[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sniffers



El Domingo, 9 de Julio de 2006 12:59, Aritz Beraza Garayalde [Rei] escribió:
> El Domingo, 9 de Julio de 2006 00:27, max escribió:
> > Una duda. He visto Sniffers como tcpdump o ethereal. Específicamente
> > TCPDump, tengo dudas al respecto.
> > Teoricamente si yo por ejemplo me bajo correos por el protolo POP de
> > un servidor que no utiliza SSL/TLS debería de poder ver con un
> > Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers
> > veo las conexiones con el servidor pero /no veo el mensaje/ que
>
> Depende del sniffer y la gui usada. Yo suelo usar ettercap. Cuando estas
> esnifando en tiempo real, ettercap te muestra las conexiones que se
> realizan a y desde un equipo o en una red. Si seleccionas una conexion
> veras todo lo que se transmite. En ethereal la cosa es similar, solo que
> no lo ves en tiempo real. Lo pones a esnifar y va almacenando todo lo que
> esnifa, y te indica los paquetes esnifados. Luego al parar de esnifar te
> muestra en la parte superior los paquetes esnifados y si seleccionas uno,
> en la parte ifnerior podras ver el paquete perfectamente desglosado, si
> quieres ver los mails o passwords, tendras que mirar la carga util, alli
> deberias ver lo que bucas.
>
> > contienen esos paquetes, es decir, el correo que se está enviando o
> > recibiendo. También teoricamente si si yo me conecto vía Telenet a
> > otra computadora todo esta bajo texto plano. Pero entonces cómo hago
> > con tcpdump para ver por ejemplos los comandos que se están
> > ejecutando??? O la contraseña que se está enviando???
>
> No se si recuerdo bien, pero creo que tcpdump guarda los datos en un
> formato que entiende ethereal. Abre el dump con ethereal y alli ve
> buscando.
>
> > Yo como mucho lo mas que he logrado ver es esto:
> >
> > 1023873914.125606 fulton.ssh > spider.1145: P
> > 3066603742:3066603806(64) ack 1646168027  win 17520 [tos 0x10]
> >                          4510 0068 7e87 4000 4006 3862 c0a8 011e
> >                          c0a8 0128 0016 0479 b6c8 a8de 621e 87db
> >                          5018 4470 1813 0000 e492 152f 23c3 8a2b
> >                          4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4
> >                          52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604
> >                          b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0
> >                          a368 a03f 425b 6211
> >
> > Pero mas de ahí no he visto mas. Osea esos paquetes no deberían
> > contener los comando y todas esas cosas?
>
> Un paquete esta compuesto por las cabeceras de los diferentes protocolos o
> niveles de red sobre los que se envia, y finalmente la carga util. Puede
> que al principio no encuentres la carga util entre tanta cabecera, por eso
> ethereal te ira muy bien, el separa por ti cada cosa.
>
>
> Saludos
> Aritz Beraza [Rei]

Hola, una cosa del ethereal, si que lo puedes monitorizar en tiempo real. Al 
menos que yo sepa utilizandolo con el kismet y el aircrack, me acuerdo que 
había una opción que te permitía mirar los paquetes a medida que los coge. 
Sino recuerdo mal, estaba en una de las opciones que te da el menú antes de 
que se ponga a recoger paquetes (a la derecha en el medio).

Saludos
Jorge Peñalba



Reply to: