Hemos visto como realizar una captura de forma remota, es decir capturar desde un host A usando la interface de red de un host B pero siempre desde sistemas Windows y usando rpcapd:
- Windump / Tshark. Captura de red de forma remota.
- Argus. Auditando el tráfico de red. Parte 5. Auditoría de host remoto.
- Wireshark / Tshark. Capturar el tráfico de red de forma remota. RPCAPD
En esta ocasión, y siguiendo con el ejemplo anterior, el host A será un sistema Windows y host B Linux.
Instalando rpcapd para Linux.
Lo primero que tenemos que hacer es instalar rpcapd en Linux, que no viene instalado por defecto. Para ello:
wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip
unzip WpcapSrc_4_1_2.zip
cd winpcap/wpcap/libpcap
chmod +x configure runlex.sh
CFLAGS=-static ./configure
make
cd rpcapd/
ahora editamos el archivo Makefile que tenemos en /rpcapd y dejamos la línea:
- CFLAGS = pthread -DHAVE_REMOTE -DHAVE_SNPRINTF
de esta manera (para añadir -static):
- CFLAGS = pthread -DHAVE_REMOTE -DHAVE_SNPRINTF -static
y hacemos el make
al realizar el make es posible que sos salgan una serie de warnings. no pasa nada. Funcionar funciona.
Capturando…..
Ahora solo tenemos que hacer del lado del host cuyo interface va a ser usado en Linux la siguiente línea:
- ~/winpcap/wpcap/libpcap/rpcapd$ sudo ./rpcapd -n -p1001 -l 192.168.1.5
[sudo] password for www:
Press CTRL + C to stop the server…
bind(): Address already in use (code 98)
Desde el host Windows:
- >tshark -i «rpcap://192.168.1.108:1001/eth0» -f «not broadcast and not multicast and not host 192.168.1.5»
Y listo:
Entradas relacionadas:
- Windump / Tshark. Captura de red de forma remota.
- Argus. Auditando el tráfico de red. Parte 5. Auditoría de host remoto.
- Wireshark / Tshark. Capturar el tráfico de red de forma remota. RPCAPD
Me sirvió para esta entrada:
Agradecer a shicefgo de los foros de Daboweb (http://www.daboweb.com/foros) su ayuda con un problema al instalar rpcapd.
Además dela inestimable ayuda proporcinada por este sitio: http://code.google.com/p/arista-challenge/wiki/rpcapd
==============
Hasta aquí por hoy. Hasta la próxima.
Seguridad y Redes 
Hola
En primer lugar gracias por hacer este blog.
A ver si me puedes ayudar. He leído varios de tus artículos-tutoriales de Wireshark y no encuentro ninguno que se adapte a lo que busco.
Me gustaría saber si conoces algún enlace que explique como se hace un análisis «casero» con Wireshark para ver si alguien está husmeando o copiando información de tu ordenador. Es decir, más o menos he aprendido lo básico de como utilizar Wireshark, pero lo que no sé es qué tengo que buscar y qué secuencia de pasos generales de búsqueda debo aplicar. O dicho de otra manera, ¿Cómo detecto que existe un tráfico fraudulento (copia de ficheros de mi HD por ejemplo) entre todo el tráfico que existe?
Gracias
Alejandro, ¿ no tienes implemetado antivirus / firewall ?. Eso es lo primero.
No protejes tus datos del HD via, por ejemplo, TrueCrypt. ?.
Qué S.O. tienes ?. Se trata del ordenador de tu casa directamente a internet, una red local…?
Trabajas / te conectas con la cuenta de root / Administrador ?
Saludos,
Gracias por contestar y disculpa que haya tardado en responderte Alfon. No he podido antes.
Las cuestiones que me preguntas las tengo más o menos configuradas y son medidas de seguridad preventivas generales que hay que tomar siempre, pero una vez configuradas o no, mi interés es saber si hay alguna guía que te indique o aconseje sobre reglas a seguir para perseguir un posible intruso. Por ejemplo, busca tráfico que tenga estas carácterisiticas con tal herramienta porque es sospechoso, mira el proceso que ha abierto el puerto tal con esta herramienta para ver de donde proviene (cual es el ejecutable). O detectar si tienes un keylogger instalado porque al escribir una contraseña se esté enviando lo que escribes a un fichero o a la red.
Gracias de nuevo.
Hola, primero que todo agradecerte de antemano por este blog tan significativo que has echo y que dia tras dia estas actualizados con nuevas practicas que se adaptan a las necesidades de seguridad informatica y redes de datos. Quería consultarte necesito capturar el trafico de red de un servidor ubuntu 11.04 a modo texto por lo que puedo utilizar un sniffer en modo grafico (Wireshark), por lo que te pido que me ayudes en como hacer un analisis remoto ya que acabo de ver esta entrada pero cuendo voy a iniciar el rpcapd -n -p1001 y todas la demas opciones me dice que no existe ese archivo, creo que es porque el primer make que apareces despues de descomprimir el .zip no me lo acepta que dice que es un comando que no existe. Quisiera saber si me puedes colaborar con esta parte ya sea con captura de red remota desde un ubuntu grafico al server o hacer un captura de red con windump mediante un filtro pero con la opcion de guardar la captura en un archivo .pcap para luego verlo en wireshark. Saludos y Gracias por tu atencion…
Saludos. De antemano te doy las gracias por este blog, me ha ayudado muchisimo. Mi pregunta es la siguiente: Estoy intentando hacer los pasos de este articulo para hacer captura remota desde un computador windows con Wireshark instalado de un equipo Linux, y todos los pasos me los hace sin problemas, el detalle es que en la maquina windows cuando intento agregar la interface del host linux en la ventanita de las opciones de captura coloco la ip y el puerto y al darle click a ok me da el siguiente mensaje de error: «Can’t get list of interfaces: The host is not in the allowed host list. Connection refused» Alguna idea de como puedo solucionar este problema? Muchas gracias de antemano.
Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes