COMPARTIR

Que es un Sniffer?
Sniffer (analizador de protocolos) es un programa de captura de las tramas de una red de computadoras.

Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, cable de par trenzado, fibra óptica, etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él.

Utilidad de los Sniffers
• Captura automática de contraseñas enviadas en claro y nombres de usuario de la red.
• Conversión del tráfico de red en un formato inteligible por los humanos.
• Análisis de fallos para descubrir problemas en la red.
• Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.
• Detección de intrusos, con el fin de descubrir Crackers.
• Creación de registros de red, de modo que los Crackers no puedan detectar que están siendo investigados.
• Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la información real que se transmite por la red.

Que es TCPDUMP?
Es una herramienta para la linea de comandos cuya utilidad principal es analizar el trafico que circula por la red.

Permite al usuario capturar y mostrar en tiempo real los paquetes
transmitidos y recibidos por la red a la cual el ordenador esta
conectado. Fue desarrollada por Van Jacobson, Craig Leres, y Steven McCanne mientras trabajaban en el Grupo de Investigación de Red del Laboratorio Lawrence Berkeley. Mas tarde el programa fue ampliado por Andrew Tridgell.

Funciona en la mayoría de los sistemas operativos UNIX: GNU/Linux, Solaris, BSD, Mac OS X, HP-UX y AIX entre otros. En esos sistemas, tcpdump hace uso de la biblioteca libpcap para capturar los paquetes que circulan por la red. Existe una adaptación de tcpdump para los sistemas Microsoft Windows llamada WinDump y que hace uso de la biblioteca Winpcap.

En UNIX y otros sistemas operativos es necesario tener privilegios de administrador (root) para utilizar tcpdump.

Tres modificadores posibles

Tipo: Puede ser host, net o port. estos indican respectivamente una maquina, por ejemplo host 192.168.1.1, una red completa, por ejemplo net 192.168, o un puerto en especifico por ejemplo port 21.

Dir: Especifica desde o hacia donde se va a mirar el flujo de datos. tenemos src o dst y podemos combinarlos con or y and.

Proto: En este caso es el protocolo que queremos capturar. puede ser tcp, udp, ip, ether, (en este caso captura tramas a nivel de enlace, arp, rarp), fddi, etc.

man tcpdump
tcpdump –help

Ejemplos:

Para capturar trafico cuya dirección IP de origen sea 192.168.3.1.
tcpdump src host 192.168.3.1

Para capturar trafico cuya dirección origen o destino sea 192.168.3.2.
tcpdump host 192.168.3.2

Para capturar trafico con destino a la dirección MAC 50:43:A5:AE:69:55.
tcpdump ether dst 50:43:A5:AE:69:55

Para capturar trafico con red destino 192.168.3.0.
tcpdump dst net 192.168.3.0

Para capturar trafico con red origen 192.168.3.0/28.
tcpdump src net 192.168.3.0 mask 255.255.255.240
tcpdump src net 192.168.3.0/28

Para capturar trafico con destino el puerto 23.
tcpdump dst port 23

Para capturar trafico con origen o destino el puerto 110.
tcpdump port 110

Para capturar los paquetes de tipo ICMP.
tcpdump ip proto \\icmp

Para capturar los paquetes de tipo UDP.
tcpdump ip proto \\udp
tcpdump udp

Para capturar el trafico Web.
tcpdump tcp and port 80

Para capturar las peticiones de DNS.
tcpdump udp and dst port 53

Para capturar el trafico al puerto telnet o SSH.
tcpdump tcp and \(port 22 or port 23\)

Parar capturar todo el trafico excepto el web.
tcpdump tcp and not port 80
otra forma
tcpdump tcp and ! port 80

Para capturar el trafico que va a la maquina con dirección MAC
0:2:a5:ee:ec:10.
tcpdump ether host 0:2:a5:ee:ec:10

Para capturar todo el trafico con origen o destino en la 10.0.0.0/24.
tcpdump net 10.0.0.0/24
tcpdump net 10.0.0.0 mask 255.255.255.0

Para capturar todo trafico arp.
tcpdump -n ether proto \\arp
tcpdump -n arp

Para capturar todo trafico ip.
tcpdump -n ether proto \\ip

Para capturar todo el trafico Web (TCP port 80).
tcpdump tcp and port 80

Para capturar el todas las peticiones DNS.
tcpdump udp and dst port 53

Para capturar el trafico al puerto telnet o ssh.
tcpdump tcp and \(port 22 or port 23\)

Para capturar todo el trafico excepto el web.
tcpdump tcp and not port 80

Para capturar solo dos paquetes.
tcpdump -c 2 -i eth0

Para imprimir los paquetes en ASCII.
tcpdump -A -i eth0

Para guardar el resultado en un archivo.
tcpdump -w edwin-archivo.pcap -i eth0

Para leer los archivos salvados en .pcap.
tcpdump -tttt -r edwin-archivo.pcap

Para leer paquetes mas grande de 1024 bytes.
tcpdump -w g_1024.pcap greater 1024

Para leer paquetes menor de 1024 bytes.
tcpdump -w l_1024.pcap less 10204

Para capturar paquetes que no sean arp ni rarp.
tcpdump -i eth0 not arp and not rarp

y un etcétera…

Happy Hacking…

NO COMMENTS

LEAVE A REPLY