Analizando capturas .pcap TCP con tcptrace. Generación de gráficas con Xplot. Parte 3. Xtraffic.

Hacemos un pequeño paréntesis en las gráficas de propósito general, ya que nos quedan por ver aún las gráficas:

  • -N  cwin graph
  • -F  segsize graph
  • -G  todos los tipos de gráficas

Hasta ahora tenemos:

Vamos a estudiar los módulos de tcptrace. Módulos específicos que nos ayudarán aanalizar de forma más pormenorizada el tráfico de red, tráficos específicos como el basado en HTTP, módulo de tráfico en tiempo real,etc.

tcptrace modulo xtraffic grafica conexiones abiertas inst.

En esta ocasión vamos a ver el módulos xtraffic y algunas de las gráficas que podemos generar.

El módulo xtraffic. 

Este módulo de tcptrace genera gráficas y datos sobre tráfico de forma que los resultados están basados en todo el tráfico involucrado en una captura y no en una determinada conexión.

Se generará dos archivos. Uno de ellos con datos de tráfico por puertos y otro de estadísticas generales:

  • traffic_byport.dat
  • traffic_stats.dat

La sintaxis es la siguiente:

  • tcptrace -xtraffic “argumentos” ficherocaptura.cap/pcap 

La forma de uso más simple sería la siguiente:

  • tcptrace -xtraffic smb.pcap

que genera estos resultados:

tcptrace modulo xtraffic

Como veis, los resultados por puertos y estadísticas generales. La información que tenemos es la siguiente:

Un TOTAL de paquetes, conexiones y bytes/segundo. Tenemos también los datos por puertos, independientemente del flujo o dirección de la comexión, es decir, que para una conexión entre los puertos 10321 y 80, tenemos los datos de ambas direcciones. Lo vemos mejor aquí:

tcptrace modulo xtraftic wireshark

Vemos los 6 paquetes que coresponden al una conexión del puerto 80 en un sentido y el otro (puerto 10321).

Filtrado de datos.

Xtraffic admite filtrado, con lo que podemos ver la información relativa a los puertos que indiquemos:

  • tcptrace -xtraffic’-p80,10321′ smb.pcap 

Veremos los datos correspondientes a la conexión entre los puertos 80 y 10321, el mismo de la captura Wireshark anterior.

Los argumentos y opciones.

No queda ahí la pontencialidad de este módulo. Tenemos una serie de opciones, que generarán un tipo de gráfica determinada, dependiendo de la información que necesitemos:

Conexiones activas por puerto (-A). Genera el fichero  traffic_active.xpl, además de los ficheros anteriormente mencionados.

Por ejemplo:

tcptrace -zxy -xtraffic’-A -p80′ captura.pcap

java -jar jplot.jar -t traffic_active.xpl

tcptrace xtraffic -B bytes por segundo grafica

Vemos en la gráfica las conexiones activas puerto 80 por unidad de tiempo.

Bytes por segundo (-B). Genera el fichero traffic_bytes.xpl, además de los ficheros anteriormente mencionados.

Por ejemplo, filtrando para los puertos 80 y 2955 que corresponden a una determinada conexión:

tcptrace -zxy -xtraffic’-B -p80,2955′ captura4.pcap

java -jar jplot.jar -t traffic_bytes.xpl 

tcptrace xtraffic bytes por segundo

En azul tenemos los datospuerto 80 y rojo para el puerto 2955.

Los intervalos en la gráfica van de 20 en 20 segundo. Podemos establecer otros intervales, por ejemplo de 10 segundos de la forma:

tcptrace -zxy -xtraffic’-B -p80,2955 -i10‘ captura4.pcap

Total sesiones abiertas/cerradas (-C). Genera el fichero traffic_openclose.xpl, además de los ficheros anteriormente mencionados.

Por ejemplo:

tcptrace -zxy -xtraffic’-C’ captura4.pcap

java -jar jplot.jar -t traffic_openclose.xpl  

tcptrace xtraffic modulo openclose grafica

En verde tenemos el número de conexiones abiertas por tiempo, en rojo las conexiones cerradas por unidad de tiempo y en azul el total de conexiones abiertas.

Total datos enviados a través de todas la conexiones en el tiempo (-T). Genera el fichero traffic_data.xpl, además de los ya mencionados que son comunes a todas las opciones.

Por ejemplo. Tenemos una determinada captura y la pasamos por xtraffic:

tcptrace -zxy -xtraffic’-T’ captura_nmap_t2.cap

java -jar jplot.jar -t traffic_data.xpl  

nos genera la gráfica:

tcptrace modulo xtraffic grafica

vemos en el eje y que corresponde al total de bytes que son muchos los transmitidos, además, en el eje de tiempo observamos que la unidad de medida es ks (k segundos). Se trata de mucha información enviada a lo largo de mucho tiempo.

Otras gráficas son:

Paquetes por segundo según puertos  (-P). Genera el fichero traffic_packets.xpl,

Conexiones instantáneas abiertas a través del tiempo por puertos (-I). Genera el fichero traffic_i_open.xpl,

Etc, lo itremos viendo en siguientes capítulos.

Esta entrada fue publicada en Seguridad y redes, tcptrace. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s