Hacemos un pequeño paréntesis en las gráficas de propósito general, ya que nos quedan por ver aún las gráficas:
- -N cwin graph
- -F segsize graph
- -G todos los tipos de gráficas
Hasta ahora tenemos:
- Analizando capturas .pcap TCP con tcptrace. Generación de gráficas con Xplot. Parte 1
- Analizando capturas .pcap TCP con tcptrace. Generación de gráficas con Xplot. Parte 2
- Analizando capturas .pcap TCP con tcptrace. Filtrado y análisis de Conexiones.
Vamos a estudiar los módulos de tcptrace. Módulos específicos que nos ayudarán aanalizar de forma más pormenorizada el tráfico de red, tráficos específicos como el basado en HTTP, módulo de tráfico en tiempo real,etc.
En esta ocasión vamos a ver el módulos xtraffic y algunas de las gráficas que podemos generar.
El módulo xtraffic.
Este módulo de tcptrace genera gráficas y datos sobre tráfico de forma que los resultados están basados en todo el tráfico involucrado en una captura y no en una determinada conexión.
Se generará dos archivos. Uno de ellos con datos de tráfico por puertos y otro de estadísticas generales:
- traffic_byport.dat
- traffic_stats.dat
La sintaxis es la siguiente:
- tcptrace -xtraffic «argumentos» ficherocaptura.cap/pcap
La forma de uso más simple sería la siguiente:
- tcptrace -xtraffic smb.pcap
que genera estos resultados:
Como veis, los resultados por puertos y estadísticas generales. La información que tenemos es la siguiente:
Un TOTAL de paquetes, conexiones y bytes/segundo. Tenemos también los datos por puertos, independientemente del flujo o dirección de la comexión, es decir, que para una conexión entre los puertos 10321 y 80, tenemos los datos de ambas direcciones. Lo vemos mejor aquí:
Vemos los 6 paquetes que coresponden al una conexión del puerto 80 en un sentido y el otro (puerto 10321).
Filtrado de datos.
Xtraffic admite filtrado, con lo que podemos ver la información relativa a los puertos que indiquemos:
- tcptrace -xtraffic’-p80,10321′ smb.pcap
Veremos los datos correspondientes a la conexión entre los puertos 80 y 10321, el mismo de la captura Wireshark anterior.
Los argumentos y opciones.
No queda ahí la pontencialidad de este módulo. Tenemos una serie de opciones, que generarán un tipo de gráfica determinada, dependiendo de la información que necesitemos:
Conexiones activas por puerto (-A). Genera el fichero traffic_active.xpl, además de los ficheros anteriormente mencionados.
Por ejemplo:
tcptrace -zxy -xtraffic’-A -p80′ captura.pcap
java -jar jplot.jar -t traffic_active.xpl
Vemos en la gráfica las conexiones activas puerto 80 por unidad de tiempo.
Bytes por segundo (-B). Genera el fichero traffic_bytes.xpl, además de los ficheros anteriormente mencionados.
Por ejemplo, filtrando para los puertos 80 y 2955 que corresponden a una determinada conexión:
tcptrace -zxy -xtraffic’-B -p80,2955′ captura4.pcap
java -jar jplot.jar -t traffic_bytes.xpl
En azul tenemos los datospuerto 80 y rojo para el puerto 2955.
Los intervalos en la gráfica van de 20 en 20 segundo. Podemos establecer otros intervales, por ejemplo de 10 segundos de la forma:
tcptrace -zxy -xtraffic’-B -p80,2955 -i10‘ captura4.pcap
Total sesiones abiertas/cerradas (-C). Genera el fichero traffic_openclose.xpl, además de los ficheros anteriormente mencionados.
Por ejemplo:
tcptrace -zxy -xtraffic’-C’ captura4.pcap
java -jar jplot.jar -t traffic_openclose.xpl
En verde tenemos el número de conexiones abiertas por tiempo, en rojo las conexiones cerradas por unidad de tiempo y en azul el total de conexiones abiertas.
Total datos enviados a través de todas la conexiones en el tiempo (-T). Genera el fichero traffic_data.xpl, además de los ya mencionados que son comunes a todas las opciones.
Por ejemplo. Tenemos una determinada captura y la pasamos por xtraffic:
tcptrace -zxy -xtraffic’-T’ captura_nmap_t2.cap
java -jar jplot.jar -t traffic_data.xpl
nos genera la gráfica:
vemos en el eje y que corresponde al total de bytes que son muchos los transmitidos, además, en el eje de tiempo observamos que la unidad de medida es ks (k segundos). Se trata de mucha información enviada a lo largo de mucho tiempo.
Otras gráficas son:
Paquetes por segundo según puertos (-P). Genera el fichero traffic_packets.xpl,
Conexiones instantáneas abiertas a través del tiempo por puertos (-I). Genera el fichero traffic_i_open.xpl,
Etc, lo itremos viendo en siguientes capítulos.
Seguridad y Redes 