Pequeño tutorial de uso del windump
Páginas: 44 (10795 palabras)
Publicado: 27 de marzo de 2012
CAPITULO 1
Una de las actividades más comunes en la administación de una red o administración de seguridad, es la del análisis de tráfico de dicha red. No sólo el tráfico que fluye a través de nuestra LAN, sino que también debemos analizar el tráfico entrante y saliente hacia INTERNET a tráves de los servicios que tengamos instalados, proxies, etc. //Esto es así, porque, como ya sabéis, esnecesario para la detección de problemas y, sobre todo, para detectar tráfico no esperado, presencia de puertas traseras, escaneos y cualquier otra intrusión.//
Existen muchas herramientas que pueden sernos muy últiles //dependiendo del S.O.// y //tipo de red,// por ejemplo. Una de estas herramientas es un sniffer de red, basada en la //librería de captura de paquetes// //(pcap)// y que ademásfunciona en plataformas tanto //Wi////ndows// como //GNU/Linux-UNIX// es TCPDump //(GNU/Linux)// / Windump //(Windows)//, ésta última hace uso de la librería Winpcap.
Estas dos librerías son usadas por otras herramientas como Ethereal o http://www.nautopia.net/archives/es/varios_redes/snort/snort.php Snort, e incluyen un //lenguaje de filtros común// para todos. //Quizás Windump/TCPDump no sea laherramienta perfecta atendiendo a la interpretación fácil de los datos reportados, pero sí que es de las mejores en cuanto a su potencia y cantidad de datos de que nos provee.//
//Una vez instalada la librería y el programa en sí//, tan sólo debemos //introducir en la línea de comandos// //(haremos referencia a Windump, para windows, aunque casi todo es válido para su versión GNU/Linux////)//:C:\scan>windump
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A
17:18:16.375082 FIERY.138 > 192.168.4.255.138:
>>> NBT UDP PACKET(138) Res=0x1102 ID=0xE IP=192 (0xc0
0xeb) Port=138 (0x8a) Length=187 (0xbb) Res2=0x0
SourceName=FIERY X2E NameType=0x00 (Workstation)
DestName=
WARNING: Short packet. Try increasing the snap length
17:18:16.679312 INFO2.1027 >INFO8.3233: udp 256
17:18:16.792878 arp who-has FIERY tell INFOGRAFIA3
17:18:16.793204 arp reply FIERY is-at 0:c0:85:27:39:15
17:18:16.793217 INFOGRAFIA3.137 > FIERY.137:
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:16.793729 FIERY.137 > INFOGRAFIA3.137:
>>> NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
17:18:16.898314 INFO8.3233 > INFO2.3234: udp 25617:18:17.185571 0:a0:c9:1c:c1:f5 > Broadcast sap e0 ui/C
>>> Unknown IPX Data: (43 bytes)
Vaya, aparte de unas //peticiones ARP//, parece que no nos enteramos de casi nada. Windump //capturará TODOS los datos de tráfico de nuestra red//, pudiendo ser que los datos a través de la consola vayan tan rápidos y de tal cantidad, que nos sea imposible descifrar o simplemente entenderalgo.Veamos entonces cómo funciona Windump, cómo interpretar sus datos y cómo sacar el máximo partido de él.
CAPITULO 2
Hay que decir que //W////indump interpreta los datos dependiendo del protocolo involucrado en la captura//, esto es obvio, ya que no es lo mismo una captura de //consulta DNS// que un inicio de sesión o establecimiento de //conexión TCP//, o una //captura icmp//, aunque lasdiferencias, en algunos casos, son pocas. En una //captura icmp// aparece la palabra icmp, sin embargo en una //captura tcp// no aparece esta palabra.
==== Establecimiento de una conexión TCP ====
9:24:00.494825 INFOGRAFIA3.1087 > ABANCECOMU.8080: S 2740385268:2740385268(0) w
in 64240 <mss 1460,nop,nop,sackOK> (DF)
09:24:00.495018 ABANCECOMU.8080 > INFOGRAFIA3.1087: S4260015886:4260015886(0) a
ck 2740385269 win 64240 <mss 1460,nop,nop,sackOK> (DF)
09:24:00.495039 INFOGRAFIA3.1087 > ABANCECOMU.8080: . ack 1 win 64240 (DF)
Estas //tres trazas// se refieren a un //inicio de sesión de TCP//. En este caso //INFOGRAFIA3 (que soy yo mismo)// quiere iniciar una sesión con //ABANCECOMU// al //proxy// establecido en él para consultar una determinda página web usando...
Una de las actividades más comunes en la administación de una red o administración de seguridad, es la del análisis de tráfico de dicha red. No sólo el tráfico que fluye a través de nuestra LAN, sino que también debemos analizar el tráfico entrante y saliente hacia INTERNET a tráves de los servicios que tengamos instalados, proxies, etc. //Esto es así, porque, como ya sabéis, esnecesario para la detección de problemas y, sobre todo, para detectar tráfico no esperado, presencia de puertas traseras, escaneos y cualquier otra intrusión.//
Existen muchas herramientas que pueden sernos muy últiles //dependiendo del S.O.// y //tipo de red,// por ejemplo. Una de estas herramientas es un sniffer de red, basada en la //librería de captura de paquetes// //(pcap)// y que ademásfunciona en plataformas tanto //Wi////ndows// como //GNU/Linux-UNIX// es TCPDump //(GNU/Linux)// / Windump //(Windows)//, ésta última hace uso de la librería Winpcap.
Estas dos librerías son usadas por otras herramientas como Ethereal o http://www.nautopia.net/archives/es/varios_redes/snort/snort.php Snort, e incluyen un //lenguaje de filtros común// para todos. //Quizás Windump/TCPDump no sea laherramienta perfecta atendiendo a la interpretación fácil de los datos reportados, pero sí que es de las mejores en cuanto a su potencia y cantidad de datos de que nos provee.//
//Una vez instalada la librería y el programa en sí//, tan sólo debemos //introducir en la línea de comandos// //(haremos referencia a Windump, para windows, aunque casi todo es válido para su versión GNU/Linux////)//:C:\scan>windump
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A
17:18:16.375082 FIERY.138 > 192.168.4.255.138:
>>> NBT UDP PACKET(138) Res=0x1102 ID=0xE IP=192 (0xc0
0xeb) Port=138 (0x8a) Length=187 (0xbb) Res2=0x0
SourceName=FIERY X2E NameType=0x00 (Workstation)
DestName=
WARNING: Short packet. Try increasing the snap length
17:18:16.679312 INFO2.1027 >INFO8.3233: udp 256
17:18:16.792878 arp who-has FIERY tell INFOGRAFIA3
17:18:16.793204 arp reply FIERY is-at 0:c0:85:27:39:15
17:18:16.793217 INFOGRAFIA3.137 > FIERY.137:
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:16.793729 FIERY.137 > INFOGRAFIA3.137:
>>> NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
17:18:16.898314 INFO8.3233 > INFO2.3234: udp 25617:18:17.185571 0:a0:c9:1c:c1:f5 > Broadcast sap e0 ui/C
>>> Unknown IPX Data: (43 bytes)
Vaya, aparte de unas //peticiones ARP//, parece que no nos enteramos de casi nada. Windump //capturará TODOS los datos de tráfico de nuestra red//, pudiendo ser que los datos a través de la consola vayan tan rápidos y de tal cantidad, que nos sea imposible descifrar o simplemente entenderalgo.Veamos entonces cómo funciona Windump, cómo interpretar sus datos y cómo sacar el máximo partido de él.
CAPITULO 2
Hay que decir que //W////indump interpreta los datos dependiendo del protocolo involucrado en la captura//, esto es obvio, ya que no es lo mismo una captura de //consulta DNS// que un inicio de sesión o establecimiento de //conexión TCP//, o una //captura icmp//, aunque lasdiferencias, en algunos casos, son pocas. En una //captura icmp// aparece la palabra icmp, sin embargo en una //captura tcp// no aparece esta palabra.
==== Establecimiento de una conexión TCP ====
9:24:00.494825 INFOGRAFIA3.1087 > ABANCECOMU.8080: S 2740385268:2740385268(0) w
in 64240 <mss 1460,nop,nop,sackOK> (DF)
09:24:00.495018 ABANCECOMU.8080 > INFOGRAFIA3.1087: S4260015886:4260015886(0) a
ck 2740385269 win 64240 <mss 1460,nop,nop,sackOK> (DF)
09:24:00.495039 INFOGRAFIA3.1087 > ABANCECOMU.8080: . ack 1 win 64240 (DF)
Estas //tres trazas// se refieren a un //inicio de sesión de TCP//. En este caso //INFOGRAFIA3 (que soy yo mismo)// quiere iniciar una sesión con //ABANCECOMU// al //proxy// establecido en él para consultar una determinda página web usando...
Leer documento completo
Regístrate para leer el documento completo.