Analizando la red con TCPDump ( Parte II )

Alfon · #1 (**permalink**) 23/01/2003, 12:00

Esta es la segunda parte del hilo sobre: Analizando la red con TCPDump
/ Windump que se encuentra en:

Hilo de la primera parte.

Ya comenté que Windump / TCPDump tiene filtros para su mejor manejo. Estos filtros pueden llegar a ser tan sofisticado como queramos y extrar cualquier tipo de datos de los apquetes que circulen a través de nuestra red.

Como la mejor manera de explicar el funcionamiento de los filtros es la practica, vamos a analizar una combinación y encadenamiento de filtros coun un ejemplo:

Tenemos el servidor de correos un tanto colapsado, este servidor no aguanta demasiadas conexiones, o el tráfico es mayor de lo previsto. Analicemos entonces que es lo que pasa. Vamos a crear un filtro para averiguar las conexionesal puerto 110 de nuestro servidor.

Código:

C:\scan>windump -qn -X -s 0 tcp[13] = 2 and port 110

Aquí vemos algunas opciones ya comentadas y otras nuevas:

–q estableceremos el indicador de salida rápida que hará que nos devuelva menos información y que las líneas sean más cortas.

Esto es así porque en realidad sólo nos interesa los host/IP y las amrcas de tiempo, ya que como veremos más adelante estamos filtrando establecimientos de conexión TCP al puerto 110.

-n no resolver nombres de host

-X vuelca en la consola los datos.

- s 0 es el snaplen. A cero estamos cogiendo los paquetes completos. Si hubiéramos puesto -s 512 se capturarían sólo los primeros 512 bytes del paquete tcp.

tcp[13] = 2 esta es la madre del cordero. con este filtro estamos diciendo a windump que queremos escoger los paquetes TCP cuyo indiccador, bandera o flag sea SYN "S". Para entender esto hay que tener en cuenta como es el formato de un paquete TCP, que los indicadores o flags se encuentran en el octeto 13.
Vamos a echarle un ojo a ese octeto 13 y simulemos que el flag SYN está activo:

U A P R S F
------------------
0 0 0 0 0 0 1 0
------------------
7 6 5 4 3 2 1 0

vemos que el byte 7 y 6 estánm reservados., el 5 es para URGENT, 4 es para ACK, 3 es para PUSH, 2 es para RESET y el byte o para FIN. Tenemos entonces el octeto completo. En binario quedaría como acabamos de ver:

0 0 0 0 0 0 1 0

si pasamos este binario a decimal nos da 2

de ahí viene tcp[13] = 2.

Es facil deducir entonces que para detectar un SYN/ACK:

0 0 0 1 0 0 1 0

si pasamos este binario a decimal nos da 18

entonces tcp[13] = 18

Seguimos con el resto de opciones....

and port 110 esto es que unido a lo anterior analice el puerto 110.

Podriamos añadir que lo hiciera sólo para un dterminado host:

and port 110 and host ALFON.

Usando esta técnica, con windump o tcpdump odríamos detectar escaneos y otras intrusiones en nuestros sistemas.

Siguiendo con el ejemplo práctico y quitando la opción -X que ahora es irelevante:

C:\scan>windump -qn -s 0 tcp[13] = 2 and port 110
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
19:11:20.914698 192.168.2.71.1117 > 192.168.4.15.110: tcp 0 (DF)
19:11:22.442635 192.168.4.10.3531 > 192.168.4.15.110: tcp 0 (DF)
19:11:29.321747 192.168.2.90.2310 > 192.168.4.15.110: tcp 0 (DF)
19:11:29.350083 192.168.4.9.1392 > 192.168.4.15.110: tcp 0 (DF)
19:11:30.167786 192.168.2.9.1118 > 192.168.4.15.110: tcp 0 (DF)
19:11:40.848757 192.168.2.90.2311 > 192.168.4.15.110: tcp 0 (DF)
19:11:47.603914 192.168.2.70.1400 > 192.168.4.15.110: tcp 0 (DF)
19:11:48.692990 192.168.4.2.2349 > 192.168.4.15.110: tcp 0 (DF)
19:11:48.946846 192.168.4.2.2350 > 192.168.4.15.110: tcp 0 (DF)
19:11:49.167414 192.168.4.2.2351 > 192.168.4.15.110: tcp 0 (DF)
19:11:53.689934 192.168.4.11.2360 > 192.168.4.15.110: tcp 0 (DF)
19:12:21.576147 192.168.2.71.1118 > 192.168.4.15.110: tcp 0 (DF)
19:12:22.885469 192.168.4.10.3532 > 192.168.4.15.110: tcp 0 (DF)
19:12:29.776688 192.168.2.90.2312 > 192.168.4.15.110: tcp 0 (DF)
19:12:29.799274 192.168.4.9.1393 > 192.168.4.15.110: tcp 0 (DF)
19:12:41.142773 192.168.2.90.2313 > 192.168.4.15.110: tcp 0 (DF)
19:12:42.594882 192.168.4.2.2352 > 192.168.4.15.110: tcp 0 (DF)
19:12:42.828622 192.168.4.2.2353 > 192.168.4.15.110: tcp 0 (DF)
19:12:43.060723 192.168.4.2.2354 > 192.168.4.15.110: tcp 0 (DF)
19:12:47.896352 192.168.2.70.1401 > 192.168.4.15.110: tcp 0 (DF)

faltan muchas trazas pero podemos ver en s´lo unas pocas que algunos tenian sus clientes de correo configurado para "mirar" el correo cad minuto. En la realidad fueron casi todos, con lo cual tenían el servidor bastante atareadillo.

ETHEREAL:

Como nota final decir, para los que me comentan por mail, que el ethereal es mejor en algunos aspectos por ser gráfico y más intuitivo, que tanto Etheral como TCPDUMP y WINDUMP se basan en la misma librería de captura de paquetes y por tanto para filtrara usan la MISMA sintaxis. Es decir, todo esto que os escribo es válido también para Etheral.

Necros · #2 (**permalink**) 23/01/2003, 13:07

Ante todo gracias por documentarnos, debo decirte que he utilizado el WINDUMP y el único problema que le veo es la lentitud en la captura de tramas, el tcpdump bajo otros sistemas como LINUX o SunOS marcan la diferencia... Pero mi pregunta no va por aqui, hace algun tiempo que bajo sistemas Windows, exactamente NT utilizaba herramientas de control de Tráfico como NetXray, he visto que para nuevas versiones de WINDOWS la casa no ha sacado nada ya que esta ha sido absorvida... No sabrás de alguna aplicación que permita tener un contro de RED en tiempo Real como el que proporcionaba NetXray ????

Gracias.

Alfon · #3 (**permalink**) 27/01/2003, 01:54

Hola Necros,

Yo siempre uso, fíjate que casualidad, windump por el tema de la velocidad, si me da igual la velocidad igual uso Ethereal. Pero en cualquier caso siempre uso windump / tcpdump casi siempre.

La velocidad ya sabes quedepende de muchos factores, pero también del nivelde profundidad de filtrado que realices para que "sacar" sólo los datosque necesites. De todas foremas en mi red si sólo pongo C:\windump sin opción alguna la velocidad es más que aceptable para decir que estoy analizando en tiempo real. el problema es quue el análisi exaustivo de los datos reprotados lo tengo que hacer yo solito así como las estadíticas. Esto no ocurre con NextRay que te lo da casi todo hecho, pero bueno así se aprende más y mejor no crees ?.

Necros · #4 (**permalink**) 27/01/2003, 08:05

No sabrás de alguna aplicación que de el mismo rendimiento que NetXray para Windows 2000 o XP ???

thanks

Alfon · #5 (**permalink**) 27/01/2003, 10:21

Pues la verdad es que no. Si encuentras algo coméntalo por aquí.

Necros · #6 (**permalink**) 27/01/2003, 14:08

Lo que estoy buscando ahora es una bateria de ataques para probar el FireWall, no sabrás donde puedo conseguir uno ????

thanks advance.

raac · #7 (**permalink**) 27/01/2003, 22:02

Que tal Alfon:

He seguido como expectador el hilo de tus dos mensajes ;)

Vamos muy bién, me gustaría comentar, para los lectores que gustan por consultar referencias adicionales, dosexcelentes libros:

TCP Illustrated Volumen I de Richard Stevens
Network Intrusion Detection de Stephen Northcutt

En ellos, se utiliza TCPDump como herramienta de apoyo, y en verdad para aprender el funcionamiendo de TCP es muy didáctico verlo en acción ;) se aclaran muchas dudas, conceptos, ideas.

Saludos,

Alfon · #8 (**permalink**) 28/01/2003, 02:08

Hola raac,

TCP Illustrated Volumen I es lo mejor que he visto para aprender TCP/IP. altamente recomendado. Yo tengo una versión en ingles en formato de ayuda de windows o algo así. Sobre el otro libro he visto muy buenas referencias.

Esto de tcpdump lo hago a parte análisis de los datos de red, etc, etc, etc también para aprender.

Con tcpdump puedes analizar, detectar, buscar cualquier dato de una cabecera ip, tcp, udp.... o en los bytes de datos con solo especificar el protocolo, posición del campo y el dato que necesites, con lo cual necesitas tener muy claro los conceptos de TCP/IP formato de las cabeceras, etc, etc. Para aprender es del lo mejor.

Si sabes usar los filtros de TCPdump no tendrás entonces problemas para usar Ethereal o Snort por poner sólo dos ejemplos.

Necros · #9 (**permalink**) 28/01/2003, 06:08

Si que he visto el libro que comentais, aunque en mi caso
los libros que me han servido de soporte didáctico han sido :
TCP/IP Comer I / II / III Aunque el III es más para intentar crear alguna aplicación basada en TCP/IP, y aconsejo que se controle en C ;)

Para el TCP DUMP el Deteccion de intrusos la 2ª edición ...

Todos de la Prentice Hall ...

Byez

samt · #10 (**permalink**) 19/03/2005, 10:45

Holas a todos.

Me podrian decir donde bajo el TCPDUMP /WINDUMP
para windows y como lo puedo instalar.

Gracias

Saludos

G3rl0 · #11 (**permalink**) 18/11/2005, 22:25

Oye man yo tengo el windump si lo deseas lo deskargue pero no te mentire no enkuentro la pagina de donde descargo. por kualkier kosa me avisas

Necros · #12 (**permalink**) 19/11/2005, 03:07

Te aconsejo que utilizes herramientas como ethereal, te será mas amigable de forma visual.