tcpdump: El arte de capturar y analizar el tráfico de red

Transcripción

1 tcpdump: El arte de capturar y analizar el tráfico de red Tcpdump, es de uno de los analizadores de paquetes de red más conocidos e importantes en lo que a línea de comandos en entornos Unix se refiere. Su principal función es la de analizar el tráfico que circula por la red. Este programa viene dede 1987, época en la que sus autores Van Jacobson, Craig Leres y Steven McCanne trabajaban en el Lawrence Berkeley Laboratory Network Research Group,. El programa es ampliado por Andrew Tridgel. Se le puede relacionar con el término Sniffer. Los sniffers son analizadores de red o analizadores de paquetes que nos permiten capturar tráfico en nuestra red para posteriormente poder realizar un análisis de la información recogida. Se trata de configurar nuestra tarjeta de red en un modo denominado promiscuo, que nos permita no sólo escuchar los paquetes que vienen destinados a nosotros, sino que se trata de escuchar todo el tráfico que se genera en la red. Es una herramientas indispensable en su labor diaria del administrador de red. Entre sus muchas funciones podemos citar como ejemplos: Detectar problemas de red Detectar intrusiones Conocer y monitorizar el tráfico que se está generando Control de ancho de banda, etc Históricamente en todas aquellas redes centralizadas a través de concentradores hub, era muy fácil colocar un sniffer que nos permitiese escuchar todo el tráfico que se generaba en la red. Qué podemos encontrar en las capturas? Por ejemplo, muchos usuarios y contraseñas. Hay que tener claro que son muchos los protocolos inseguros por naturaleza en los que los usuarios/contraseñas viajaban en texto claro. Protocolos como smtp, pop3, ftp, http, Telnet, etc pueden ser sólo algunos ejemplos. Como casi siempre sucede en el mundo de las TIC, la seguridad no suele ser la fase más importante a la hora de abarcar un proyecto. Si preguntamos a nuestro sistema Debian por Tcpdump, nos dirá: #apt-cache search -f tcpdump Package: tcpdump Maintainer: Romain Francoise Description: A powerful tool for network monitoring and data acquisition This program allows you to dump the traffic on a network. tcpdump is able to examine IPv4, ICMPv4, IPv6, ICMPv6, UDP, TCP, SNMP, AFS BGP, RIP, PIM, DVMRP, IGMP, SMB, OSPF, NFS and many other packet types.. It can be used to print out the headers of packets on a network interface, filter packets that match a certain expression. You can use this tool to track down network problems, to detect "ping attacks" or to monitor network activities. Homepage: Tag: admin::monitoring, interface::commandline, network::scanner, protocol::{ip,i Para ver sobre que interfaces podemos empezar a escuchar tráfico: #tcpdump -D 1.eth0 2.wlan0 3.any (Pseudo-device that captures on all interfaces) 4.lo Seleccionamos la interface sobre la que lanzar la captura #tcpdump -i wlan0 ó #tcpdump -i 2 La respuesta sería una lìnea del tipo: 20:50: IP portatil > fx-in-f106.1e100.net.www: Flags [S], seq

2 El formato general de la línea mostrada es el siguiente: timestamp src > dst: flags data-seqno ack window urgent options Timestamp (20:50: ) nos da la fecha en la que se produce el evento. Vemos que tenemos fracciones de segundo, ya que puede haber varios paquetes por segundo Src ( X.X.34296) y dst( ) son las IP host de Origen-destino junto con su puerto. > Dirección del flujo de datos. Flags [S] - Combinación de todas las posibles banderas que ya conocemos S (SYN), F (FIN), P (PUSH), R (RST), U (URG), W(ECN CWR), E (ECN-Echo) or `. (ACK), or `none if no flags are set. Data-seqno (seq ) Describe el numero de secuencia de la porción de datos Ack - Numero de secuencia del próximo byte que se espera recibir en la conexión. Window (win 5840) Informa del tamaño de ventana. Urg indica que hay información que hay que procesar como urgente en el paquete. Options (options [mss 1460,sackOK,TS val ecr 0,nop,wscale 6], ) - Opciones Tcp que han de ir entre corchetes. Es importante comentar que los datos de src, dst y Flags han de estar siempre presentes. El resto de los campos dependerán en función del contenido de las cabeceras del protocolo TCP. Las opciones de Tcpdump a la hora de realizar la captura: -n: No realiza resolución de nombre #tcpdump -n -i wlan0 # 21:14: IP X.X > : Flags [P.], seq :3278 -A: escribe cada paquete en formato ASCII (puede resultar útil para páginas web) #tcpdump -n -A -i wlan0 host tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlan0, link-type EN10MB (Ethernet), capture size bytes 21:16: IP X.X > : Flags [P.], seq : , ack , win 1002, options [nop,nop,ts val ecr ], length 875 E...(.@.@.....fJ}'i...P.lp. ]1G......wM7..GET / HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; Linux i686; rv:5.0) Gecko/ Firefox/5.0 Iceweasel/5.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate. -c X: Se detiene después de recoger X paquetes #tcpdump -n -A -i wlan0 -c 1 21:19: IP X.X > : Flags [S], seq , win 5840, options [mss 1460,sackOK,TS val ecr 0,nop,wscale 6], length 0 1 packets captured -e: imprime encabezados a nivel de enlace #tcpdump -e -i wlan0 c1 21:20: :22:fb:9a:xx:xx > 00:18:39:ae:8x:a2, ethertype IPv4 (0x0800), length 941: x.x > : Flags [P.], seq : , ack , win 721, options [nop,nop,ts val ecr ], length packets captured -2-

3 -p: pone la tarjeta en modo no promiscuo Con ifconfig -a vemos si la tarjeta se encuentra en modo promiscuo -q: imprime menos información por lo que las líneas son más cortas #tcpdump -q -i wlan0 c1 21:30: IP portatil.local > fx-in-f99.1e100.net.www: tcp 0 1 packets captured -r: lee los paquetes guardados con la opción -w -S: imprime valores absolutos de números de secuencia -s: tamaño (por defecto bytes) -t que no escriba el timestamp #tcpdump -t -q -i wlan0 -c1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode IP portatil.local > fx-in-f147.1e100.net.www: tcp 5 -tttt vamos a ver fecha / hora #tcpdump -tttt -q -i wlan0 -c1 listening on wlan0, link-type EN10MB (Ethernet), capture size bytes :38: IP pedlap.local > fx-in-f147.1e100.net.www: tcp 5 -w: fichero escribe un fichero con la salida #tcpdump -tttt -q -i wlan0 -c1 -w fichero.cap -G: Rota el fichero especificado con la opcion -w segundos -v: información de salida, -vv mas, -vvv y mas -x:. escribe la información de cada paquete en Hex menos cabeceras a nivel de enlace. -gateway host: imprimir tráfico a través de host gateway Internet. #tcpdump -x -q -i wlan0 -c1 21:41: IP portatil.local > fx-in-f103.1e100.net.www: tcp 0 0x0000: c acda ab8 0acf d666 0x0010: 4a7d 2767 a78f f4 86a x0020: a002 16d b a 0x0030: a7a xx: escribe la información de cada paquete en Hex menos cabeceras a nivel de enlace. -X:. escribe la información de cada paquete en Hex y Decimal -XX: escribe la información de cada paquete en Hex y Decimal EXPRESIONES Para trabajar con ellas nos van a permitir filtrar resultados. host: Filtrar el tráfico por Host. #tcpdump -n -i wlan0 -c1 host 21:47: IP X.X > : Flags [S], seq , win 5840, options [mss 1460,sackOK,TS val ecr 0,nop,wscale 6], length 0 Otro ejemplo en este sentido: #tcpdump ip host and not port: mostrar solo tráfico de un determinado puerto. #tcpdump -n -q -i wlan0 -n port 80 21:50: IP X.X > : tcp 5-3-

4 21:50: IP X.X.80 > : tcp 0 dst host host: Tráfico con un determinado host como destino. # tcpdump -i wlan0 dst host src host host: Trafico con un determinado host como origen. #tcpdump -i wlan0 src host Si queremos trabajar con las direcciones MAC al igual que con los host. ether dst ehost ether src ehost ether host ehost #tcpdump -i wlan0 ether dst 00:22:fb:9a:57:72 Si ahora queremos recoger información de una determinada red: dst net net src net net net net net net mask netmask #tcpdump -i wlan0 net X.X/24 Si queremos trabajar con puertos: dst port port src port port #tcpdump -i wlan0 port 22 or 23 not: Negamos una expresión. #tcpdump -i wlan0 "tcp src port 80" and not host ip proto protocol: Especificar un determinado protocolo. #tcpdump -i wlan0 ip proto 6 = tcpdump tcp -i wlan0 (tcp, udp, icmp) = #tcpdump -i wlan0 ip proto \\tcp #cat /etc/protocols grep tcp tcp 6 TCP # transmission control protocol Podemos trabajar con los tamaños (bytes) less leghnt greather length #tcpdump -i wlan0 greater 20 Y muchas mas expresiones a consultar en el man tcpdump. ip6 proto protocol, ip6 protochain protocol, ip protochain protocol ip broadcast, ether multicast, ip multicast, ip6 multicast, ether proto protocol decnet src host, decnet dst host, decnet host, ip, ip6, arp, rarp, atalk, aarp decnet. iso, stp, ipx, netbeui, vlan vlan_id, tcp, udp, icmp, clnp, esis, isis También podemos combinar expresiones: Negación:! o not And: && o and Or: o or Ejemplos: # tcpdump -i wlan0 ip and not net #tcpdump host and \( or \) #tcpdump -i wlan0 "tcp src port 80" -4-

5 #tcpdump -n -i wlan0 "not (tcp port ssh and host and host )" #tcpdump -i wlan0 ((tcp) and (port 80) and ((!dst host && (!dst host Ahora vamos a complicarlo un poco más y realizar filtrados con el que se muestra en el siguiente ejemplo: Ejemplo de 3-way handshake protocol: vamos a recoger solo los paquetes SYN. El diagrama de una cabecera TCP sin opciones seria tal que así Source Port Destination Port Octeto 0-3 Sequence Number Octeto 4-7 Acknowledgment Number Octeto 8-11 Data C E U A P R S F Offset Res. W C R C S S Y I Window Octeto R E G K H T N N Checksum Urgent Pointer Octeto Si nos fijamos los Flags se encuentran entre el octeto 12 y el 15. Exactamente en los bits contenidos en el octeto Data C E U A P R S F Offset Res. W C R C S S Y I Window Octeto R E G K H T N N Octeto 13 Si ahora nos fijamos en el octeto 13 C E U A P R S F W C R C S S Y I R E G K H T N N Si recibimos un paquete con el bit SYN activado: Asumiendo que el octeto es un integer sin signo, en Binario sería igual a que en notación decimal corresponde al número 2. Esto lo podemos expresar como tcp[13] == 2. #tcpdump -i wlan0 'tcp[13] ==2' tcp[13] lo podemos reemplazar con tcp[tcpflags]. Los posibles valores serian : tcp-fin tcp-syn tcp-rst tcp-push tcp-act tcp-urg Con lo que podemos expresarlo como : #tcpdump tcp[tcpflags] & (tcp-syn)!= 0) Mostrar paquetes de inicio y fin (SYN y FIN activados) que no pertenezcan a una determinada red: -5-

6 #tcpdump 'tcp[tcpflags] & (tcp-syn tcp-fin)!= 0 and not src and dst net X.X' Siguiendo el mismo razonamiento si queremos que filtrar paquetes SYN y ACK, entonces tcp[13] == 18 Si queremos recoger únicamente paquetes con SYN o SYN+ACK entonces aplicamos máscaras: :SYN-ACK :Mascara (2 en decimal) = : Resultado(2 en decimal) #tcpdump -i wlan0 'tcp[13] & 2 = 2' También podríamos filtrar los paquetes lanzados contra un determinado puerto : proto[x:y] x es el byte inicio, y numero de bytes a recoger. #tcpdump -i wlan0 'tcp[0:2] =81' Ademas podemos utilizar los siguientes operadores: Operators : >, <, >=, <=, =,!= Pudiendo transformar el filtro anterior: #tcpdump -i wlan0 'tcp[0:2] >21 && tcp[0:2] < 25'' Con lo visto podemos jugar con otros protocolos como ICMP Type Code Checksum unused Internet Header + 64 bits of Original Data Datagram 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect 8 Echo 11 Time Exceeded 12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply Por ejemplo filtrar un Echo Request: #tcpdump -i wlan0 'icmp[0]=8' Podemos obtener las IP que nos están haciendo escaneos #tcpdump -lni wlan0 'icmp and (icmp[0] = 8)' tee salida.txt #cut -d " " -f 3 salida.txt -6-