Seguimos con la serie Argus (Auditing Network Activity). En la última entrega vimos:
Argus. Auditando el tráfico de red. Parte 4. Generación de gráficas con AfterGlow.
En esta ocasión vamos a realizar una auditoría de tráfico red con Argus, pero en remoto.
Iniciando el Argus Server.
Vamos a auditar el tráfico de red en el host 192.168.1.108. Por tanto éste es el server. con -P 5005 indicamos que escuche en el puerto 5005. Con la opción-d indicamos que se ejecute en modo servicio. Eeto último no es imprescindible.
Argus cliente.
Desde cualquier máquina o host de nuestra red:
- ra -L0 -S 192.168.1.108:5005
Con -S indicamos que se conecte al host 192.168.1.108 puerto 5005:
A partir de aquí, podemos todos los comandos ya visto y relacionados con la herramieta ra, por ejemplo:
- ra -L0 -S 192.168.1.108:5006 -s stime ltime saddr daddr state load – tcp and port 80
- -S 292.168.1.108:5006 para conetar esta IP / puerto
- -L0 imprimimos cabeceras en salida por consola
- -m agrupamos por proto (protocolos)
- -r leemos el archivo pcap
- -s visualizamos en consola solo lo indicado
- – tcp and port 80 aplicamos un filtro
También podemos usar racluster:
- ~$ racluster -L0 -S 192.168.1.108:5006 -M rmon -m saddr daddr -s saddr daddr bytes pkts
Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes