Foros del Web » Administración de Sistemas » Seguridad y redes »

Analizando la red con TCPDump / Windump

Estas en el tema de Analizando la red con TCPDump / Windump en el foro de Seguridad y redes en Foros del Web. ANALIZANDO LA RED CON TCPDUMP /WINDUMP Próximos artículos: Estoy terminado de preparar un artículo sobre como probar la seguridad de nuestra red inyectando paquetes personalizados ...
  #1 (permalink)  
Antiguo 29/01/2003, 06:54
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Analizando la red con TCPDump / Windump

ANALIZANDO LA RED CON TCPDUMP /WINDUMP


Próximos artículos:

Estoy terminado de preparar un artículo sobre como probar la seguridad de nuestra red inyectando paquetes personalizados y auditando con windump/TCPDump.

Artículos/Taller

Primera parte

Segunda parte

Tercera parte

Cuarta parte

Quinta parte

Nueva epoca:

Sexta parte

-
Detectando sniffers en nuestra red (actualizado)



-

(c) Alfon. 2003 - 2008
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com

Última edición por Alfon; 13/02/2008 a las 10:53
  #2 (permalink)  
Antiguo 03/02/2003, 09:31
Avatar de jrw
jrw
 
Fecha de Ingreso: enero-2003
Ubicación: Barcelona
Mensajes: 46
Antigüedad: 21 años, 10 meses
Puntos: 0
HOLA Alfon,
he estado provando y me sale una direccion IP que no entiendo, pues la direccion xxx.xxx.xxx.255 no se lo que es.


C:\Scan>windump -i 5 -n port 137
windump: listening on \Device\NPF_{F47B65E6-8C39-47CE-B42C-968627496A95}
16:11:47.231279 IP 192.168.1.4.137 > 192.168.1.255.137: udp 50
16:11:47.980988 IP 192.168.1.4.137 > 192.168.1.255.137: udp 50:14:08.548188 IP 192.168.1.9.137 > 192.168.1.255.137: udp 50
16:23:50.360320 IP 192.168.1.4.137 > 192.168.1.255.137: udp 50

Me puedes decir que es....?

gracias,
  #3 (permalink)  
Antiguo 03/02/2003, 10:21
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Se trata de una dirección broadcast:

Por ejemplo:

subred:
192.168.1.128

mascara:
255.255.255.128

broadcasting
192.168.1.255

Rango de hosts
129-254
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #4 (permalink)  
Antiguo 03/02/2003, 12:27
 
Fecha de Ingreso: diciembre-2002
Mensajes: 341
Antigüedad: 21 años, 11 meses
Puntos: 0
Sin tener mucha idea del tema...

El puerto 137 es el NETBIOS Name Service, es decir, WINS.

192.168.1.4 es un host Windows con NETBIOS activado, que esta tratando de buscar los "nombres Windows" de otros hosts de su red. Esto lo hace enviando una petición a UDP/137 de broadcast, de esta forma todos los hosts con NETBIOS activado le responderan con su "nombre de Windows".

Esto es así, Alfon?
__________________
guebs - alojamiento web y dominios
www.guebs.com
blog.guebs.com
  #5 (permalink)  
Antiguo 04/02/2003, 02:29
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Coño Argintxe, pues si, si tienes razón.

Si alguien tiene alguna duda sobre sus trazas de Windump o TCPDump que la postee por aquí porque me parece un ejercicio muy sano. conel que se aprende mucho.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #6 (permalink)  
Antiguo 04/02/2003, 18:07
 
Fecha de Ingreso: diciembre-2002
Mensajes: 341
Antigüedad: 21 años, 11 meses
Puntos: 0
jeje, voy aprendiendo...

Por cierto, recomendaría el libro "Detección de Intrusos" a quien quiera que este iniciandose en la seguridad de redes. Esta muy bien escrito, con cientos de ejemplos de trazas de TCPDUMP comentadas de las cuales se aprende bastante.

Un saludo
__________________
guebs - alojamiento web y dominios
www.guebs.com
blog.guebs.com
  #7 (permalink)  
Antiguo 05/02/2003, 01:23
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Joé conel libro de marras, con lo que me aburre a mi leer libros "tesnicos".... si al final tendré que comprarlo. La verdad es que prefiero darme cabezazos con el programa que sea, me divierto y aprendo más.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #8 (permalink)  
Antiguo 14/10/2003, 15:32
 
Fecha de Ingreso: enero-2002
Ubicación: Cienfuegos
Mensajes: 19
Antigüedad: 22 años, 10 meses
Puntos: 0
Hola Alfon y bueno a todos los que han participado

Creo que la idea es magnifica sobre todo para aquellos que nos iniciamos, quiero decirte que he leido todo lo que mandaste y he empezado a incursionar en este tema y he comprendido la importancia del mismo
Ahora me salta una duda por que veo que toda la explicacion la haces a partir de una maquina que sirve de proxy, en el caso particular que me ocupa no tengo ese escenario, sino un router por donde sale todo el mundo y quisiera monitorear lo que entra y sale (hablo de una INTRANET, claro esta) de ese router que es el gateway de la INTRANET nuestra. La opcion del proxy la he visto y estudiado pero me es imposible implementarla por el momento , ademas la pienso hacer a traves del mismo router que tiene dos LAN.
Les agradeceria cualquier comentario al respecto, creo que todo me ayudaria a asimilar todo este mundillo.

Gracias por adelantado .......
  #9 (permalink)  
Antiguo 15/10/2003, 01:41
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Hola Aquin.

Si realmente he entendido ltu duda....:

Ya sabes que si la red no es conmutada, no hay mayor poblema en instalar el sniffer en cualquier punto y desde ahí capturar todos y cada unos de los paquetes que circulen por el segmento de red. Si tienes un gateway por donde salen los paquetes al exterior, aí que puedes filtrar de la manera:

dst host gateway

También puedes filtrar por red destino:

dst net 192.168.4.0

Hay una opción precisa para indicar la existencia de un gateway o router:

gateway host

(host es la IP)
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #10 (permalink)  
Antiguo 19/05/2004, 10:42
 
Fecha de Ingreso: junio-2003
Ubicación: Ciudad de Bogotá
Mensajes: 3
Antigüedad: 21 años, 5 meses
Puntos: 0
Accesar un PC

Tengo la direccion IP de un equipo al cual quisiera poder entrar remotamente, ademas tengo la puerta de enlace, los DNS y el smtp y el POP3 como hago para poder conectarme a ese equipo y como poder bajar los correos?, poder ver sus archivos?


Por favor es urgente su ayuda

Gracias

Última edición por LeonardoCS; 19/05/2004 a las 22:37
  #11 (permalink)  
Antiguo 25/05/2004, 06:48
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
LeonardoCS, lo que preguntas no entra en el objetivo de este articulo/taller de windump/tcpdump. Tampoco es objetivo de un foro orientado a seguridad y redes y no a intrusiones remotas a otros sistemas. Si se trata de conexiones remotas no intrusivas y si administrativas formula tu pregunta directamente al foro o usa el buscador, el cual te devolverá soluciones tipo Remote Administrator o VNC.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #12 (permalink)  
Antiguo 13/03/2005, 01:11
Avatar de Klon22
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: México DF- La Cd + Poblad
Mensajes: 2.052
Antigüedad: 20 años, 2 meses
Puntos: 5
Saludos, muy interesante este articulo.
No se si aún se pueda pero para quien este interesado en el Windump puede bajar la documentación y el programa desde esta url:
http://www.tcpdump.org/
__________________
Hosting|
Protege a tu hijos - mira este documental Recomendado!
  #13 (permalink)  
Antiguo 04/06/2006, 22:09
 
Fecha de Ingreso: junio-2006
Mensajes: 13
Antigüedad: 18 años, 5 meses
Puntos: 0
Hola

Quería agregar al artículo cómo se hace para obtener tráfico que no llega directamente a la máquina desde la que estamos haciendo el análisis. Para esto tenemos varias alternativas:
* SPAN o Port Mirroring: Los switchs administrables de medianas prestaciones permiten copiar el tráfico de uno o más puertos en otro designado para monitoreo.
* Ethernet Tap, un ethertap es un dispositivo físico que copia las señales que pasan por él a un puerto TAP "Test Access Port". Como son dispositivos dedicados no generan carga sobre los switchs ni degradan las comunicaciones (existen formas de construir un TAP casero fácilmente).
* Instalar un hub entre los segmentos que queremos escuchar. Como los hubs retransmiten las señales que llegan a un puerto a todos los demás puertos, conectando los segmentos de interés y la máquina desde la que hacemos el análisis, seremos capaces ver el tráfico entre dichos segmentos; pero se degradan las comunicaciones debido a que los hubs producen colisiones.

A quien le interese, lo invito a visitar mi blog, en el cual hay un artículo acerca de este tema.

Saludos
  #14 (permalink)  
Antiguo 02/07/2006, 20:54
 
Fecha de Ingreso: julio-2006
Mensajes: 1
Antigüedad: 18 años, 4 meses
Puntos: 0
Saludos,
me parece excelente tu tutorial sobre tcpdump, quisiera hacerte una pregunta mas alla...
estoy cursando una materia llamada redes 2 en la universidad y me mandaron un proyecto utiliando las librerias pcap (lo mismo que tcpdump), resulta que una de las consultas que el usuario debe hacer es dado 2 direcciones IP hay que decir cuales servicios estan usando (telnet, ftp, ssh, etc.), bueno mi pregunta es con pcap como puedo revisar el contenido de los paquetes atrapados, es decir para poder ver que servicios estan usando.
de antemano muchas gracias.
Ricardo.-
  #15 (permalink)  
Antiguo 28/10/2006, 13:24
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Si, claro. Un poco tedioso pero en el contenido de los paquetes tienes toda la información. Tengo medio preparado un tutorial sobre como descifrar las trazas de sniffers.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #16 (permalink)  
Antiguo 16/05/2007, 23:28
Avatar de winslow  
Fecha de Ingreso: mayo-2007
Ubicación: Ignorante
Mensajes: 13
Antigüedad: 17 años, 6 meses
Puntos: 1
Re: Analizando la red con TCPDump / Windump

Hola a todos, muy bueno el articulo Alfon, les recomiendo utilizar algunas distribuciones Live de Linux especializadas en el tema, incluyen varios soft's especializados en seguridad y auditoria de redes y la amayoria son live (no necesitan instalarse, corren desde el cd/dvd booteable) e incluyen sniffers con varias funcionalidades interesantes para probar e investigar.
SecureDVD es un dvd con varias distribuciones live de seguridad y auditoria. Saludos!
  #17 (permalink)  
Antiguo 17/10/2007, 16:49
 
Fecha de Ingreso: junio-2007
Mensajes: 5
Antigüedad: 17 años, 5 meses
Puntos: 0
Re: Analizando la red con TCPDump / Windump

soy nuevo en el tema, ya baje el programa pero no logro accesar a el, podrian asesorarme.
  #18 (permalink)  
Antiguo 13/02/2008, 10:55
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: Analizando la red con TCPDump / Windump

De nuevo por aquí con nuevos contenidos.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #19 (permalink)  
Antiguo 30/10/2008, 01:53
 
Fecha de Ingreso: abril-2008
Mensajes: 34
Antigüedad: 16 años, 7 meses
Puntos: 0
Respuesta: Analizando la red con TCPDump / Windump

hola cuando ejecuto el windump me da un error de dlll
lo descargue de softonic


>
>
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 4 personas (incluyéndote)




La zona horaria es GMT -6. Ahora son las 06:27.