Guía TCPDump

Transcript

1. Guía de TCPdump Preparado por: Daniel Rodríguez @dvirus V.1.0 http://shieldnow.co

   @ShieldNow

2. TCPDump es una herramienta de línea de comandos que permite

   capturar, leer y analizar tráfico de red, convirtiendo los bits de los paquetes TCP a un formato entendible. TCPdump apt-get install tcpdump yum install tcpdump Install WinPcap Download WinDump.exe https://www.winpcap.org

3. Captura de tráfico tcpdump -i any #Captura tráfico en cualquier

   interfaz tcpdump -i eth0 #Captura el tráfico de la Interfaz Ethernet tcpdump -i wlan0 #Captura el tráfico de la interfaz Wireless tcpdump -D # Lista las interfaces disponibles Se detiene la captura con Ctrl + C, el resultado será algo como esto: 130 packets captured 1128 packets received by filter 0 packets dropped by kernel 4 packets dropped by interface Guardar a Archivo tcpdump -i eth0 -w captura #Captura el tráfico y lo almacena en un archivo binario

4. 14:02:33.011375 Hora:Minutos:Segundos.fracción de segundo X.X.X.X Dirección IP de Origen Y.Y.Y.Y

   Dirección IP Destino :ICMP Puerto o Servicio Destino tcpdump -n -r captura.cap reading from file captura.cap, link-type EN10MB (Ethernet) 14:02:33.011375 IP X.X.X.X > Y.Y.Y.Y: ICMP X.X.X.X udp port 41324 unreachable, length 86 Leer Archivo tcpdump -r captura #Lee un archivo

5. Filtros tcpdump -i eth0 tcp #Captura el tráfico tcp tcpdump

   -i eth0 icmp #Captura icmp tcpdump -i eth0 proto #proto, se establece el protocolo a capturar, los valores posibles son: # arp, tcp, arp, rarp, udp, ip, igrp, icmp, icmp6 tcpdump -i eth0 vlan id #Captura el tráfico de una vlan correspondiente ej: vlan 52 tcpdump -i eth0 -c5 -n #La bandera “c” permite establecer el número de paquetes a capturar #La bandera “n” deshabilita la resolución de nombres (dns) tcpdump -i eth0 port 80 #Captura el tráfico con origen o destino al puerto 80 tcpdump -i eth0 portrange 10050-10051 #Rango de puertos

6. Filtros tcpdump src host 8.8.8.8 #Host origen tcpdump dst host

   8.8.8.8 #Host destino tcpdump net 192.168.0.0/24 #subred tcpdump -i eth0 host www.google.com #Captura el tráfico de un host específico tcpdump -i eth0 host www.google.com or www.shieldnow.co #Cuando el destio o el origen sea alguno de los host establecidos. tcpdump -i eth0 host not 8.8.8.8 # Omitir un host

7. Expresiones Operador Significado ! Negación Not Negación && Y and

   Y || o or o less menor greater mayor Filtros desde un archivo tcpdump –i eth0 –c 10 –w captura –F filtros

8. Extracción de detalles tcpdump -n -tttt -e -XX -r captura

   #Muestra la captura con la salida en formato hexadecimal # -tttt Timestamp como YYYY-MM-DD HH:MM:SS.milisegundos # -e Agrega encabezados de capa 2 # -X Muestra el contenido del paquete en Hex y ASCII # -XX Muestra adicionalmente los encabezados 2015-06-09 14:29:47.963841 In 08:5b:0e:83:0a:04 ethertype IPv4 (0x0800), length 68: Y.Y.Y.Y.443 > X.X.X.X.59594: Flags [.], ack 1, win 359, options [nop,nop,TS val 2325702139 ecr 5955310], length 0 0x0000: ffff ffff ffff 00e0 db10 e298 0806 0001 ................ 0x0010: 0800 0604 0001 00e0 db10 e298 0a04 17bd ................ 0x0020: ffff ffff ffff 0a04 17bd 0000 0000 0000 ................ 0x0030: 0000 0000 0000 0000 0000 0000 ............

9. A continuación encontrará una serie de ejercicios los cuales serán

   desarrollados bajo las instrucciones dadas en el taller. Ejercicio Capturar tráfico de cada una de las interfaces de red de su computador Descargar y analizar la captura del servidor de laboratorio Utilizar la combinación de expresiones y filtros para encontrar al atacante