ninguna forma ni por ningún medio,
sin la previa autorización escrita del editor.
Impreso y hecho en México
Registro en trámite
Taller de Seguridad en Redes
Seguridad en Redes
Departamento de Seguridad en Cómputo
UNAM-CERT
Lic. Juan CarlosGuel López
Ing. Alejandro Núñez Sandoval.
Departamento de Seguridad en Cómputo
UNAM-CERT
Taller de Seguridad en Redes
TCPdump como herramienta de
Auditoria de Redes
TCPdump
• Tcpdump permite comprender
visualmente los conceptos TCP/IP.
• Es una herramienta universalmente
disponible.
• Fácil de instalar y utilizar.
Departamento de Seguridad en Cómputo
UNAM-CERT
Tallerde Seguridad en Redes
TCPdump
Ejemplo de una salida TCPdump
Banderas:
Banderas TCP (PSH, RST, SYN, FIN ).
# seq. Inicio:
Para la conexión inicial, éste es el número de secuencia inicial
(ISN) de la IP origen.
# seq. Final:
éste es el número de secuencia inicial + bytes de datos.
Bytes:
bytes de datos (payload) en el paquete TCP.
Tamaño de ventana:
nmap.edurecibe ventana (TCP buffer).
Departamento de Seguridad en Cómputo
UNAM-CERT
Taller de Seguridad en Redes
Tcpdump Salida en Hexadecimal
• Con la opción de línea de comando –x se
despliegan los registros en hexadecimal.
• En hexadecimal es más difícil leer y descifrar.
• El número de bytes capturados por defecto
es de 68.
• Cambia el número de bytes capturados
utilizando la opción–s.
Encabezado IP
Departamento de Seguridad en Cómputo
UNAM-CERT
Taller de Seguridad en Redes
Traslapación de datos en Hex con
Enc. IP (Campos)
Translapación de datos en Hex con
Enc. IP (Bytes)
Departamento de Seguridad en Cómputo
UNAM-CERT
Taller de Seguridad en Redes
Conceptos TCP/IP
Modelos para la Comunicación de Red
Un encabezado de capa es dato de
otra CapaDepartamento de Seguridad en Cómputo
UNAM-CERT
Taller de Seguridad en Redes
Encapsulación de datos
Capa de Enlace
• La comunicación se hace a través de las direcciones
MAC.
• Cuando la capa de red habla con la capa de enlace –
necesita traducción.
Dirección IP
Dirección MAC
• Se hace utilizando el Protocolo de Resolución de
Direcciones (ARP Address Resolution Protocol).
• Ladirección MAC es colocada en el encabezado
Ethernet de la trama.
• ARP no es un protocolo ruteable.
Departamento de Seguridad en Cómputo
UNAM-CERT
Taller de Seguridad en Redes
Protocolo de Resolución de
Direcciones (ARP)
0:10:b5:39:c6:9a broadcast arp 42: arp who-has 10.10.10.101 tell 10.10.10.100
0:10:b5:39:c6:93 0:10:b5:39:c6:9a arp 64: arp reply 10.10.10.101 is-at0:10:b5:39:c6:93
Capa de Red ( IP )
• Utiliza direcciones IP para la comunicación.
• La traducción de direcciones IP se hace a través de DNS
o tablas de host.
• Las direcciones IP son colocadas en un encabezado de
datagrama.
• Se preocupa por la entrega paso a paso.
• Datagramas IP individuales pueden viajar por diferentes
routeadores.
• Protocolo poco confiable.
• Moviendo datagramas....
Regístrate para leer el documento completo.