Beruflich Dokumente
Kultur Dokumente
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
a TCPDUMP
Introduccion
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Abstract
TCPDUMP es una herramienta que nos permite
analizar el trafico
que pasa por la red, la mayora de los
sniffers actuales, se basan en TCPDUMP.
Agenda
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y UDP
Analisis
basicos
Ejemplos
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Introduccion
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Organizar la recopilacion
de TCPDUMP
Aprender a interpretar un datagrama a nivel de bits
Ventajas y Desventajas
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Ventajas:
de la informacion
entregada es
La interpretacion
completamente personal
Desventajas:
No se registra el paquete completo
No es recomendable tenerlo en una red con mucho
trafico
Versiones de tcpdump
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
http://www.tcpdump.org
de
Cabe mencionar que en casi cualquier version
GNU/Linux se incluye tcpdump como parte de los
programas base. En caso de utilizarlo en otra plataforma,
estable de
se recomienda bajar y compilar la ultima
version
tcpdump.
Rojas Munoz
0101001110101101
1110100110000101001
1111000010100110011
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
tcpdump ejecutandose en
un host "sniffeando" la red
Filtros con
TCPDUMP
Analisis
basicos
Salida de tcpdump
Ejemplos
Salida estandard
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Comando: tcpdump
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Rojas Munoz
Comando: tcpdump -x
Resultado en hexadecimal:
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
UDP
Source
IP
Ejemplos
de la muestra
Modificando el tamano
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
El numero
de bytes capturados por default es solo una
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
tcpdump -e
09:51:54.186987 00:0b:cd:35:87:3b (oui Unknown) > 00:0e:0c:73:ac:9c (oui Unknown),
ethertype IPv4 (0x0800), length 98: djeheuty.ual.mx > mtorres.admvo.ual.mx:
ICMP echo request, id 27156, seq 41, length 64
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Rojas Munoz
4bit
version
4bit
IHL
Introduccion
Salida hexadecimal
8bit TTL
8bit TOS
8bit Protocolo
3bit
13bits Longitud (offset) fragmentos
banderas
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
8bits padding
hay que
Cuando se analiza un paquete de informacion,
obtener puntos de referencia para comprender los datos
mostrados en hexadecimal. Es importante averiguar
del encabezado de ip para continuar con
siempre el tamano
el analisis
de la siguiente parte del paquete.
IHL 4 para convertir a bytes; longitud total en bytes; offset 8 para convertir en bytes
Opciones IP
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Total de paquete
Agenda
IHL 7x4=28bytes
icmp
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Source
IP
13:32:53.468284 IP djeheuty.ual.mx > 200.23.64.1: ICMP echo request, id 39198, seq 9, length 20
0x0000: 4700 0030 9927 0000 0201 33f8 94f5 b519
0x0010: c817 4001 0183 0704 84f8 0a07 0800 42f1
0x0020: 991e 0009 0903 0000 e57a cb45 5b23 0700
padding
Dest.
IP
Opciones
de IP/Longitud total
Fragmentacion
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
D
F
Campos de TCP
a
Introduccion
TCPDUMP
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
J. Carlos
Rojas Munoz
4bit
HL
6bits reservado
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
16bits checksum
Filtros con
TCPDUMP
8bits relleno
Datos
Analisis
basicos
....
Ejemplos
Campos de UDP
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
16bits checksum
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
comunes
Estas opciones adicionales son las mas
cuando se utiliza esta herramienta
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
tcpdump -p
de nombres y
Deshabilitando la resolucion
servicios
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
mas
que lo que puede resolver los nombres de los
hosts que analiza. Por lo cual se recomienda no utilizar la
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
tcpdump -n
se puede dar el caso de que se este
Ademas
diagnosticando la conectividad de un puerto que
casualmente resuelva a uno encontrado en /etc/services, lo
completo. Puede
que impide realizar un diagnostico
mas
del puerto utilizando:
deshabilitar la resolucion
tcpdump -nn
Cambiando la interface
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
(eth 0)
La de menor numeracion
Que la interface se encuentre en up
Se excluye la interface loopback
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
como BPF
Los filtros de tcpdump, conocidos tambien
(Berkeley Packet Filter), son necesarios para capturar o leer
de manera especfica. Muchas veces se
informacion
con ciertas caractersticas. Esto
necesitara leer informacion
se logra mediante los filtros de tcpdump. Por ejemplo,
imaginemos que se observo un escaneo a un puerto
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Rojas Munoz
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
ip[9] = 1
tcp[2:2] < 20
udp[6:2] = 0
icmp[0] = 8
<macro><valor>
port 23
dst host 1.2.3.4
src net 0
Fundamentos bit/byte
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
pequena
unidad que puede ser manejada
El bit es la mas
por una computadora, puede ser 0 o 1. Un byte esta
compuesto de 8 bits. La cuenta de bytes comienza de 0.
Los filtros de tcpdump no tienen una forma sencilla de
representar un bit o multiples
bits de un paquete. Para esto
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
4-bits version
4-bits I.H.L.
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
IP:
Valor actual de la version
0
IP:
Valor deseado en la version
0
Rojas Munoz
IP:
Valor actual de la version
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
0
0
0
1
0
0
0
0
0
0
0
0
0
1
0
1
1
1
0
1
0
valor de la mascara:
0x0F
valor esperado: 0x05
Aplicando comando tcpdump: ip[0] & 0x0f
1
1
1
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
En la practica,
se encontrara con que es comun
examinar
paquetes en busca de estos campos.
Localizados en el encabezado de TCP
Determina cual es el estado de un segmento de TCP
dado
Usualmente se examina este campo aplicando filtros.
Este campo se encuentra en tcp[13]
Ejemplos
CWR
ECE
URG
ACK
PSH
RST
SYN
FIN
Analisis
basico
de trafico
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
intrusos? (insercion/evasi
on)
Enviar mensajes o crear canales ocultos para transferir
informacion
Provocar que un servidor activo genere una respuesta
para identificarlo: Si no se puede detectar un servidor
activo de una manera normal (con pings por ejemplo),
se pueden utilizar formas menos convencionales de
mapear al servidor. Algunos de estos ataques incluyen
enviar trafico
al destino y esperar un mensaje de error
donde se indique que esta trabajando.
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Herramientas
Nmap
Hping2
ISIC
nmap
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
de red y escaneador de
Herramienta de exploracion
seguridad
Examina redes y equipos para determinar:
Equipos activos
Servicios trabajando en los equipos
Sistema operativo funcionando en los equipos
sofisticadas disponibles para escanear remotamente un servidor. Utilizando
Es una de las herramientas mas
Analisis
basicos
cubiertas y canales ocultos, se puede analizar una red en busca de servidores funcionando, que servicios
Ejemplos
llamar la atencion,
como senuelo,
de tal forma, que cuando escanea o lanza trafico
a
inventada, el servidor o red destino no podra saber con exactitud desde donde
vino el trafico
enviado.
hping2
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
de la ventana
Definir el tamano
Fragmentar paquetes
ISIC
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Ejemplos
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
origen sea la
Capturar el trafico
cuya direccion
192.168.3.24
tcpdump src host 192.168.3.24
sea 192.168.3.25
Capturar el trafico
cuya direccion
tcpdump host 192.168.3.25
Capturar el trfico con destino a la direccin ethernet
0:2:a5:ee:ec:10
tcpdump ether dst 0:2:a5:ee:ec:10
Capturar el trfico que vaya a la mquina cuya direccin
MAC es 0:2:a5:ee:ec:10.
tcpdump ether host 0:2:a5:ee:ec:10
Capturar todo el trfico cuya red destino sea
192.168.1.0.
tcpdump dst net 192.168.1.0
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Y estos???
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Y estos???
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Y estos???
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Y estos???
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Y estos???
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Y estos???
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Y estos???
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Y estos???
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Referencias
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Analisis
de trafico
de red utilizando tcpdump UNAM
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
a
Introduccion
TCPDUMP
J. Carlos
Rojas Munoz
Agenda
Introduccion
Salida hexadecimal
Campos de IP
Campos de TCP y
UDP
Filtros con
TCPDUMP
Analisis
basicos
Ejemplos
Gracias!!!
crojas@ual.mx