Que yo no quiero problemas
Páginas: 14 (3298 palabras)
Publicado: 4 de octubre de 2014
Pequeño tutorial de Windump / Tcpdump
Índice
Introducción
Uso básico
Interpretando la salida
Filtros
Introducción
Tcpdump (y su port a Windows, Windump) son programas cuya utilidad principal es analizar el tráfico que
circula por la red. Se apoya en la librería de captura pcap, la cual presenta una interfaz uniforme y que
esconde las peculiaridades de cada sistema operativo a la horade capturar tramas de red. Para seguir el
manual es necesario unos conocimientos basicos del protocolo TCP/IP, remitiéndome al TCP/IP Illustrated,
Volumen 1 de Stevens, para quien esté interesado.
Aunque viene incluido con la mayoría de las distribuciones de Linux, sus fuentes pueden encontrarse en
www.tcpdump.org
El port completo para Windows, tanto de las librerias como del tcpdump puedeencontrarse en la web de la
Politécnica de Torino. Es un simple binario, que necesita tener instalado el port de las pcap para windows
para funcionar.
Uso básico
Lo primero que debemos averiguar cuando estamos usando el tcpdump, es las interfaces que queremos
escuchar. Por defecto cuando se ejecuta sin parámetros, en los Linux se pone a escuchar en la eth0,
mientras que en Windows hay queespecificarla la interfaz donde quiere escuchar.
Para averiguar la interfaces en cualquier Unix recurrimos al comando ifconfig a el cual nos da una lista de las interfaces que tenemos, así como sus parametros de configuración.
[terron@ux02 ~]$ /sbin/ifconfig -a
eth0
Link encap:Ethernet HWaddr addr
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:646760 errors:0 dropped:0 overruns:0frame:0
TX packets:449673 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:5 Base address:0x2c20
eth1
Link encap:Ethernet HWaddr addr
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1321583 errors:0 dropped:0 overruns:0 frame:0
TX packets:1778135 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:9 Base address:0x3000lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
http://www.arrakis.es/~terron/tcpdump.html (1 de 9) [31/01/2008 11:04:17]
Pequeño tutorial de Windump / Tcpdump
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:39747 errors:0 dropped:0 overruns:0 frame:0
TX packets:39747 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
[terron@ux02 ~]$
(en elejemplo anterior estan borradas las direcciones ip)
En el caso de Windows, podemos recurrir al propio windump, para que nos liste las interfaces que
tenemos. Para ello ejecutamos un Windump -D
y nos dara la información que
buscamos:
C:\Documents and Settings\terron\download>windump -D
1.\Device\Packet_NdisWanIp (NdisWan Adapter)
2.\Device\Packet_{8435447C-6020-481F-A720-44D940909166} (Intel8255x-based Integ
rated Fast Ethernet)
Usando los datos del ejemplo anterior, en el Linux si queremos escuchar en la interfaz eth0, usaremos
tcpdump -i eth0
, mientras que en el caso de Windows si
queremos escuchar en la ethernet usaremos windump -i
\Device\Packet_{8435447C6020-481F-A720.
44D940909166}
Cuando estamos leyendo la red, puede que no nos interese que el tcpdump intente resolverlos nombres de
las maquinas (pueden que no estin dadas de alta en el DNS, por motivos de seguridad, etc), para ello
disponemos de la opción -n.
Para establecer la longitud de los datos que captura tcpdump usamos -s len, donde len es la longitud que
nos interesa. Por defecto el tcpdump sólo captura los primeros 68 bytes, lo cual es útil si lo único que se
quiere son las cabaceras IP, TCP oUDP, pero que en caso de estar esnifando protocolos como el NFS
truncan los datos. En ese caso podemos ajustar la longitud de la captura a la MTU del medio que estamos
usando con esta opción. Por ejemplo para capturar toda la trama ethernet podemos usar -s
.
1500
En función de la cantidad de información que queramos a la hora de que el tcpdump nos interprete,
podemos usar -v,-vv,-vvv
,...
Índice
Introducción
Uso básico
Interpretando la salida
Filtros
Introducción
Tcpdump (y su port a Windows, Windump) son programas cuya utilidad principal es analizar el tráfico que
circula por la red. Se apoya en la librería de captura pcap, la cual presenta una interfaz uniforme y que
esconde las peculiaridades de cada sistema operativo a la horade capturar tramas de red. Para seguir el
manual es necesario unos conocimientos basicos del protocolo TCP/IP, remitiéndome al TCP/IP Illustrated,
Volumen 1 de Stevens, para quien esté interesado.
Aunque viene incluido con la mayoría de las distribuciones de Linux, sus fuentes pueden encontrarse en
www.tcpdump.org
El port completo para Windows, tanto de las librerias como del tcpdump puedeencontrarse en la web de la
Politécnica de Torino. Es un simple binario, que necesita tener instalado el port de las pcap para windows
para funcionar.
Uso básico
Lo primero que debemos averiguar cuando estamos usando el tcpdump, es las interfaces que queremos
escuchar. Por defecto cuando se ejecuta sin parámetros, en los Linux se pone a escuchar en la eth0,
mientras que en Windows hay queespecificarla la interfaz donde quiere escuchar.
Para averiguar la interfaces en cualquier Unix recurrimos al comando ifconfig a el cual nos da una lista de las interfaces que tenemos, así como sus parametros de configuración.
[terron@ux02 ~]$ /sbin/ifconfig -a
eth0
Link encap:Ethernet HWaddr addr
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:646760 errors:0 dropped:0 overruns:0frame:0
TX packets:449673 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:5 Base address:0x2c20
eth1
Link encap:Ethernet HWaddr addr
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1321583 errors:0 dropped:0 overruns:0 frame:0
TX packets:1778135 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:9 Base address:0x3000lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
http://www.arrakis.es/~terron/tcpdump.html (1 de 9) [31/01/2008 11:04:17]
Pequeño tutorial de Windump / Tcpdump
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:39747 errors:0 dropped:0 overruns:0 frame:0
TX packets:39747 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
[terron@ux02 ~]$
(en elejemplo anterior estan borradas las direcciones ip)
En el caso de Windows, podemos recurrir al propio windump, para que nos liste las interfaces que
tenemos. Para ello ejecutamos un Windump -D
y nos dara la información que
buscamos:
C:\Documents and Settings\terron\download>windump -D
1.\Device\Packet_NdisWanIp (NdisWan Adapter)
2.\Device\Packet_{8435447C-6020-481F-A720-44D940909166} (Intel8255x-based Integ
rated Fast Ethernet)
Usando los datos del ejemplo anterior, en el Linux si queremos escuchar en la interfaz eth0, usaremos
tcpdump -i eth0
, mientras que en el caso de Windows si
queremos escuchar en la ethernet usaremos windump -i
\Device\Packet_{8435447C6020-481F-A720.
44D940909166}
Cuando estamos leyendo la red, puede que no nos interese que el tcpdump intente resolverlos nombres de
las maquinas (pueden que no estin dadas de alta en el DNS, por motivos de seguridad, etc), para ello
disponemos de la opción -n.
Para establecer la longitud de los datos que captura tcpdump usamos -s len, donde len es la longitud que
nos interesa. Por defecto el tcpdump sólo captura los primeros 68 bytes, lo cual es útil si lo único que se
quiere son las cabaceras IP, TCP oUDP, pero que en caso de estar esnifando protocolos como el NFS
truncan los datos. En ese caso podemos ajustar la longitud de la captura a la MTU del medio que estamos
usando con esta opción. Por ejemplo para capturar toda la trama ethernet podemos usar -s
.
1500
En función de la cantidad de información que queramos a la hora de que el tcpdump nos interprete,
podemos usar -v,-vv,-vvv
,...
Leer documento completo
Regístrate para leer el documento completo.