windump
Páginas: 14 (3303 palabras)
Publicado: 22 de marzo de 2013
Analizando la Red con WinDump / TCPDump.
Introducción
Una de las actividades más comunes en la administración de una red o administración de
seguridad, es la del análisis de tráfico de dicha red. No sólo el tráfico que fluye a través de
nuestra LAN, sino que también debemos analizar el tráfico entrante y saliente hacia
INTERNET a través de los servicios que tengamos instalados, proxies, etc.Esto es así
porque, como ya sabéis, es necesario para la detección de problemas y, sobre todo, para
detectar tráfico no esperado, presencia de puertas traseras, escaneos y cualquier otra
intrusión.
Existen muchas herramientas que pueden sernos muy útiles dependiendo del S.O. y tipo
de red por ejemplo. Una de estas herramientas es un sniffer de red, basada en la librería
de captura de paquetes(pcap) y que además funciona en plataformas tanto windows
como GNU/Linux-UNIX es TCPDump (GNU/Linux) / Windump (Windows), ésta última
hace uso de la librería Winpcap. Estas dos librerías son usadas por otras herramientas
como Ethereal o Snort, e incluyen un lenguaje de filtros común para todos. Quizás
Windump/TCPDump no sea la herramienta perfecta atendiendo a la interpretación fácil de
losdatos reportados, pero sí que es de las mejores en cuanto a su potencia y cantidad de
datos de que nos provee.
C:\scan>windump
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A
17:18:16.375082 FIERY.138 > 192.168.4.255.138:
>>> NBT UDP PACKET(138) Res=0×1102 ID=0xE IP=192 (0xc0
0xeb) Port=138 (0x8a) Length=187 (0xbb) Res2=0×0
SourceName=FIERY X2E NameType=0×00 (Workstation)
DestName=WARNING: Short packet. Try increasing the snap length
17:18:16.679312 INFO2.1027 > INFO8.3233: udp 256
17:18:16.792878 arp who-has FIERY tell INFOGRAFIA3
17:18:16.793204 arp reply FIERY is-at 0:c0:85:27:39:15
17:18:16.793217 INFOGRAFIA3.137 > FIERY.137:
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:16.793729 FIERY.137 > INFOGRAFIA3.137:
>>> NBT UDP PACKET(137): QUERY; POSITIVE;RESPONSE; UNICAST
17:18:16.898314 INFO8.3233 > INFO2.3234: udp 256
17:18:17.185571 0:a0:c9:1c:c1:f5 > Broadcast sap e0 ui/C
>>> Unknown IPX Data: (43 bytes)
Vaya, a parte de unas peticiones ARP, parece que no nos enteramos de casi nada. A
aparte de esto Windump capturará TODOS los datos de tráfico de nuestra red, y puede
ser que los datos a través de la consola vayan tan rápido y de talcantidad, que nos sea
imposible descifrar o simplemente entender algo.Veamos entonces cómo funciona
Windump, como interpretar sus datos y cómo sacar el máximo partido de él.
Empezando con Windump
Hay que decir que Windump interpreta los datos dependiendo del
protocolo involucrado en la captura, esto es obvio, ya que no es lo
mismo una captura de consulta DNS que un inicio de sesión oestablecimiento de conexión TCP, o una captura icmp, aunque las
diferencias, en algunos casos, son pocas. En una captura icmp
aparece la palabra icmp, sin embargo en una captura tcp no aparece
esta palabra.
ESTABLECIMIENTO DE UNA CONEXION TCP:
9:24:00.494825 INFOGRAFIA3.1087 > ABANCECOMU.8080: S 2740385268:2740385268(0) w
in 64240 (DF)
09:24:00.495018 ABANCECOMU.8080 > INFOGRAFIA3.1087: S4260015886:4260015886(0) a
ck 2740385269 win 64240 (DF)
09:24:00.495039 INFOGRAFIA3.1087 > ABANCECOMU.8080: . ack 1 win 64240 (DF)
Estas tres trazan se refieren a un inicio de sesión de TCP. En este
caso INFOGRAFIA3 (que soy yo mismo) quiere iniciar una sesión
con ABANCECOMU al proxy establecido en él para consultar una
determinda página web usando http. Vemos el modelo de
establecimiento deconexión a tres bandas de forma muy clara.
El formato para la salida de los datos es la siguiente:
fecha src > dst: flags data-sqno ack window urgent
options
* fecha nos da la hora en que se produjo el evento en
formatohora:minutos:segundos.microsegundos o milisegundos
* src y dst son las direcciones IP y puertos TCP/UDP de las
conexiones fuente ydestino.
* > dirección de flujo de...
Introducción
Una de las actividades más comunes en la administración de una red o administración de
seguridad, es la del análisis de tráfico de dicha red. No sólo el tráfico que fluye a través de
nuestra LAN, sino que también debemos analizar el tráfico entrante y saliente hacia
INTERNET a través de los servicios que tengamos instalados, proxies, etc.Esto es así
porque, como ya sabéis, es necesario para la detección de problemas y, sobre todo, para
detectar tráfico no esperado, presencia de puertas traseras, escaneos y cualquier otra
intrusión.
Existen muchas herramientas que pueden sernos muy útiles dependiendo del S.O. y tipo
de red por ejemplo. Una de estas herramientas es un sniffer de red, basada en la librería
de captura de paquetes(pcap) y que además funciona en plataformas tanto windows
como GNU/Linux-UNIX es TCPDump (GNU/Linux) / Windump (Windows), ésta última
hace uso de la librería Winpcap. Estas dos librerías son usadas por otras herramientas
como Ethereal o Snort, e incluyen un lenguaje de filtros común para todos. Quizás
Windump/TCPDump no sea la herramienta perfecta atendiendo a la interpretación fácil de
losdatos reportados, pero sí que es de las mejores en cuanto a su potencia y cantidad de
datos de que nos provee.
C:\scan>windump
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A
17:18:16.375082 FIERY.138 > 192.168.4.255.138:
>>> NBT UDP PACKET(138) Res=0×1102 ID=0xE IP=192 (0xc0
0xeb) Port=138 (0x8a) Length=187 (0xbb) Res2=0×0
SourceName=FIERY X2E NameType=0×00 (Workstation)
DestName=WARNING: Short packet. Try increasing the snap length
17:18:16.679312 INFO2.1027 > INFO8.3233: udp 256
17:18:16.792878 arp who-has FIERY tell INFOGRAFIA3
17:18:16.793204 arp reply FIERY is-at 0:c0:85:27:39:15
17:18:16.793217 INFOGRAFIA3.137 > FIERY.137:
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:16.793729 FIERY.137 > INFOGRAFIA3.137:
>>> NBT UDP PACKET(137): QUERY; POSITIVE;RESPONSE; UNICAST
17:18:16.898314 INFO8.3233 > INFO2.3234: udp 256
17:18:17.185571 0:a0:c9:1c:c1:f5 > Broadcast sap e0 ui/C
>>> Unknown IPX Data: (43 bytes)
Vaya, a parte de unas peticiones ARP, parece que no nos enteramos de casi nada. A
aparte de esto Windump capturará TODOS los datos de tráfico de nuestra red, y puede
ser que los datos a través de la consola vayan tan rápido y de talcantidad, que nos sea
imposible descifrar o simplemente entender algo.Veamos entonces cómo funciona
Windump, como interpretar sus datos y cómo sacar el máximo partido de él.
Empezando con Windump
Hay que decir que Windump interpreta los datos dependiendo del
protocolo involucrado en la captura, esto es obvio, ya que no es lo
mismo una captura de consulta DNS que un inicio de sesión oestablecimiento de conexión TCP, o una captura icmp, aunque las
diferencias, en algunos casos, son pocas. En una captura icmp
aparece la palabra icmp, sin embargo en una captura tcp no aparece
esta palabra.
ESTABLECIMIENTO DE UNA CONEXION TCP:
9:24:00.494825 INFOGRAFIA3.1087 > ABANCECOMU.8080: S 2740385268:2740385268(0) w
in 64240 (DF)
09:24:00.495018 ABANCECOMU.8080 > INFOGRAFIA3.1087: S4260015886:4260015886(0) a
ck 2740385269 win 64240 (DF)
09:24:00.495039 INFOGRAFIA3.1087 > ABANCECOMU.8080: . ack 1 win 64240 (DF)
Estas tres trazan se refieren a un inicio de sesión de TCP. En este
caso INFOGRAFIA3 (que soy yo mismo) quiere iniciar una sesión
con ABANCECOMU al proxy establecido en él para consultar una
determinda página web usando http. Vemos el modelo de
establecimiento deconexión a tres bandas de forma muy clara.
El formato para la salida de los datos es la siguiente:
fecha src > dst: flags data-sqno ack window urgent
options
* fecha nos da la hora en que se produjo el evento en
formatohora:minutos:segundos.microsegundos o milisegundos
* src y dst son las direcciones IP y puertos TCP/UDP de las
conexiones fuente ydestino.
* > dirección de flujo de...
Leer documento completo
Regístrate para leer el documento completo.