Analizando la Red Con WinDump / TCPDump. (II Parte)

Publicado el 11 enero, 2008 por Alfon

Seguimos con el artículo de analisis de red con WinDump / TCP Dump, con la extracción de datos usando filtros avanzados.

Extracción de datos. Filtros avanzados

La forma de indicar al TCPDump los datos que queremos filtrar es válida para otros protocolos como ICMP, IP, etc. Lo vemos con un ejemplo:

Vemos «claramente» que el campo protocolo comienza en el byte u octeto 9 (que es el décimo; cada fila del esquema son 4 bytes u octetos y no 3) y tiene 8 bits.

Entonces si a un filtro de tcpdump ponemos ip[9] le estamos diciendo que «mire» dentro del datagrama IP a partir del octeto o byte 9 que es el campo reservado al protocolo:

  • Version, IHL, Type of service y Total Lenght ocupan 4 bytes (del 0 al 3)
  • Identification, Flags y Fragment Offset ocupan 4 bytes (del 4 al 7)
  • Time to live, Protocol y Header Checksum ocupan 4 bytes (del 8 al 11). Protocol (protocolo) comienza entonces en el byte 9

El campo protocolo puede tomar varios valores, que nos indicará el tipo de protocolo utilizado.

1 = ICMP
6 = TCP
17 = UDP
88 = IGRP

Entonces vamos a nuestro filtro y añadimos:

ip[9] = 1 le estamos diciendo que «mire» dentro del datagrama IP a partir del octeto o byte 9 el valor = 1, que corresponde al protocolo de control ICMP

Para «ver» todo el tráfico de nuestra red que corresponde a paquetes ICMP del tipo que sea.

C:\scan>windump ip[9] = 1
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
11:53:19.608992 SERVING > INGEN12: icmp: echo request
11:53:19.609176 INGEN12 > SERVING: icmp: echo reply
11:53:20.546035 SERVING > 192.168.2.64: icmp: echo request
11:53:20.546045 192.168.2.64 > SERVING: icmp: echo reply
11:53:20.858635 SERVING > 192.168.2.197: icmp: echo request
11:53:20.862108 192.168.2.197 > SERVING: icmp: echo reply
11:53:22.108340 SERVING > 192.168.2.3: icmp: echo request
11:53:22.108547 192.168.2.3 > SERVING: icmp: echo reply
11:53:22.420849 SERVING > 192.168.2.91: icmp: echo request
11:53:22.421046 192.168.2.91 > SERVING: icmp: echo reply
11:53:24.608394 SERVING > CCLOPEZ: icmp: echo request
11:53:24.608663 CCLOPEZ > SERVING: icmp: echo reply
11:53:42.942371 TALLER > 192.168.1.150: icmp: echo request
11:53:42.942476 ABANCE-2 > TALLER: icmp: host 192.168.1.150 unreachable
11:53:42.944944 TALLER > 205.134.182.163: icmp: echo request
11:53:42.945017 ABANCE-2 > TALLER: icmp: host 205.134.182.163 unreachable
11:53:42.947160 TALLER > ABANCECOMU: icmp: echo request
….

Podemos afinar un poco más y «mirar» sólo un tipo determinado y ya vemos el filtro proto[x:y]= valor aplicado al protocolo ICMP. Por ejemplo, si queremos ver sólo los del tipo «echo request», utilizaremos la misma técnica pero con el protocolo ICMP.

C:\scan>windump icmp[0] = 8
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
11:59:19.610921 SERVING > INGEN12: icmp: echo request
11:59:20.548039 SERVING > 192.168.2.64: icmp: echo request
11:59:20.860784 SERVING > 192.168.2.197: icmp: echo request
11:59:22.113748 SERVING > 192.168.2.3: icmp: echo request
11:59:22.422977 SERVING > 192.168.2.91: icmp: echo request
11:59:24.300615 SERVING > CCLOPEZ: icmp: echo request

Otro tanto para ver sólo los del tipo «echo reply».

C:\scan>windump icmp[0] = 0
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
12:37:47.559653 ABANCECOMU > TALLER: icmp: echo reply
12:37:47.560038 ADMIN02 > TALLER: icmp: echo reply
12:37:47.561493 CCZ > TALLER: icmp: echo reply
12:37:47.567877 FIERY > TALLER: icmp: echo reply
12:37:47.576310 INFO8 > TALLER: icmp: echo reply

Otra forma más de crear filtros tcpdump.

Veamos en el siguiente ejemplo una condición de negación.

Si usamos != estamos diciendo a windump que «no sea igual a». En este ejemplo, queremos ver los paquetes que NO sean del tipo «echo reply» o «echo request», osea, el resto.

C:\scan>windump icmp[0] != 8 and icmp[0] != 0
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
12:41:47.484354 ABANCE-2 > TALLER: icmp: host 192.168.1.150 unreachable
12:41:47.486477 ABANCE-2 > TALLER: icmp: host 205.134.182.163 unreachable
12:41:47.856538 ABANCE-2 > TALLER: icmp: host 192.168.1.151 unreachable
12:41:48.358227 ABANCE-2 > INFOGRAFIA3: icmp: host 192.168.1.150 unreachable
12:41:49.858193 ABANCE-2 > INFOGRAFIA3: icmp: host 192.168.1.150 unreachable

Casos prácticos

Combinamos algunas opciones de windump.

todos los ICMP tipo «echo request» con destino al host ABANCE-2

C:\scan>windump icmp[0] = 8 and dst host ABANCE-2

Detectando escaneos

Si realizamos un Null Scan con Nmap, osea sin ningún flag activado:

nmap -sN INFOGRAFIA3 -P139

obtendremos con tcpdump:

C:\scan>windump tcp[13] = 0 and dst host INFOGRAFIA3
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A5-BFAA-811
19:03:12.630859 ABANCECOMU.35366 > INFOGRAFIA3.139: . win 2048

vemos el filtro aplicado tcp[13] = 0 y la respuesta de tcpdump con el indicador de flag indicando, valga la redundancia, que no hay flags activados «.»

Esta entrada fue publicada en Seguridad y redes, Windump. TCPDump y etiquetada , , , , , , , , , , , , , , , . Guarda el enlace permanente.

5 respuestas a Analizando la Red Con WinDump / TCPDump. (II Parte)

  1. wladimir dijo:
    23 julio, 2008 en 6:47 pm

    hola a todos los de redes miren aqui mi nombre es wladimir y estudio en el colegio 17 de septiembre de milagro aqui estoy investigando
    pero los profesores
    estan enseñando anosotros y tambien son nuestros maestros
    mi materia favorita es orientacion vocacional y la licenciada carmen zambrano a ella la quiero mucho
    como mi maestra favorita
    y la vice rectora merci tambien
    bueno es decir
    parece mi segunda mama bueno
    es algo
    simple
    es decir quise quiero decir
    tambien amo a mi mismo quiero a mi mismo
    y quiero a este colegio es como mi segundo hogar
    y mi curso el mas tranquilo o sea yo
    es ese curso es mi hogar a mi me gusta limpiar
    a mi me gusta ayudar a los demas
    y ese es mi responsabilidad no soy como esos otros alumnos que
    desobedecientes
    que no quieren y lo que ellos hacen
    nuestro sueño y nuestra meta es nuestro sueño nunca digamos atras
    es nuetro deber seguir adelante
    es nuestro objetivo para ser alguin en la vida ……………….
    attt
    wladimir ortiz
    si quieren saver mas de mi
    utilizen mi correo de hi5 es
    wladimir_22_55@hotmail.com
    y mi otro correo es hi5
    es
    konoha_22_55
    @hotmail.com

    Responder
  2. Edwin dijo:
    15 septiembre, 2009 en 9:33 pm

    Es muy interesante lo que se describe, pero te recomiendo que habilites tus gráficos para poderlos visualizar.

    Responder
  3. Luis dijo:
    24 febrero, 2010 en 4:50 pm

    Saludos…estoy tratando de encontrar la manera de que Tshark analice RTP para VOIP de paquetes por un tiempo «t»,y muestre Delay jitter y perdida de paquetes guardandolo en un archivo CSV.Tal como lo hace wireshark pero por linea de comandos…

    Responder
  4. Alfonn dijo:
    25 febrero, 2010 en 1:15 pm

    Luís tengo que mirarlo. Ya te cuento.

    Responder
  5. jose dijo:
    5 abril, 2012 en 10:25 pm

    Enhorabuena Alfonn estas haciendo muy buen trabajo y ayudando a mucha gente.
    UN saludo

    Responder

Deja un comentario