Windump / Tshark. Captura de red de forma remota.

Ya vimos, hace algún tiempo, como realizar una captura de forma de remota con Wireshark y rpcapd: Wireshark / Tshark. Capturar el tráfico de red de forma remota. RPCAPD

Me preguntan si es posible hacer lo mismo con Windump, Tshark, etc.

Pues sí, es muy sencillo, prácticamente se hace de igual manera. Lo vemos.

Windump y Tshark. Capturando de forma remota con rpcapd. 

La forma más sencilla es la siguinte. Si queremos que nuestro “sensor” de captura esté en un host remoto, por ejemplo 192.168.1.30, es decir, queremos ver los paquetes capturados por este host pero desde otro distinto (192.168.1.5):

  • en 192.168.1.30 y con windump -D vemos que interfaces queremos usar, por ejemplo 2.\Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A} (3Com EtherLink PCI)
  • en 192.168.1.30 activamos el servidor con rpcapd.

>rpcapd -n

  • en 192.168.1.5 y con Windump (hayq ue poner las comillas):

>windump -irpcap://192.168.1.30/\Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A}

Con Tshark es lo mismo:

>tshark -irpcap://192.168.1.30/\Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A}

A tener en cuenta.

Es aconsejable añadir a Tshark o Windump, según lo que usemos, el filtro not host IP en el cliente. Esto es para que no capture el tráfico de la conexión remota. En el ejemplo que os muestro arriba sería:

>tshark -irpcap://192.168.1.30/\Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A} -f not host 192.168.1.5

El puerto por defecto se asume que es 2002. Si queremos usar otro:

  • en el servidor:  rpcapd -n -p 5005
  • en el cliente tendremos que añadir el puerto:

rpcap://192.168.1.30:5005/\Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A}

Si usamos en le servidor la opción -n (no autenticar), es aconsajable usar -l IPs para que solo atienda peticiones desde una determinada IP o lista de ella:

  • rpcapd -n -l 192.168.1.5 -p 5005

Podemos guardar la configuración de rpcapd en un archivo (rpcapd.ini) con la opción -s y cargar ese mismo fichero con -f

Con la opción -b de rpcapd podemos decir que eschuche y comunique con un determinado host o hacerlo a través de una lista blanca -l

Con la opción –d podemos usar rpcapd como servicio en Windows.

==================================

Y hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Seguridad y redes, Windump. TCPDump, Wireshark . Tshark. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s