Tcpick un sniffer que realiza seguimiento y reensamblado de flujos
Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc. Se trata de una herramienta ya algo antigua (2005) pero totalmente usable.
Instalación de tcpick y uso básico.
Para instalar tcpick tan solo es encesario un simple
sudo apt-get install tcpick
que instalará la última versión correspondiente a la 0.2.1.
El uso más basico serÃa le siguiente:
tcpick -i interface red
tcpick -r archivo.pcap
La primera diferencia respecto a otros capturadores tipo windump/tshark/tcpdump es el tipo de información que muestra:127 SYN-SENT 192.168.1.5:59009 > 192.168.1.96:280
127 RESET 192.168.1.5:59009 > 192.168.1.96:280
128 SYN-SENT 192.168.1.5:59009 > 192.168.1.96:ospfd
128 RESET 192.168.1.5:59009 > 192.168.1.96:ospfd
129 SYN-SENT 192.168.1.5:59009 > 192.168.1.96:5510
129 RESET 192.168.1.5:59009 > 192.168.1.96:5510
130 SYN-SENT 192.168.1.5:59009 > 192.168.1.96:32783
130 RESET 192.168.1.5:59009 > 192.168.1.96:32783
vemos de forma clara la información del track o sesión, estado conexión, IP origen y destino con los puertos correspondientes.
Vamos a aplicar ahora un filtro BPF, colorear la salida (-C) y mostrar información de una sola sesión (-T1) :
tcpick -r ids_2.pcap “port 21” -C -T1
PodrÃamos añadir marcas de tiempo com -t o -td. También mostrar más información como puertos e IP origen y destino flags TCP, etc con -h, con lo que ya no mostrarÃa solo la infomación desde el puntio de vista de la sesión, ahora se mostrarÃa el “diálogo” completo de la sesión 1:
tcpick -r ids_2.pcap “port 21” -C -T1 -t -h
Tratándose de una conexión FTP es posible que contenga datos, passwords, usuario, etc. Para ello vamos a visualizar los datos contenidos en el paylodad de los paquetes.
Tenemos varias formas de hacerlo:
-yH Para visualizar los datos en formato hexadecimal (spaced-mode).
-yP -yR –yU Mostrará los datos de forma más “humana”.
-yx Datos en formato hexadecimal
-yX Datos en forma hexadecimal y ASCII.
Por ejemplo:
tcpick -r ids_2.pcap “port 21” -C -T1 -yP
Recostrucción de secuencia TCP y escritura a fichero. Extracción de ficheros.
Para escribir los datos a fichero, usaremos la opción –wR de la forma:
tcpick -r ids_2.pcap “port 21” -C -T1 -wR
En este caso escribirá dis ficheros uno del lado del cliente y otro del servidor:
tcpick_192.168.101.240_19x.xxx.xx.85_ftp.clnt.dat
tcpick_192.168.101.240_19x.xxx.xx.85_ftp.serv.dat
PodrÃamos especificar para servidor y cliente de la forma -wRS y –wRC
El contenido de estos ficheros los podemos visualizar, están en modo texto, con cat por ejemplo.
Extracción de ficheros sesión ftp.
Ahora vamos a extraer el fichero o ficheros transmitidos en una sesión FTP:
tcpick -r ./pcap1/ftp_01.pcap -yP -h
vemos que tenemos unas lÃneas de salida:
227 Entering Passive Mode (79,xxx,xx,xx,x,91) STOR Gu..a de Administraci..n de Redes 2.0.pdf 10 SYN-SENT 192.168.1.5:5841 > 79.xxx.xx.x:15963 10 SYN-RECEIVED 192.168.1.5:5841 > 79.xxx.xx.x:15963 10 ESTABLISHED 192.168.1.5:5841 > 79.xxx.xx.x:15963 150 Connection accepted
Ahora podrÃamos hacer:
tcpick -r ./pcap1/ftp_01.pcap -wR “port 5841“
Obtendremos el fichero:
2287276 jun 5 17:06 tcpick_192.168.1.5_79.148.235.26_15963.serv.dat
que corresponde al .pdf que hemos extraÃdo. si renombramos el dat a pdf podremos abrirlo sin problema.
Visualizando datos de captura.
Algunos tips para usar con tcpick:
tcpick -r ../pcap1/captura.pcap -C -yP | grep GET
tcpick -r ../pcap1/captura.pcap -C -yP -S -h
Tcpick un sniffer que realiza seguimiento y reensamblado de flujos
![Tcpick un sniffer que realiza seguimiento y reensamblado de flujos]()
Reviewed by PDFREEBOOK
on
21:49
Rating:
Post a Comment