Analizando capturas .pcap TCP con tcptrace. Generación de gráficas con Xplot. Parte 4. Avanzando.

Seguimos avanzando con la Serie de artículos dedicada a Tcptrace.

En esta ocasión vamos a ver el uso de tcptrace en tiempo real o real-time, el módulo slice, módulo http y sus gráficas.

Ejecutando tcptrace en tiempo real.

La ejecución de tcptrace en tiempo real la realizaremos mediante pipes y ayudado por alguna herramienta que lo permita, en este caso tcpdump. Y lo haremos de la siguiente forma:

sudo tcpdump -ieth0 -w – | tcptrace -p -xrealtime stdin

  • como reordaréis,  con la opción -p podemos visualizar el conetenido de los campos de las cabeceras IP/TCP. Con esta opción veremos información de todos los paquetes. Es sí, en tiempo real. No es necesaria esta opción.
  • stdin es el manejador de archivos para entrada.

sudo tcpdump -ieth0 -w – | tcptrace -xrealtime stdin

El resultado:

El módulo slice.

Este módulo slice nos muestra, en un archivo slice.dat, las estádisticas más básicas del tráfico contenido en un .pcap o en tiempo real por intervalos de tiempo. Por defecto este intervalo está establecido en 15 segundos.  Con la opción -isegundos podemos establecer un intervalo distinto.

Por ejemplo. Vamos e ver está estádisticas a partir de un .pcap (gateway .pcap):

tcptrace -n -xslice gateway.pcap

  • con -n desactivamos la resolución de nombres y así es todo más rápido para capturas muty grandes.

El ejecutar tcptrace con este módulo tenemos:

Vaya, parece que no hay nada nuevo. Es la salida típica de tcptrace con los flujos de tráfico,  su identificación, dirección de flujo, si la conexión está o no completada, etc.

Sin embargo, hay más; tcptrace ha creado un archivo denominado slice.dat. Ahí si están los datos estadísticos:

La información estadística mostrada es la siguiente:

    • date intervalo de tiempo
    • segs o número segmentos en el intervalo de tiempo date
    • bytes o total de bytes en ese intervalo de tiempo
    • rexsegs o segmentos retransimitidos
    • rexbytes o bytes retransmitidos
    • new o conexiones nuevas que se abren en ese intervalo de tiempo
    • active o conexiones que siguen activas durante ese intervalo de tiempo (date).

El módulo http.

Para analizar los datos de tráfico referentes a HTTP. También extrae los archivos involucrados en dicho tráfico. Invocamos este módulo mediante la opción -xhttp.

Por cada cojexión detectada, tcptrace creará, mediante este módulo, un archivo xxxx_content.dat con el contenido del tráfico HTTP.

Vamos a ver un ejemplo:

tcptrace -zxy -xhttp -n -o1-3 casa.pcap

  • como sé que el archivo .pcap contiene muchas conexiones, voy a filtrar y mostrar solo las 3 primeras -o1-3

La salida por terminal contiene dos partes:

  • Datos estádísticos de conexión TCP
  • Datos del modulo http referidos al protocolo HTTP.

Lo vemos:

Arriba estadísticas TCP para la primera conexión identificada como a2b. (repasad los primeros capítulos de la serie)

Un poco más abajo tendremos las estadísticas e información referida solo a HTTP. Información, como veréis, muy completa:

Pero además, el módulo http, ctreará una serie de archivos de contenido .dat con más información pro cada conexión identificada:

Por ejemplo, para la conexión identificada como e2f:

cat e2f_contents.dat


GET /reader/public/javascript/user/05987391129762782287/label/Nauscopio?n=2&callback=GRC_p(%7Bc%3A%22-%3A%22false%22%2Cn%3A%22false%22%Bnew%20GRC HTTP/1.1
Host: http://www.google.es
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16 ( .NET CLR 3.5.30729; .NET4.0E)
Accept: */*
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: http://seguridadyredes.nireblog.com/
Cookie: PREF=ID=a161d9a6a4d14239:FF=0:TM=1278970911:LM=1294571206:S=YDyC945yn3R2YN7o; NID=47=B0M7cpVHSBS4GCDpaHaCNld3v79-8twhdSMVCrHRy7jU9LSWgrOIRKCdZeasM5vSICKWCp8rDdXcIwoAoKrW9

¿ Solo eso ?.

No, hay más.  Además, el módulo http creará los archivos que ya hemos visto del tipo .xpl para la generación de gráficas. Por eso he puesto -zxy en tcptrace -zxy -xhttp -n -o1-3 casa.pcap.

En este caso se ha creado el archivo:

84.125.176.159_http.xpl
Vamos a usar Jplot para generar la gráfica:

java -jar jPlot.jar -t 84.125.176.159_http.xpl

El resultado:

Sobre TCPTRACE tenéis la siguiente información:

===

Y hata aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Interpretación capturas tráfico red. pcap, Seguridad y redes, tcptrace. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s