Argus. Auditando el tráfico de red. Parte 5. Auditoría de host remoto.

Publicado el 24 enero, 2011 por Alfon

Seguimos con la serie Argus (Auditing Network Activity). En la última entrega vimos:

Argus. Auditando el tráfico de red. Parte 4. Generación de gráficas con AfterGlow.

En esta ocasión vamos a realizar una auditoría de tráfico red con Argus, pero en remoto.

Iniciando el Argus Server. 

Vamos a auditar el tráfico de red en el host 192.168.1.108. Por tanto éste es el server. con -P 5005 indicamos que escuche en el puerto 5005. Con la opción-d indicamos que se ejecute en modo servicio. Eeto último no es imprescindible.

iniciando argus server

Argus cliente.

Desde cualquier máquina o host de nuestra red:

  • ra -L0 -S 192.168.1.108:5005 

Con -S indicamos que se conecte al host 192.168.1.108 puerto 5005:

linea de comandos argus cliente para remoto

A partir de aquí, podemos todos los comandos ya visto y relacionados con la herramieta ra, por ejemplo:

  • ra -L0 -S 192.168.1.108:5006 -s stime ltime saddr daddr state load – tcp and port 80

argus ra conexion remota con filtro

  • -S 292.168.1.108:5006 para conetar esta IP / puerto
  • -L0 imprimimos cabeceras en salida por consola
  • -m agrupamos por proto (protocolos)
  • -r leemos el archivo pcap
  • -s visualizamos en consola solo lo indicado
  • – tcp and port 80 aplicamos un filtro

También podemos usar racluster:

  • ~$  racluster -L0 -S 192.168.1.108:5006 -M rmon -m saddr daddr -s saddr daddr bytes pkts

argus coneccion remota racluster

Esta entrada fue publicada en Argus, Seguridad y redes. Guarda el enlace permanente.

Una respuesta a Argus. Auditando el tráfico de red. Parte 5. Auditoría de host remoto.

  1. Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes

Deja un comentario