29/01/2003, 06:54
| ||||
| ||||
| Analizando la red con TCPDump / Windump ANALIZANDO LA RED CON TCPDUMP /WINDUMP Próximos artículos: Estoy terminado de preparar un artículo sobre como probar la seguridad de nuestra red inyectando paquetes personalizados y auditando con windump/TCPDump. Artículos/Taller Primera parte Segunda parte Tercera parte Cuarta parte Quinta parte Nueva epoca: Sexta parte - Detectando sniffers en nuestra red (actualizado) - (c) Alfon. 2003 - 2008 Última edición por Alfon; 13/02/2008 a las 10:53 |
|
03/02/2003, 09:31
| ||||
| ||||
| HOLA Alfon, he estado provando y me sale una direccion IP que no entiendo, pues la direccion xxx.xxx.xxx.255 no se lo que es. C:\Scan>windump -i 5 -n port 137 windump: listening on \Device\NPF_{F47B65E6-8C39-47CE-B42C-968627496A95} 16:11:47.231279 IP 192.168.1.4.137 > 192.168.1.255.137: udp 50 16:11:47.980988 IP 192.168.1.4.137 > 192.168.1.255.137: udp 50:14:08.548188 IP 192.168.1.9.137 > 192.168.1.255.137: udp 50 16:23:50.360320 IP 192.168.1.4.137 > 192.168.1.255.137: udp 50 Me puedes decir que es....? gracias, |
|
03/02/2003, 10:21
| ||||
| ||||
| Se trata de una dirección broadcast: Por ejemplo: subred: 192.168.1.128 mascara: 255.255.255.128 broadcasting 192.168.1.255 Rango de hosts 129-254 |
|
03/02/2003, 12:27
| |||
| |||
| Sin tener mucha idea del tema... El puerto 137 es el NETBIOS Name Service, es decir, WINS. 192.168.1.4 es un host Windows con NETBIOS activado, que esta tratando de buscar los "nombres Windows" de otros hosts de su red. Esto lo hace enviando una petición a UDP/137 de broadcast, de esta forma todos los hosts con NETBIOS activado le responderan con su "nombre de Windows". Esto es así, Alfon? |
|
04/02/2003, 02:29
| ||||
| ||||
| Coño Argintxe, pues si, si tienes razón. Si alguien tiene alguna duda sobre sus trazas de Windump o TCPDump que la postee por aquí porque me parece un ejercicio muy sano. conel que se aprende mucho. |
|
04/02/2003, 18:07
| |||
| |||
| jeje, voy aprendiendo... Por cierto, recomendaría el libro "Detección de Intrusos" a quien quiera que este iniciandose en la seguridad de redes. Esta muy bien escrito, con cientos de ejemplos de trazas de TCPDUMP comentadas de las cuales se aprende bastante. Un saludo |
|
05/02/2003, 01:23
| ||||
| ||||
| Joé conel libro de marras, con lo que me aburre a mi leer libros "tesnicos".... si al final tendré que comprarlo. La verdad es que prefiero darme cabezazos con el programa que sea, me divierto y aprendo más. |
|
14/10/2003, 15:32
| |||
| |||
| Hola Alfon y bueno a todos los que han participado  Creo que la idea es magnifica sobre todo para aquellos que nos iniciamos, quiero decirte que he leido todo lo que mandaste y he empezado a incursionar en este tema y he comprendido la importancia del mismo  Ahora me salta una duda  por que veo que toda la explicacion la haces a partir de una maquina que sirve de proxy, en el caso particular que me ocupa no tengo ese escenario, sino un router por donde sale todo el mundo y quisiera monitorear lo que entra y sale (hablo de una INTRANET, claro esta) de ese router que es el gateway de la INTRANET nuestra. La opcion del proxy la he visto y estudiado pero me es imposible implementarla por el momento  , ademas la pienso hacer a traves del mismo router que tiene dos LAN.  Les agradeceria cualquier comentario al respecto, creo que todo me ayudaria a asimilar todo este mundillo. Gracias por adelantado .......  |
|
15/10/2003, 01:41
| ||||
| ||||
| Hola Aquin. Si realmente he entendido ltu duda....: Ya sabes que si la red no es conmutada, no hay mayor poblema en instalar el sniffer en cualquier punto y desde ahí capturar todos y cada unos de los paquetes que circulen por el segmento de red. Si tienes un gateway por donde salen los paquetes al exterior, aí que puedes filtrar de la manera: dst host gateway También puedes filtrar por red destino: dst net 192.168.4.0 Hay una opción precisa para indicar la existencia de un gateway o router: gateway host (host es la IP) |
|
19/05/2004, 10:42
| |||
| |||
| Accesar un PC Tengo la direccion IP de un equipo al cual quisiera poder entrar remotamente, ademas tengo la puerta de enlace, los DNS y el smtp y el POP3 como hago para poder conectarme a ese equipo y como poder bajar los correos?, poder ver sus archivos? Por favor es urgente su ayuda Gracias Última edición por LeonardoCS; 19/05/2004 a las 22:37 |
|
25/05/2004, 06:48
| ||||
| ||||
| LeonardoCS, lo que preguntas no entra en el objetivo de este articulo/taller de windump/tcpdump. Tampoco es objetivo de un foro orientado a seguridad y redes y no a intrusiones remotas a otros sistemas. Si se trata de conexiones remotas no intrusivas y si administrativas formula tu pregunta directamente al foro o usa el buscador, el cual te devolverá soluciones tipo Remote Administrator o VNC. |
|
13/03/2005, 01:11
| ||||
| ||||
| Saludos, muy interesante este articulo. No se si aún se pueda pero para quien este interesado en el Windump puede bajar la documentación y el programa desde esta url: http://www.tcpdump.org/ |
|
04/06/2006, 22:09
| |||
| |||
| Hola Quería agregar al artículo cómo se hace para obtener tráfico que no llega directamente a la máquina desde la que estamos haciendo el análisis. Para esto tenemos varias alternativas: * SPAN o Port Mirroring: Los switchs administrables de medianas prestaciones permiten copiar el tráfico de uno o más puertos en otro designado para monitoreo. * Ethernet Tap, un ethertap es un dispositivo físico que copia las señales que pasan por él a un puerto TAP "Test Access Port". Como son dispositivos dedicados no generan carga sobre los switchs ni degradan las comunicaciones (existen formas de construir un TAP casero fácilmente). * Instalar un hub entre los segmentos que queremos escuchar. Como los hubs retransmiten las señales que llegan a un puerto a todos los demás puertos, conectando los segmentos de interés y la máquina desde la que hacemos el análisis, seremos capaces ver el tráfico entre dichos segmentos; pero se degradan las comunicaciones debido a que los hubs producen colisiones. A quien le interese, lo invito a visitar mi blog, en el cual hay un artículo acerca de este tema. Saludos |
|
02/07/2006, 20:54
| |||
| |||
| Saludos, me parece excelente tu tutorial sobre tcpdump, quisiera hacerte una pregunta mas alla... estoy cursando una materia llamada redes 2 en la universidad y me mandaron un proyecto utiliando las librerias pcap (lo mismo que tcpdump), resulta que una de las consultas que el usuario debe hacer es dado 2 direcciones IP hay que decir cuales servicios estan usando (telnet, ftp, ssh, etc.), bueno mi pregunta es con pcap como puedo revisar el contenido de los paquetes atrapados, es decir para poder ver que servicios estan usando. de antemano muchas gracias. Ricardo.- |
|
28/10/2006, 13:24
| ||||
| ||||
| Si, claro. Un poco tedioso pero en el contenido de los paquetes tienes toda la información. Tengo medio preparado un tutorial sobre como descifrar las trazas de sniffers. |
|
16/05/2007, 23:28
| ||||
| ||||
| Re: Analizando la red con TCPDump / Windump Hola a todos, muy bueno el articulo Alfon, les recomiendo utilizar algunas distribuciones Live de Linux especializadas en el tema, incluyen varios soft's especializados en seguridad y auditoria de redes y la amayoria son live (no necesitan instalarse, corren desde el cd/dvd booteable) e incluyen sniffers con varias funcionalidades interesantes para probar e investigar. SecureDVD es un dvd con varias distribuciones live de seguridad y auditoria. Saludos! |
|
13/02/2008, 10:55
| ||||
| ||||
| Re: Analizando la red con TCPDump / Windump De nuevo por aquí con nuevos contenidos. |
Este tema le ha gustado a 4 personas (incluyéndote) 
