Foros del Web » Administración de Sistemas » Seguridad y redes »

Analizando la red con TCPDump ( Parte II )

Estas en el tema de Analizando la red con TCPDump ( Parte II ) en el foro de Seguridad y redes en Foros del Web. Esta es la segunda parte del hilo sobre: Analizando la red con TCPDump / Windump que se encuentra en: Hilo de la primera parte. Ya ...
  #1 (permalink)  
Antiguo 23/01/2003, 12:00
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Analizando la red con TCPDump ( Parte II )

Esta es la segunda parte del hilo sobre: Analizando la red con TCPDump
/ Windump
que se encuentra en:

Hilo de la primera parte.

Ya comenté que Windump / TCPDump tiene filtros para su mejor manejo. Estos filtros pueden llegar a ser tan sofisticado como queramos y extrar cualquier tipo de datos de los apquetes que circulen a través de nuestra red.

Como la mejor manera de explicar el funcionamiento de los filtros es la practica, vamos a analizar una combinación y encadenamiento de filtros coun un ejemplo:

Tenemos el servidor de correos un tanto colapsado, este servidor no aguanta demasiadas conexiones, o el tráfico es mayor de lo previsto. Analicemos entonces que es lo que pasa. Vamos a crear un filtro para averiguar las conexionesal puerto 110 de nuestro servidor.

Código:
C:\scan>windump -qn -X -s 0 tcp[13] = 2 and port 110
Aquí vemos algunas opciones ya comentadas y otras nuevas:

–q estableceremos el indicador de salida rápida que hará que nos devuelva menos información y que las líneas sean más cortas.

Esto es así porque en realidad sólo nos interesa los host/IP y las amrcas de tiempo, ya que como veremos más adelante estamos filtrando establecimientos de conexión TCP al puerto 110.

-n no resolver nombres de host

-X vuelca en la consola los datos.

- s 0 es el snaplen. A cero estamos cogiendo los paquetes completos. Si hubiéramos puesto -s 512 se capturarían sólo los primeros 512 bytes del paquete tcp.

tcp[13] = 2 esta es la madre del cordero. con este filtro estamos diciendo a windump que queremos escoger los paquetes TCP cuyo indiccador, bandera o flag sea SYN "S". Para entender esto hay que tener en cuenta como es el formato de un paquete TCP, que los indicadores o flags se encuentran en el octeto 13.
Vamos a echarle un ojo a ese octeto 13 y simulemos que el flag SYN está activo:

U A P R S F
------------------
0 0 0 0 0 0 1 0
------------------
7 6 5 4 3 2 1 0

vemos que el byte 7 y 6 estánm reservados., el 5 es para URGENT, 4 es para ACK, 3 es para PUSH, 2 es para RESET y el byte o para FIN. Tenemos entonces el octeto completo. En binario quedaría como acabamos de ver:

0 0 0 0 0 0 1 0

si pasamos este binario a decimal nos da 2

de ahí viene tcp[13] = 2.

Es facil deducir entonces que para detectar un SYN/ACK:

0 0 0 1 0 0 1 0

si pasamos este binario a decimal nos da 18

entonces tcp[13] = 18

Seguimos con el resto de opciones....

and port 110 esto es que unido a lo anterior analice el puerto 110.

Podriamos añadir que lo hiciera sólo para un dterminado host:

and port 110 and host ALFON.

Usando esta técnica, con windump o tcpdump odríamos detectar escaneos y otras intrusiones en nuestros sistemas.

Siguiendo con el ejemplo práctico y quitando la opción -X que ahora es irelevante:


C:\scan>windump -qn -s 0 tcp[13] = 2 and port 110
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
19:11:20.914698 192.168.2.71.1117 > 192.168.4.15.110: tcp 0 (DF)
19:11:22.442635 192.168.4.10.3531 > 192.168.4.15.110: tcp 0 (DF)
19:11:29.321747 192.168.2.90.2310 > 192.168.4.15.110: tcp 0 (DF)
19:11:29.350083 192.168.4.9.1392 > 192.168.4.15.110: tcp 0 (DF)
19:11:30.167786 192.168.2.9.1118 > 192.168.4.15.110: tcp 0 (DF)
19:11:40.848757 192.168.2.90.2311 > 192.168.4.15.110: tcp 0 (DF)
19:11:47.603914 192.168.2.70.1400 > 192.168.4.15.110: tcp 0 (DF)
19:11:48.692990 192.168.4.2.2349 > 192.168.4.15.110: tcp 0 (DF)
19:11:48.946846 192.168.4.2.2350 > 192.168.4.15.110: tcp 0 (DF)
19:11:49.167414 192.168.4.2.2351 > 192.168.4.15.110: tcp 0 (DF)
19:11:53.689934 192.168.4.11.2360 > 192.168.4.15.110: tcp 0 (DF)
19:12:21.576147 192.168.2.71.1118 > 192.168.4.15.110: tcp 0 (DF)
19:12:22.885469 192.168.4.10.3532 > 192.168.4.15.110: tcp 0 (DF)
19:12:29.776688 192.168.2.90.2312 > 192.168.4.15.110: tcp 0 (DF)
19:12:29.799274 192.168.4.9.1393 > 192.168.4.15.110: tcp 0 (DF)
19:12:41.142773 192.168.2.90.2313 > 192.168.4.15.110: tcp 0 (DF)
19:12:42.594882 192.168.4.2.2352 > 192.168.4.15.110: tcp 0 (DF)
19:12:42.828622 192.168.4.2.2353 > 192.168.4.15.110: tcp 0 (DF)
19:12:43.060723 192.168.4.2.2354 > 192.168.4.15.110: tcp 0 (DF)
19:12:47.896352 192.168.2.70.1401 > 192.168.4.15.110: tcp 0 (DF)

faltan muchas trazas pero podemos ver en s´lo unas pocas que algunos tenian sus clientes de correo configurado para "mirar" el correo cad minuto. En la realidad fueron casi todos, con lo cual tenían el servidor bastante atareadillo.

ETHEREAL:

Como nota final decir, para los que me comentan por mail, que el ethereal es mejor en algunos aspectos por ser gráfico y más intuitivo, que tanto Etheral como TCPDUMP y WINDUMP se basan en la misma librería de captura de paquetes y por tanto para filtrara usan la MISMA sintaxis. Es decir, todo esto que os escribo es válido también para Etheral.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com

Última edición por Alfon; 23/01/2003 a las 12:17
  #2 (permalink)  
Antiguo 23/01/2003, 13:07
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
NETXRAY

Ante todo gracias por documentarnos, debo decirte que he utilizado el WINDUMP y el único problema que le veo es la lentitud en la captura de tramas, el tcpdump bajo otros sistemas como LINUX o SunOS marcan la diferencia... Pero mi pregunta no va por aqui, hace algun tiempo que bajo sistemas Windows, exactamente NT utilizaba herramientas de control de Tráfico como NetXray, he visto que para nuevas versiones de WINDOWS la casa no ha sacado nada ya que esta ha sido absorvida... No sabrás de alguna aplicación que permita tener un contro de RED en tiempo Real como el que proporcionaba NetXray ????

Gracias.
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #3 (permalink)  
Antiguo 27/01/2003, 01:54
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Hola Necros,

Yo siempre uso, fíjate que casualidad, windump por el tema de la velocidad, si me da igual la velocidad igual uso Ethereal. Pero en cualquier caso siempre uso windump / tcpdump casi siempre.

La velocidad ya sabes quedepende de muchos factores, pero también del nivelde profundidad de filtrado que realices para que "sacar" sólo los datosque necesites. De todas foremas en mi red si sólo pongo C:\windump sin opción alguna la velocidad es más que aceptable para decir que estoy analizando en tiempo real. el problema es quue el análisi exaustivo de los datos reprotados lo tengo que hacer yo solito así como las estadíticas. Esto no ocurre con NextRay que te lo da casi todo hecho, pero bueno así se aprende más y mejor no crees ?.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #4 (permalink)  
Antiguo 27/01/2003, 08:05
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
No sabrás de alguna aplicación que de el mismo rendimiento que NetXray para Windows 2000 o XP ???

thanks
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #5 (permalink)  
Antiguo 27/01/2003, 10:21
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Pues la verdad es que no. Si encuentras algo coméntalo por aquí.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #6 (permalink)  
Antiguo 27/01/2003, 14:08
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
Lo que estoy buscando ahora es una bateria de ataques para probar el FireWall, no sabrás donde puedo conseguir uno ????

thanks advance.
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #7 (permalink)  
Antiguo 27/01/2003, 22:02
 
Fecha de Ingreso: septiembre-2001
Mensajes: 552
Antigüedad: 23 años, 2 meses
Puntos: 0
Que tal Alfon:

He seguido como expectador el hilo de tus dos mensajes ;)

Vamos muy bién, me gustaría comentar, para los lectores que gustan por consultar referencias adicionales, dosexcelentes libros:

TCP Illustrated Volumen I de Richard Stevens
Network Intrusion Detection de Stephen Northcutt

En ellos, se utiliza TCPDump como herramienta de apoyo, y en verdad para aprender el funcionamiendo de TCP es muy didáctico verlo en acción ;) se aclaran muchas dudas, conceptos, ideas.

Saludos,
  #8 (permalink)  
Antiguo 28/01/2003, 02:08
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Hola raac,

TCP Illustrated Volumen I es lo mejor que he visto para aprender TCP/IP. altamente recomendado. Yo tengo una versión en ingles en formato de ayuda de windows o algo así. Sobre el otro libro he visto muy buenas referencias.

Esto de tcpdump lo hago a parte análisis de los datos de red, etc, etc, etc también para aprender.

Con tcpdump puedes analizar, detectar, buscar cualquier dato de una cabecera ip, tcp, udp.... o en los bytes de datos con solo especificar el protocolo, posición del campo y el dato que necesites, con lo cual necesitas tener muy claro los conceptos de TCP/IP formato de las cabeceras, etc, etc. Para aprender es del lo mejor.

Si sabes usar los filtros de TCPdump no tendrás entonces problemas para usar Ethereal o Snort por poner sólo dos ejemplos.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #9 (permalink)  
Antiguo 28/01/2003, 06:08
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
Si que he visto el libro que comentais, aunque en mi caso
los libros que me han servido de soporte didáctico han sido :
TCP/IP Comer I / II / III Aunque el III es más para intentar crear alguna aplicación basada en TCP/IP, y aconsejo que se controle en C ;)


Para el TCP DUMP el Deteccion de intrusos la 2ª edición ...

Todos de la Prentice Hall ...


Byez
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #10 (permalink)  
Antiguo 19/03/2005, 10:45
 
Fecha de Ingreso: marzo-2005
Mensajes: 1
Antigüedad: 19 años, 8 meses
Puntos: 0
De donde lo bajo y como lo instalo TCPDUMP /WINDUMP para windows

Holas a todos.

Me podrian decir donde bajo el TCPDUMP /WINDUMP
para windows y como lo puedo instalar.

Gracias

Saludos
  #11 (permalink)  
Antiguo 18/11/2005, 22:25
 
Fecha de Ingreso: julio-2005
Mensajes: 2
Antigüedad: 19 años, 4 meses
Puntos: 0
Descargar de Windump

Oye man yo tengo el windump si lo deseas lo deskargue pero no te mentire no enkuentro la pagina de donde descargo. por kualkier kosa me avisas
  #12 (permalink)  
Antiguo 19/11/2005, 03:07
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
Te aconsejo que utilizes herramientas como ethereal, te será mas amigable de forma visual.
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 06:38.