Una de las actividades más comunes en la
administación de una red o administración de seguridad, es la del
análisis de tráfico de dicha red. No sólo el tráfico que fluye a través de nuestra
LAN, sino que también debemos analizar el tráfico entrante y saliente hacia
INTERNET a tráves de los servicios que tengamos instalados, proxies, etc.
Esto es así, porque, como ya sabéis, es necesario para la detección de problemas y, sobre todo, para detectar tráfico no esperado, presencia de puertas traseras, escaneos y cualquier otra intrusión.
Existen muchas herramientas que pueden sernos muy últiles
dependiendo del S.O. y
tipo de red, por ejemplo. Una de estas herramientas es un
sniffer de red, basada en la
librería de captura de paquetes (pcap) y que además funciona en plataformas tanto
Windows como
GNU/Linux-UNIX es
TCPDump (GNU/Linux) /
Windump (Windows), ésta última hace uso de la
librería Winpcap.
Estas dos librerías son usadas por otras herramientas como
Ethereal o
Snort, e incluyen un
lenguaje de filtros común para todos.
Quizás Windump/TCPDump no sea la herramienta perfecta atendiendo a la interpretación fácil de los datos reportados, pero sí que es de las mejores en cuanto a su potencia y cantidad de datos de que nos provee.
Una vez instalada la librería y el programa en sí, tan sólo debemos
introducir en la línea de comandos (haremos referencia a Windump, para windows, aunque casi todo es válido para su versión GNU/Linux):
C:\scan>windump
windump: listening on\Device\Packet_{604C8AE3-5FAC-45A
17:18:16.375082 FIERY.138 > 192.168.4.255.138:
>>> NBT UDP PACKET(138) Res=0x1102 ID=0xE IP=192 (0xc0
0xeb) Port=138 (0x8a) Length=187 (0xbb) Res2=0x0
SourceName=FIERY X2E NameType=0x00 (Workstation)
DestName=
WARNING: Short packet. Try increasing the snap length
17:18:16.679312 INFO2.1027 > INFO8.3233: udp 256
17:18:16.792878 arp who-has FIERY tell INFOGRAFIA3
17:18:16.793204 arp reply FIERY is-at 0:c0:85:27:39:15
17:18:16.793217 INFOGRAFIA3.137 > FIERY.137:
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:16.793729 FIERY.137 > INFOGRAFIA3.137:
>>> NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
17:18:16.898314 INFO8.3233 > INFO2.3234: udp 256
17:18:17.185571 0:a0:c9:1c:c1:f5 > Broadcast sap e0 ui/C
>>> Unknown IPX Data: (43 bytes)
Vaya, aparte de unas
peticiones ARP, parece que no nos enteramos de casi nada.
Windump capturará TODOS los datos de tráfico de nuestra red, pudiendo ser que los datos a través de la consola vayan tan rápidos y de tal cantidad, que nos sea imposible descifrar o simplemente entender algo.Veamos entonces cómo funciona
Windump, cómo interpretar sus datos y cómo sacar el máximo partido de él.
