Tcpick. Capturando y visualizando impresiones en red con -wR desde fichero .pcap.

Ya vimos en su momento que la herramienta Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc.  Subrayo lo de mostrar información de payload o carga últil porque, en esta ocasión, vamos a usar esta característica de Tcpick para visualizar información de archivos de impresiones en red.

Antes que nada.

Antes que nada, aquí (https://seguridadyredes.wordpress.com/2012/06/06/tcpick-un-sniffer-que-realiza-seguimiento-y-reensamblado-de-flujos-tcp-mostrando-datos-payload/) tenéis toda la información para instalar Tcpick y su forma de uso.

Usaremos –wR para volcar los datos capturados en archivo. Este comando volcará información de llado del cliente y del servidor. Para nuestro objetivo, es suficiente la parte del servidor (*serv.dat). Aunque como ya vimos podemos discriminar:

-wRS (para información de llado del servidor y –wRC
(par ael lado del cliente).

En esta ocasión usaré -wR.

Información previa.

Tenemos un archivo de captura de red .pcap. En esta captura hay gran cantidad de información y tenemos que filtrar. La comunicación del servidor de impresión con la impresora se realiza usando el puerto 9100. Por tanto, tendremos que crear un filtro en Tcpick. Quedará de esta forma:

tcpick -r captura4.pcap -wR “port 9100

Analizando y extrayendo la información.

Una vez realizado esto, se crean dos archivos .dat que son:

  • tcpick_192.168.1.250_192.168.1.201_9100.clnt.dat
  • tcpick_192.168.1.250_192.168.1.201_9100.serv.dat

Como hemos dicho nos interesa el segundo. Lo editamos….:

Tenemos varios tipos de información. Se puede ver que se trata de un fichero .ps PostScript.

Para identificar corretamente el formato del archivo, estudiamos el formato .ps ( http://partners.adobe.com/public/developer/ps/index_specs.html ) concretamente este http://www.adobe.com/products/postscript/pdfs/PLRM.pdf

Así que lo que nos queda es preparar el archivo para que sea un .ps (PostScriptválido.

Para ello borramos todo lo que hay por encima de:

%!PS-Adobe-3.0

y todo lo que hay por debajo (no se ve en la captura del ejemplo) de:

 %%EOF

Salvamos con la extensión .ps y abrimos con un visor de ps:

========

Y hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Herramientas, Seguridad y redes y etiquetada . Guarda el enlace permanente.

Una respuesta a Tcpick. Capturando y visualizando impresiones en red con -wR desde fichero .pcap.

  1. nx0 dijo:

    útil y conciso como siempre. Por favor no dejes de publicar!

    Saludos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s