___________________________
 
     Não se lamente pelos dados que foram roubados ou
     perdidos sem antes se lamentar por não ter contratado 
     um profissional especializado em segurança!
_______________________________
                                                          by Claudio Rocha 

Menu
Principal
Ethereal
NetXray
TCPdump/Windump
TCPshow
Snoop

Mensagem 1

Informa

BR

O caminho certo da Informação

 

Mensagem 2

SEJAM
BEM-VINDOS !

 

 
Ethereal:
 
Ferramenta Grátis.


http://www.ethereal.com

Ethereal é uma ferramenta grátis  distribuído sob regulamentos do GNU. Esta ferramenta habilita você examinar uma rede em funcionamento ou fazer a captura dos pacotes gerando um arquivo em disco para futura análise.

Exemplos: 

A Imagem mostra o Ethereal capturando pacotes da rede.



Aqui a imagem esta mostrado DNS lookup.



Tethereal, um modulo do ethereal no estilo  TTY- mode sniffer. 




Top of Page[Back to Top]

     
 
NetXray:
 
Ferramenta Comercial Grátis.


http://www.netxray.co.uk/

NetXray desenvolvido para plataforma Windows e tem como principais funções a captura de pacotes, mostra pacotes capturados anteriormente, gera trafego etc. O NetXray disponibiliza uma versão Demo para download. 

Exemplos:

Representação de trafego interno de uma rede.



Imagem mostra a captura de pacotes

 


Top of Page[Back to Top]

     
 
TCPdump/Windump:
 
Ferramenta Grátis.


http://www.tcpdump.org  (versão Unix)
http://windump.polito.it/
   (versão Windows)

TCPdump é uma ferramenta que mostra na tela/(gera um arquivo) os cabeçalhos dos pacotes que estão trafegando na rede e que satisfazem (operação boleana) as opções de comandos entradas pelo o usuário. Vale lembrar que o payload ou os dados propriamente dito não serão mostrados pelo TCPdump, visto que mesmo foi programado para analisar somente os cabeçalhos dos pacotes IP, TCP, UDP, ICMP etc.

* Libpcap (Packet Capture Library) é uma biblioteca necessária para prover interface para outras ferramentas que captura pacotes da rede tal como TCPdump e Windump.

Exemplo:

Aqui é uma amostragem do tcpdump output  entre o host rtsg e host csam.

rtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
rtsg.1023 > csam.login: . ack 1 win 4096 rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096 rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077 csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1 csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1

Comandos:

Opções

-n (não DNS lookup)
-v, -vv (verbose e mais verbose)
-x (mostra em Hexa)
-w (grava pacotes no arquivo)
-r (lê do arquivo criado pela opção -w)

Comandos

  • tcpdump host <hostname ou endereço IP> 
      # scaneia somente hostname ou IP especificado

  • tcpdump host \(10.10.100.100 and 10.10.200.200\)
      # scaneia os dois IP (comunicação entre dois IP)

  • windump host (10.10.100.100 and 10.20.200.200)  
     
    # OBS. windump não usa "\"

  • windump host (10.10.100.100 or 10.20.200.200) 
    # usando a opção "or" 

  • tcpdump port 386 and not host x.x.x.x  
    # scaneia a porta 386 mas descarta host IP x.x.x.x

  • tcpdump -n icmp  
    # o argumento -n evita name service queries
  • tcpdump icmp    
    # mostra qualquer pacote ICMP
  • tcpdump net 10.10.0.0 mask 255.255.0.0    
    #  scaneia restritamente a network especificada.

  • tcpdump -n -t tcp or udp      
    # scaneia restritamente  TCP ou UDP 

  •  tcpdump -n icmp and ip src 10.0.0.1  
    # scaneia especifico source IP e trafego de ICMP somente
  • tcpdump tcp port 22      
    # scaneia restritamente TCP port 22

 

Filtros == > Windump usa (“argumento”) ao invés de (‘argumento’).

  • tcpdump 'ip[0] & 0x0f > 5'
    # filtra pacotes com cabeçalhos maiores de 20 bytes.

  • tcpdump 'ip[8] > 5'
     
    # filtra pacotes com valores TTL maiores de 5.

  • tcpdump ‘ip[9] = 6’ 
    # filtra o 10º byte ou 9º offset  (protocol field) -  TCP = port 6  UDP = port 17
  • tcpdump -vv -n -x src host 192.168.0.24
     # filtra pacotes da fonte especificado.
  • tcpdump -vv -n -x dst host 192.168.0.24 
    # filtra pacote do destino especificado.
  • tcpdump –F filter_file 
    # usa o arquivo filter_file.txt para especifica filtragem.

Arquivo filter_file.txt

Este filtro tenta descobrir qualquer tentativa de inclusão de dados no pacote de SYN inicial.
Fonte: Livro Network Intrusion Detection - ISBN 0-7357-1008-2 - pagina 307 


######Inicio - cortar aqui
tcp[13] = 2
and
      (      ip[2:2] -
          ((ip[0] & 0x0f*4) -
          ((tcp[12] & 0xf0/4)
       ) != 0

######Fim - cortar aqui

 
  • tcpdump 'icmp[0] != 8 and icmp[0] != 0' 
    # filtra ICMP mas ignora echo requests/replies
    
    
  • tcpdump ‘ip[0] & 0x0f > 5’ 
    # filtra pacotes de IP maiores de 20 bytes
    
    
  • tcpdump ‘ip[19] = 0xff or ip[19] = 0x00’ 
    # filtra .255 ou .0 broadcast
    
    
  • tcpdump ‘tcp[13] = 2’  
    # filtra TCP com flag SYN
       1 = FIN , 2 = SYN , 4 = RST, 8 = PSH,
     16 = ACK, 32 = URG, 64/128 = REServed.

 

** O 0x usado nos filtros acima informam ao TCPdump/Windump que os valores estarão sendo representados  em hexadecimal ao invés de decimal.

 



Top of Page[Back to Top]

     
 
TCPshow:
 
Ferramenta Grátis.


http://www.tcpshow.org
http://www.thedumbterminal.co.uk/software/sniff.html (Sniff)

TCPshow infelizmente só existe para Unix ate este momento. Porem os códigos fontes são abertos e podem ser compilados para a plataforma windows (claro! algumas modificações terão que ser feitas) .

O programa Sniff também não oferece uma versão para o windows ate então.

As duas ferramentas acima são um opcional para o usuário que gosta ou tem dificuldades de interpretar os outputs do TCPdump. Essas ferramentas habilita o usuário a visualizar os logs gerados (tcpshow trabalha em real time)  pelo  TCPdump de modo mais amigavel/GUI.


Top of Page[Back to Top]

     
 
Snoop:
 
Ferramenta Grátis.

Snoop
Comando do Unix
Deve ser executado com  permissão root.

  • snoop |more 
    # executa o snoop e faz a paginação dos resultados na tela.

  • snoop |grep "ICMP Time exceeded"  
    # mostra os pacotes que contem a mensagem.

  • snoop –o <nome_arquivo>  
    # captura os pacotes da rede e gera (opção -o) um arquivo no formato binário.

  • snoop -o <nome_arquivo> -c 1000  
    # captura limitada (opção -c) de 1000 pacotes da rede.

  • snoop -V -o <nome_arquivo> -c 1000  
    # captura em summary (default), verbose summary (-V), e verbose mode (-v) um total de 1000 pacotes.

  • snoop -i <nome_arquivo> -v -p10-32,56  
    # filtra os pacotes 10 ao 32 e 56 do arquivo gerado na item anterior e com a opção se verbose summary.

  • snoop –o <nome_arquivo> from zeus or to 8:0:20:f1:b3:51 or net 192.168.3.0 not 192.168.3.58  
    # gera arquivo com opções por host name, Mac e network com uma exclusão de um IP.

**outra opções olhar no manual do snoop: man snoop

Top of Page[Back to Top]


Retornar