Seguimos con el artículo de analisis de red con WinDump / TCP Dump, con la extracción de datos usando filtros avanzados.
Extracción de datos. Filtros avanzados
La forma de indicar al TCPDump los datos que queremos filtrar es válida para otros protocolos como ICMP, IP, etc. Lo vemos con un ejemplo:
Vemos «claramente» que el campo protocolo comienza en el byte u octeto 9 (que es el décimo; cada fila del esquema son 4 bytes u octetos y no 3) y tiene 8 bits.
Entonces si a un filtro de tcpdump ponemos ip[9] le estamos diciendo que «mire» dentro del datagrama IP a partir del octeto o byte 9 que es el campo reservado al protocolo:
- Version, IHL, Type of service y Total Lenght ocupan 4 bytes (del 0 al 3)
- Identification, Flags y Fragment Offset ocupan 4 bytes (del 4 al 7)
- Time to live, Protocol y Header Checksum ocupan 4 bytes (del 8 al 11). Protocol (protocolo) comienza entonces en el byte 9
El campo protocolo puede tomar varios valores, que nos indicará el tipo de protocolo utilizado.
1 = ICMP
6 = TCP
17 = UDP
88 = IGRP
Entonces vamos a nuestro filtro y añadimos:
ip[9] = 1 le estamos diciendo que «mire» dentro del datagrama IP a partir del octeto o byte 9 el valor = 1, que corresponde al protocolo de control ICMP
Para «ver» todo el tráfico de nuestra red que corresponde a paquetes ICMP del tipo que sea.
C:\scan>windump ip[9] = 1
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
11:53:19.608992 SERVING > INGEN12: icmp: echo request
11:53:19.609176 INGEN12 > SERVING: icmp: echo reply
11:53:20.546035 SERVING > 192.168.2.64: icmp: echo request
11:53:20.546045 192.168.2.64 > SERVING: icmp: echo reply
11:53:20.858635 SERVING > 192.168.2.197: icmp: echo request
11:53:20.862108 192.168.2.197 > SERVING: icmp: echo reply
11:53:22.108340 SERVING > 192.168.2.3: icmp: echo request
11:53:22.108547 192.168.2.3 > SERVING: icmp: echo reply
11:53:22.420849 SERVING > 192.168.2.91: icmp: echo request
11:53:22.421046 192.168.2.91 > SERVING: icmp: echo reply
11:53:24.608394 SERVING > CCLOPEZ: icmp: echo request
11:53:24.608663 CCLOPEZ > SERVING: icmp: echo reply
11:53:42.942371 TALLER > 192.168.1.150: icmp: echo request
11:53:42.942476 ABANCE-2 > TALLER: icmp: host 192.168.1.150 unreachable
11:53:42.944944 TALLER > 205.134.182.163: icmp: echo request
11:53:42.945017 ABANCE-2 > TALLER: icmp: host 205.134.182.163 unreachable
11:53:42.947160 TALLER > ABANCECOMU: icmp: echo request
….
Podemos afinar un poco más y «mirar» sólo un tipo determinado y ya vemos el filtro proto[x:y]= valor aplicado al protocolo ICMP. Por ejemplo, si queremos ver sólo los del tipo «echo request», utilizaremos la misma técnica pero con el protocolo ICMP.
C:\scan>windump icmp[0] = 8
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
11:59:19.610921 SERVING > INGEN12: icmp: echo request
11:59:20.548039 SERVING > 192.168.2.64: icmp: echo request
11:59:20.860784 SERVING > 192.168.2.197: icmp: echo request
11:59:22.113748 SERVING > 192.168.2.3: icmp: echo request
11:59:22.422977 SERVING > 192.168.2.91: icmp: echo request
11:59:24.300615 SERVING > CCLOPEZ: icmp: echo request
Otro tanto para ver sólo los del tipo «echo reply».
C:\scan>windump icmp[0] = 0
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
12:37:47.559653 ABANCECOMU > TALLER: icmp: echo reply
12:37:47.560038 ADMIN02 > TALLER: icmp: echo reply
12:37:47.561493 CCZ > TALLER: icmp: echo reply
12:37:47.567877 FIERY > TALLER: icmp: echo reply
12:37:47.576310 INFO8 > TALLER: icmp: echo reply
Otra forma más de crear filtros tcpdump.
Veamos en el siguiente ejemplo una condición de negación.
Si usamos != estamos diciendo a windump que «no sea igual a». En este ejemplo, queremos ver los paquetes que NO sean del tipo «echo reply» o «echo request», osea, el resto.
C:\scan>windump icmp[0] != 8 and icmp[0] != 0
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
12:41:47.484354 ABANCE-2 > TALLER: icmp: host 192.168.1.150 unreachable
12:41:47.486477 ABANCE-2 > TALLER: icmp: host 205.134.182.163 unreachable
12:41:47.856538 ABANCE-2 > TALLER: icmp: host 192.168.1.151 unreachable
12:41:48.358227 ABANCE-2 > INFOGRAFIA3: icmp: host 192.168.1.150 unreachable
12:41:49.858193 ABANCE-2 > INFOGRAFIA3: icmp: host 192.168.1.150 unreachable
Casos prácticos
Combinamos algunas opciones de windump.
todos los ICMP tipo «echo request» con destino al host ABANCE-2
C:\scan>windump icmp[0] = 8 and dst host ABANCE-2
Detectando escaneos
Si realizamos un Null Scan con Nmap, osea sin ningún flag activado:
nmap -sN INFOGRAFIA3 -P139
obtendremos con tcpdump:
C:\scan>windump tcp[13] = 0 and dst host INFOGRAFIA3
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-811
19:03:12.630859 ABANCECOMU.35366 > INFOGRAFIA3.139: . win 2048
vemos el filtro aplicado tcp[13] = 0 y la respuesta de tcpdump con el indicador de flag indicando, valga la redundancia, que no hay flags activados «.»
hola a todos los de redes miren aqui mi nombre es wladimir y estudio en el colegio 17 de septiembre de milagro aqui estoy investigando
pero los profesores
estan enseñando anosotros y tambien son nuestros maestros
mi materia favorita es orientacion vocacional y la licenciada carmen zambrano a ella la quiero mucho
como mi maestra favorita
y la vice rectora merci tambien
bueno es decir
parece mi segunda mama bueno
es algo
simple
es decir quise quiero decir
tambien amo a mi mismo quiero a mi mismo
y quiero a este colegio es como mi segundo hogar
y mi curso el mas tranquilo o sea yo
es ese curso es mi hogar a mi me gusta limpiar
a mi me gusta ayudar a los demas
y ese es mi responsabilidad no soy como esos otros alumnos que
desobedecientes
que no quieren y lo que ellos hacen
nuestro sueño y nuestra meta es nuestro sueño nunca digamos atras
es nuetro deber seguir adelante
es nuestro objetivo para ser alguin en la vida ……………….
attt
wladimir ortiz
si quieren saver mas de mi
utilizen mi correo de hi5 es
wladimir_22_55@hotmail.com
y mi otro correo es hi5
es
konoha_22_55
@hotmail.com
Es muy interesante lo que se describe, pero te recomiendo que habilites tus gráficos para poderlos visualizar.
Saludos…estoy tratando de encontrar la manera de que Tshark analice RTP para VOIP de paquetes por un tiempo «t»,y muestre Delay jitter y perdida de paquetes guardandolo en un archivo CSV.Tal como lo hace wireshark pero por linea de comandos…
Luís tengo que mirarlo. Ya te cuento.
Enhorabuena Alfonn estas haciendo muy buen trabajo y ayudando a mucha gente.
UN saludo