Qué deberíamos saber sobre Tcpdump (parte III)

Es aquí donde el viejo y sabio maestro de Kungfu diría "donde ves tú la debilidad veo yo la fortaleza" si piensas que Tcpdump ha quedado obsoleto por la aparición de herramientas con interfaz gráfica como Wireshark.


Tómate un tiempo y piénsatelo de nuevo...

En esta entrada vamos a ver como una herramienta (la cual suponíamos que conocíamos) puede darnos con poco esfuerzo gratos momentos dejando atrás la idea que teníamos de ella, y veremos como el inconveniente que algunos creen que tiene se convierte en su mayor ventaja... no está de más decir que hay herramientas más preparadas para lo que vamos a hacer...

Dónde colocar nuestro sniffer

Tenemos que colocar el sniffer en algún sitio por el que pase todo el tráfico que nos interese. Esto lo podemos hacer con algunas capacidades de los switches como el Port Mirroring (puertos espejo) o cualquier electrónica de red por la que pase todo el tráfico (Firewalls, TAP, Apliances).

Desde luego estamos hablando de una red nuestra....para los "otros casos " siempre nos quedara el envenenamiento Arp.

Aclaro esto puesto que no sé cuántas veces he tenido que oír : "no puedo capturar el tráfico de mi red" incluso de gente que no es tan profana en la materia....
 
Qué queremos capturar
 
Ya hemos visto varios ejemplos de cómo dar con el "paquete adecuado"... creo que no cabe más mención respecto a este tema...
Bueno al grano....

Vamos a imaginar que estamos a cargo de una red, o mejor que estamos dentro de una red en la cual sospechamos que alguien hace uso del email para contactar con sus secuaces.....(XD mola poner casos inverosímiles) y sospechamos que van a poner una BOMBA...

Paso de estar registrando largas capturas o perder los ojos en el Wireshark voy a dejar a Tcpdump que se lo curre un poquito... puff pero no sé programar...O_o ....chachan!!! pero se hacer filtros!!!

tcpdump -i wlan0  -n -X -s 1500 port 25 | grep  -A 30 -B 5 BOMBA


Con este ejemplo tan tonto lo que hemos querido dejar patente es que gracias a que Tcpdump está hecho expresamente para funcionar en la línea de comandos, es facilísimo implementarlo directamente en un script, y con poquísimos medios y conocimientos hemos sido capaces de escudriñar hasta dar con nuestro objetivo.

Podríamos haber sido más precisos a la hora de hacer el filtro (jeje y más técnicos)  pero el objetivo es ver la simpleza...

Y si lo llevamos más lejos de grep....

Lo que haremos con el siguiente ejemplo es identificar quien nos está haciendo ping y si nos da la gana lo bloquearemos:


Nótese que la simpleza del script es crítica , pero si desarrollamos la idea, nos puede quedar un bonito firewall interactivo; o podríamos automatizar medidas de defensa o ataque...

Un poco más...

Para este ejemplo nos vamos a valer de Mausezahn ya hemos hablado del aquí un par de veces es más este ejemplo ya lo vimos también... 

Lo que haremos es secuestra una sesión tcpip y cortarla con un paquete rst. Para esto debemos dar con un número de secuencia válido e inyectar nuestro paquete a tiempo:


 CÓDIGO EN PASTEBIN

Mediante envenenamiento de Arp colocamos a Tcpdump en disposición de capturar los paquetes de nuestra víctima la cual está conectando por SSH a una máquina remota.  

Con  tcpdump -S recogemos los números absolutos de la secuencia del flujo de paquetes, con MZ montamos un paquete valido para secuestrar la sesión y cerrar la conexión...

Espero que este artículo haya despertado tu interés por Tcpdump y os haya dado algunas ideas nuevas. 

Además de sus muchas características y opciones integradas, como he mostrado en varios ejemplos, Tcpdump puede ser utilizado como un conducto de paquetes de datos dirigiendo su salida a la entrada de otros comandos para expandir aún más las posibilidades.

Las formas de usar tcpdump sólo están limitadas por tu imaginación. 

Tcpdump también es una increíble herramienta de aprendizaje. No hay mejor manera de aprender cómo trabajan las redes y los protocolos que observando sus paquetes reales. 

El legado de Tcpdump

Tcpdump ha sido la herramienta de captura de paquetes de facto durante los últimos 25 años. Esta realmente generó todo una categoría de utilidades de redes basadas en sniffing y análisis de paquetes. 

Antes de Tcpdump, la captura de paquetes demandaba demasiado procesamiento lo que la hacía muy poco práctica. Tcpdump introdujo algunas innovaciones y optimizaciones clave que ayudaron a hacer que la captura de paquetes fuera más viable, tanto para los sistemas regulares como para las redes con mucho tráfico. 

Las utilidades que llegaron después no sólo siguieron el ejemplo de Tcpdump, sino que también incorporaron directamente sus funcionalidades de captura de paquetes. Esto fue posible porque desde muy temprano, los autores Tcpdump decidieron separar el código de captura en una librería portable llamada libpcap.

Wireshark, ntop, snort, iftop, ngrep y cientos de otras aplicaciones y utilidades disponibles en la actualidad se basan en libpcap. Incluso la mayoría de aplicaciones de captura de paquetes para Windows se basan en un "port" de libpcap llamado WinPcap.

Bueno un saludo y sed buenos (que vienen los reyes)... 

Serie de artículos: Qué deberíamos saber sobre Tcpdump (parte 1, parte 2, parte 3).

3 comentarios :

  1. Muy bueno, pero acá falta explicar un pequeñisimo detalle técnico. Para la interfaz wlan (wireless lan) no es posible escanear los paquetes que vengan de la misma red inalambrica debido que los routers inalambricos y los access point actúan como switch y no como repetidores de la señal, es decir solo puedes ver los paquetes dirigidos a broadcast y multicast, no puedes ver los paquetes unicast como normalmente los verias en una red ethernet. ¿Como solucionas ese problema para las wlan?

    ResponderEliminar
    Respuestas
    1. para todo hay remedio en esta vida.....arp poisoning....no lo explique por que mi cabeza lo obvió.....XD

      Eliminar
  2. si lo puse si :P envenenamiento arp o arpoisoning arpspoofing :http://es.wikipedia.org/wiki/ARP_Spoofing......para este proposito mas especificamente seria MITM o man in the midle atack
    Puedes llevarlo a cabo con ethercap, a pelo como esplico en otra entrada..http://www.hackplayers.com/2012/11/haciendo-el-gamberro-en-intranet-and-hacking-con-dos-piedras-parte-1.html ...con dsniff hay millones de herramientas que te serviran....un saludo

    ResponderEliminar