Revisar información obtenida con Ethereal

Sir Matrix · #1 (**permalink**) 12/06/2003, 11:48

hola,

Cómo puedo saber qué sitios web visitaron los usuarios con la info que me da el ethereal?

La información he visto que está, pero no se como buscarla u ordenarla...

Saludos y gracias de antemano

Alfon · #2 (**permalink**) 12/06/2003, 12:10

para eso están los filtros. Filtra por protocolo o protocolo/puerto. De cualquier forma Etheral usa la misma libreria que TCPDump... y tienes un manual de TCPDUMP aquie en este mismo foro.

Si tus usuarios navegan a través del proxy, el mismo proxy genera unos logs. si quieres filtrar mediante Ethereal haclo a través del puerto del proxy usado para http.

Ethereal genera gran cantidad de información, así que mejor filtra antes.

Además de los filtro que te comentos, para averiguar que página visitan tendrás que usar la opción -X para ver los datos y un snaplen de longitud adecuada, prueba con -s 1025 y podrás hasta tener una copia de la página entera.

Un ejemplo.

Código:

C:\scan>windump -qnt -X -s 1025 host 192.168.4.15 and port 8080
windump: listening on \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
IP 192.168.4.3.6279 > 192.168.4.15.8080: tcp 0 (DF)
0x0000   4500 0028 d746 4000 8006 0000 c0a8 0403        E..(.F@.........
0x0010   c0a8 040f 1887 1f90 a994 7a99 e6ae f79d        ..........z.....
0x0020   5011 fa4b 897d 0000                            P..K.}..
IP 192.168.4.15.8080 > 192.168.4.3.6279: tcp 0
0x0000   4500 0028 524b 0000 8006 5f22 c0a8 040f        E..(RK...._"....
0x0010   c0a8 0403 1f90 1887 e6ae f79d a994 7a9a        ..............z.
0x0020   5010 4223 a9bb 0000 0000 0000 0000             P.B#..........
IP 192.168.4.3.6280 > 192.168.4.15.8080: tcp 0 (DF)
0x0000   4500 0030 d749 4000 8006 0000 c0a8 0403        E..0.I@.........
0x0010   c0a8 040f 1888 1f90 a9d8 e29a 0000 0000        ................
0x0020   7002 faf0 3a40 0000 0204 05b4 0101 0402        p...:@..........
IP 192.168.4.15.8080 > 192.168.4.3.6280: tcp 0
0x0000   4500 0030 524c 0000 8006 5f19 c0a8 040f        E..0RL...._.....
0x0010   c0a8 0403 1f90 1888 e6fb 6932 a9d8 e29b        ..........i2....
0x0020   7012 4470 a081 0000 0204 05b4 0101 0402        p.Dp............
IP 192.168.4.3.6280 > 192.168.4.15.8080: tcp 0 (DF)
0x0000   4500 0028 d74a 4000 8006 0000 c0a8 0403        E..(.J@.........
0x0010   c0a8 040f 1888 1f90 a9d8 e29b e6fb 6933        ..............i3
0x0020   5010 faf0 897d 0000                            P....}..
IP 192.168.4.3.6280 > 192.168.4.15.8080: tcp 816 (DF)
0x0000   4500 0358 d74b 4000 8006 0000 c0a8 0403        E..X.K@.........
0x0010   c0a8 040f 1888 1f90 a9d8 e29b e6fb 6933        ..............i3
0x0020   5018 faf0 8cad 0000 4745 5420 6874 7470        P.......GET.http
0x0030   3a2f 2f77 7777 2e73 6f66 746f 6e69 632e        ://www.softonic.
0x0040   636f 6d2f 666f 7275 6d73 2f6c 6973 742e        com/forums/list.
0x0050   7068 703f 663d 3520 4854 5450 2f31 2e31        php?f=5.HTTP/1.1
0x0060   0d0a 486f 7374 3a20 7777 772e 736f 6674        ..Host:.www.soft
0x0070   6f6e 6963 2e63 6f6d 0d0a 5573 6572 2d41        onic.com..User-A
0x0080   6765 6e74 3a20 4d6f 7a69 6c6c 612f 352e        gent:.Mozilla/5.
0x0090   3020 2857 696e 646f 7773 3b20 553b 2057        0.(Windows;.U;.W
0x00a0   696e 646f 7773 204e 5420 352e 303b 2065        indows.NT.5.0;.e
0x00b0   6e2d 5553 3b20 7276 3a31 2e34 6129 2047        n-US;.rv:1.4a).G

El filtro es igual para ethereal. porsu puesto vuelca la inforamción en un archivo.

Sir Matrix · #3 (**permalink**) 12/06/2003, 14:21

Gracias Alfon, pero no se como traducir el ejemplo que me comentas en el Ethereal. Copio lo que me dices donde va el "Filter" y me dice que está mal formado el texto.

Me bajé el windump y ahí me funciona bien y he podido hacer algo, pero no se como guardar la información. Dónde se guarda el texto generado por windump? como le digo que cree un archivo txt por ejemplo??

Saludos y gracias

Slayer_X · #4 (**permalink**) 13/06/2003, 01:31

Sir Matrix:

Aqui esta explicado con dibujitos ;)

http://www.ethereal.com/docs/user-guide/x1858.html

just RTFM xD

Alfon · #5 (**permalink**) 13/06/2003, 01:35

En ethereal:

Donde dice Filter:
host 192.168.x.x and port 8080

( el host es el proxy y 8080 el puerto del proxy para http ) tu pon los datos relativos a tu red.

Donde dice: Limit each packet to:
lo activas y pones 1024, aunque puedes probar con el valor por defecto

En donde pone File guardas los resultados en un archivo.

En windump puedes guardar la información con la opción: -w, po rejemplo:

windump -qnt -w captura.txt -X -s 1025 host 192.168.4.15 and port 8080

el archivo captura puedes abrirlo más tarde y filtrarlo con windump cpn la opción -F por ejemplo:

windump -F captura.txt

y añadir los filtros quequieras.

Este mismo archiivo ( captura.txt ) puedes abrirlo directamente con Etheral:
File > open y añadir en Filer los filtrosque quieras.

Necros · #6 (**permalink**) 13/06/2003, 04:22

Hombre si te gusta una aplicacion más Gui, yo he quedado sorprendido con Anasil para Win, el tema del traceo de Webs visitadas por usuario se lo han currado bastante.

Sir Matrix · #7 (**permalink**) 13/06/2003, 08:19

Muchas gracias, me han funcionado los códigos de Alfon y ya voy entendiendo un poco más.

Pero ahora estoy viendo que quizás no me sirve esto para saber qué sitios navegan los usuarios, ya que los pc salen a Internet sin proxy, sólo tienen configurada la puerta de enlace (que es el equipo adsl) y los DNS en la configuracion tcp/ip...

Cuando corro el ethereal o el windump sólo recibo información de visitas de sitios web de MI PC, no de los demás que estan en la red...

Puede obtenerse la información de los otros PC corriendo el ethereal o windump de mi PC?? Mi red está solo con protocolo TCP/IP.

Saludos y muchas gracias nuevamente, ojalá me puedan ayudar con esto último

pd: voy a probar el Anasil , será freeware??

Alfon · #8 (**permalink**) 16/06/2003, 03:20

En los filtros establece cual es el gateway, osea, que introduzca la IP del gateway como se del proxy de tratara. Los paquetes tinene esa información en la cabecera.

Sir Matrix · #9 (**permalink**) 17/06/2003, 08:43

Muchas gracias Alfon, pero el ethereal sólo captura el protocolo ARP del host 192.168.10.254 (puerta de enlace) y de las màquinas que acceden a Internet. No captura los paquetes TCP/IP y por lo tanto no se puede saber qué sitios visitaban los usuarios.

Pienso que como se usa un switch, sólo captura los ARP ya que son brodcast, al momento de empezar la comunicación TCP/IP los paquetes no pasarían por el host donde tengo el ETHEREAL.

Es esto cierto?, hay algun modo de capturar esta información??
Muchas gracias

Alfon · #10 (**permalink**) 17/06/2003, 09:14

Muy cierto lo que dices. Puedes entonces hacer uso de técnicas un poco más sofisticadas como son el olfateo de redes conmutadas. Lo mejor es usar algún programa que utilice dichas técnicas como Ettercap. Este software funciona en plataformas win32 y Lnux.

La primera tarea que realiza ettercap es un ARP Discovery, que es un metodo para encontrar que máquinas se encuentran en tu segmento de red. con la opción --netmask xxx.xxx.xxx.xxx , puedes desgnar una máscara de red. Por ejemplo:

Código:

ettercap --netmask 255.255.0.0

aunque puede tardar un buen rato en averiguar que máquinas se encuentran en dicha "máscara".

Merdianta la técnica de ARP Poisoning, se puede olfatear un ambiente switcheado como el que tu comentas, para lo cual tendrás que presionar la tecla a cuando ettercap termine xcon el test ARP y aparezca la pantalla principal del programa.

Código:

C:\Archivos de programa\ettercap>ettercap --netmask 255.255.0.0

ettercap 0.6.a (c) 2002 ALoR & NaGA

List of available devices :

  --> [dev0] - [3Com EtherLink PCI]
  --> [dev1] - [NdisWan Adapter]


Please select one of the above, which one ? [0]:
Your IP: 192.168.4.3 with MAC: 00:04:76:F2:C9:5F on Iface: dev0

Loading plugins... Done.
Building host list for netmask 255.255.0.0, please wait...

Sending 65535 ARP request...

* |==================================================>| 100.00 %

Resolving 66 hostnames...

- |=========================================>         |  81.82 %

De cualquier forma, también puedes seguir usando Windump filtrando por host cliente según el tipo de petición que realice al gateway. El problema radica entonces en que serán muchas máquinas, pero bueno se puede aproximar un poco a que tipo de URLs acceden tus clientes.

Todas las máquinas que esté un una misma subred pueden auditarse con windump. sólo tendrás que filtrar por host destino, es decir, el host que hace de gateway:

Código:

dst host gateway and proto TCP

En fin, como todo, es cuestión de practicar un poco.

Si te urge mucho el auditar el tráfico entoncestendrá que ir pensando en eliminar el gateway de acceso al router e implantar un sistema proxy que es mucho mejro para el control de los accesos de la red al exterior.

Sir Matrix · #11 (**permalink**) 24/06/2003, 11:18

Muchas gracias Alfon

, ahora estoy tratando de instalar el Ettercap, pero está complicado el asunto. Bueno a´hí pedí ayuda en otro post .

gracias,

saludos

Alfon · #12 (**permalink**) 25/06/2003, 01:40

Ya te respondí sir. De todas forams no era tan dificil encotrar el enlace. En la pagina oficial está.... eso sí un poco escondido.