tcpdump a.2

Click here to load reader

Post on 29-Jun-2015

299 views

Category:

Education

8 download

Embed Size (px)

DESCRIPTION

Tcpdump Sniffer

TRANSCRIPT

  • 1. tcpdumpClase 414-03-2013

2. tcpdump tcpdump es un herramienta en lnea de comandos cuya utilidad principales analizar el trfico que circula por la red. Permite al usuario capturar y mostrar a tiempo real los paquetestransmitidos y recibidos en la red a la cual el ordenador est conectado. tcpdump funciona en la mayora de los sistemas operativos UNIX: Linux,Solaris, BSD, Mac OS X, HP-UX y AIX entre otros. En esos sistemas, tcpdumphace uso de la biblioteca libpcap para capturar los paquetes que circulanpor la red. 3. tcpdump Existe una adaptacin de tcpdump para los sistemas Windows que sellama WinDump y que hace uso de la biblioteca Winpcap. En UNIX y otros sistemas operativos, es necesario tener los privilegios delroot para utilizar tcpdump. El usuario puede aplicar varios filtros para que sea ms depurada la salida.Un filtro es una expresin que va detrs de las opciones y que nos permiteseleccionar los paquetes que estamos buscando. En ausencia de sta, eltcpdump volcar todo el trfico que vea el adaptador de redseleccionado. 4. Utilizacin frecuente de tcpdump Para depurar aplicaciones que utilizan la red para comunicar. Para depurar la red misma. Para capturar y leer datos enviados por otros usuarios u ordenadores Algunos protocolos como telnet y HTTP no cifran los datos que envan en lared. Un usuario que tiene el control de un router a travs del cual circulatrfico no cifrado puede usar tcpdump para conseguir contraseas u otrasinformaciones. 5. Utilizacin frecuente de tcpdump Para depurar aplicaciones que utilizan la red para comunicar. Para depurar la red misma. Para capturar y leer datos enviados por otros usuarios u ordenadores Algunos protocolos como telnet y HTTP no cifran los datos que envan en lared. Un usuario que tiene el control de un router a travs del cual circulatrfico no cifrado puede usar tcpdump para conseguir contraseas u otrasinformaciones. 6. Funcionamiento Para depurar aplicaciones que utilizan la red para comunicar. Para depurar la red misma. Para capturar y leer datos enviados por otros usuarios u ordenadores Algunos protocolos como telnet y HTTP no cifran los datos que envan en lared. Un usuario que tiene el control de un router a travs del cual circulatrfico no cifrado puede usar tcpdump para conseguir contraseas u otrasinformaciones. 7. Parmetros tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -Z user ] [ expression ] 8. Parmetros tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -Z user ] [ expression ] 9. Parametros -A: Imprime cada paquete en cdigo ASCII -D: Imprime la lista de interfaces disponibles -n: No convierte las direcciones de salida -p: No utliza la interfaz especificada en modo promiscuo -t: No imprime la hora de captura de cada trama -x: Imprime cada paquete en hexadecimal -X: Imprime cada paquete en hexadecimal y cdigo ASCII -c count: Cierra el programa tras recibir count paquetes -C file_size -E algo:secret -F file 10. Parametros -i interface: Escucha en la interfaz especificada -M secret -r file -s snaplen -T type -w file: Guarda la salida en el archivo file -W filecount -y datalinktype -Z user 11. Filtros type [host|net|port]: Mquina en particular [host], red completa [net] opuerto concreto [port]. dir [src|dst|src or dst|src and dst]: Especifica desde [src] o hacia dnde[dst] se dirige la informacin. proto [tcp|udp|ip|ether]: Protocolo que queremos capturar. La opcin -d es til a la hora de depurar un filtro. La misma produce unvolcado del filtro que ha sido compilado en una forma legiblehumanamente y detiene la ejecucin del programa. 12. Filtros Por ejemplo: tcpdump -d "tcp or ip multicast or vlan 600 and ip multicast" 13. Filtros Produce el siguiente volcado: (000) ldh [12] (001) jeq #0x86dd jt 2 jf 4 (002) ldb [20] (003) jeq #0x6 jt 13 jf 18(004) jeq #0x800 jt 5 jf 9 (005) ldb [23] (006) jeq #0x6 jt 13 jf 7 (007) ldb [30] (008)jge #0xe0 jt 13 jf 18 (009) jeq #0x8100 jt 10 jf 18 (010) ldh [14] (011) and #0xfff(012) jeq #0x258 jt 13 jf 18 (013) ldh [16] (014) jeq #0x800 jt 15 jf 18 (015) ldb [34](016) jge #0xe0 jt 17 jf 18 (017) ret #96 (018) ret #0 Salida del comando src > dst: flags [dataseq ack window urgent options]15:23:44.772291 IP 192.168.1.17.52798 > 85.Red-83-37-170.dynamicIP.rima-tde.net.65000: . ack 1791 win 7851

View more