Argus. Auditando el tráfico de red. Parte 5. Auditoría de host remoto.

Seguimos con la serie Argus (Auditing Network Activity). En la última entrega vimos:

Argus. Auditando el tráfico de red. Parte 4. Generación de gráficas con AfterGlow.

En esta ocasión vamos a realizar una auditoría de tráfico red con Argus, pero en remoto.

Iniciando el Argus Server. 

Vamos a auditar el tráfico de red en el host 192.168.1.108. Por tanto éste es el server. con -P 5005 indicamos que escuche en el puerto 5005. Con la opción-d indicamos que se ejecute en modo servicio. Eeto último no es imprescindible.

iniciando argus server

Argus cliente.

Desde cualquier máquina o host de nuestra red:

  • ra -L0 -S 192.168.1.108:5005 

Con -S indicamos que se conecte al host 192.168.1.108 puerto 5005:

linea de comandos argus cliente para remoto

A partir de aquí, podemos todos los comandos ya visto y relacionados con la herramieta ra, por ejemplo:

  • ra -L0 -S 192.168.1.108:5006 -s stime ltime saddr daddr state load – tcp and port 80

argus ra conexion remota con filtro

  • -S 292.168.1.108:5006 para conetar esta IP / puerto
  • -L0 imprimimos cabeceras en salida por consola
  • -m agrupamos por proto (protocolos)
  • -r leemos el archivo pcap
  • -s visualizamos en consola solo lo indicado
  • – tcp and port 80 aplicamos un filtro

También podemos usar racluster:

  • ~$  racluster -L0 -S 192.168.1.108:5006 -M rmon -m saddr daddr -s saddr daddr bytes pkts

argus coneccion remota racluster

Esta entrada fue publicada en Argus, Seguridad y redes. Guarda el enlace permanente.

Una respuesta a Argus. Auditando el tráfico de red. Parte 5. Auditoría de host remoto.

  1. Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s