[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sniffers

On Sat, 8 Jul 2006 18:27:04 -0400
max <mota.vnz@gmail.com> wrote:

> Una duda. He visto Sniffers como tcpdump o ethereal. Específicamente
> TCPDump, tengo dudas al respecto.
> Teoricamente si yo por ejemplo me bajo correos por el protolo POP de
> un servidor que no utiliza SSL/TLS debería de poder ver con un
> Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers
> veo las conexiones con el servidor pero /no veo el mensaje/ que
> contienen esos paquetes, es decir, el correo que se está enviando o
> recibiendo. También teoricamente si si yo me conecto vía Telenet a
> otra computadora todo esta bajo texto plano. Pero entonces cómo hago
> con tcpdump para ver por ejemplos los comandos que se están
> ejecutando??? O la contraseña que se está enviando???
> 
> Yo como mucho lo mas que he logrado ver es esto:
> 
> 1023873914.125606 fulton.ssh > spider.1145: P
> 3066603742:3066603806(64) ack 1646168027  win 17520 [tos 0x10]
>                          4510 0068 7e87 4000 4006 3862 c0a8 011e
>                          c0a8 0128 0016 0479 b6c8 a8de 621e 87db
>                          5018 4470 1813 0000 e492 152f 23c3 8a2b
>                          4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4
>                          52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604
>                          b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0
>                          a368 a03f 425b 6211
> 
> Pero mas de ahí no he visto mas. Osea esos paquetes no deberían
> contener los comando y todas esas cosas?
> 
> Espero que me resuelvan mi duda, Nos vemos
> 
> Max
> 

Yo usé el Snort una vez para investigar unos problemas con el Samba y lo que vi en los logs fueron cosas del siguiente estilo:

06/01-10:33:16.387041 0:11:11:AD:E6:CF -> 0:8:A1:8B:7D:1F type:0x800 len:0x75
a.b.c.d:1098 -> x.y.z.t:445 TCP TTL:128 TOS:0x0 ID:24844 IpLen:20 DgmLen:103 DF
***AP*** Seq: 0x4DACB204  Ack: 0x3AA637F7  Win: 0xFFFF  TcpLen: 20
00 00 00 3B FF 53 4D 42 2E 00 00 00 00 18 07 C8  ...;.SMB........
00 00 00 00 00 00 00 00 00 00 00 00 02 00 FF FE  ................
00 00 C0 77 0C FF 00 DE DE 4B 2F 00 00 00 00 00  ...w.....K/.....
08 00 08 00 00 00 00 00 08 00 00 00 00 00 00     ...............

Claro, habían muchísima más cosa y en algunas lineas se veía explicitamente el nombre NetBIOS de las máquinas en cuestión.

En el manual del Snort decía que si estás en una red de alta-velocidad (10 mbps ya sería alta-velocidad) lo mejor es hacer un log de todo en un archivo e ir a mirarlos después con calma.

Saludos.

-- 
Miguel Da Silva.
Servicio de Informatica.
Facultad de Ciencias.
Reply to: