1. Internet

NETCAP
INTRODUCCION
En este artículo se describe cómo usar la utilidad Network Monitor Capture
(Netcap.exe) para capturar información de tráfico de red en los equipos de origen
y de destino. Puede utilizar esta información para solucionar problemas de
rendimiento que podría experimentar durante el proceso de copia de un archivo.
SINTAXIS
Uso: NetCap.exe [/B:#] [/T <tipo> <búfer> <segmentoHex> <modeloHex>]
[/F:<archivo de filtro.cf>] [/C:<archivo de captura>] [/N:#]
[/L:HH:MM:SS] [/TCF:<nombre de carpeta>]
Ejemplo: NetCap /B:20 /N:2 /T BP 100 0a ff1f /F:d:\IPFilter.CF
/B:# Búfer. Tamaño de captura que se utilizará, desde 1 MB hasta 1.000 MB.
Tamaño predeterminado: 1 MB.
/T - Desencadenador. Detiene la captura cuando se alcanza el límite del búfer
especificado y/o el modelo.
Si no se especifica ningún desencadenador, la captura se detendrá cuando
se llene el búfer.
Utilice "/T N" para proseguir capturando aunque se llene el búfer.
Los marcos más antiguos de la captura se sobrescribirán una vez que se
llene el búfer.
Nota: Con "/T N" tendrá que presionar la barra espaciadora para detener
la captura.
<tipo>
- 'B' = búfer, 'P' = modelo, 'BP' = búfer y después modelo,
'PB' = modelo y después búfer 'N' = sin desencadenador
<búfer>
- Porcentaje de tamaño de búfer: '25', '50', '75', '100',
utilizado en combinación con B, BP, PB (no P)
<segmentoHex> Segmento hexadecimal desde el comienzo del cuadro,
utilizado en combinación con P, BP, PB (no B)
<modeloHex> - Modelo hexadecimal para coincidencia, utilizado en
combinación con P, BP, PB (no B)
El modelo debe ser un número impar de dígitos hexadecimales
/C:<archivo de captura> - Mueve la captura temporal a la ruta completa y/o al
nombre de archivo
Puede tratarse de cualquier ruta local o remota
Si no se especifica "/C" el archivo de captura seguirá
en la carpeta de captura temporal
/F:<archivo de filtro.cf>- Filtro de captura (*.cf) generado por el Monitor
de red 2.x.
/L:<HH:MM:SS> - Captura por la cantidad de tiempo (máximo: 99:99:99).
Nota: Esta opción suplanta completamente el desencadenador
predeterminado a no ser que se especifique también
"/T <tipo de desencadenador>".
/TCF:<Nombre de carpeta>- Cambia de manera permanente la carpeta de
captura
temporal.
Advertencia: la ruta debe encontrarse en un disco duro
local.
Una vez que se haya establecido todo lo necesitará hacer es
volver a usar este modificador para cambiar el directorio.
/Remove
- Quita la instancia de NetCap del controlador de Monitor
de red
/N:<#>
- Número de índice NIC, para este equipo
Ejemplo
Para capturar seguimientos de red en los equipos de origen y de destino, siga
estos pasos:
1. En el equipo de origen, haga clic en Inicio, haga clic en Ejecutar, escriba
cmd y haga clic en Aceptar.
2. En el símbolo del sistema, escriba el comando siguiente:
netcap /n:1 /b:150 /c:c:\Source.cap
Notas
 En este ejemplo, la utilidad Netcap.exe captura el tráfico que se
encuentra en el índice del adaptador de red número 1. El búfer de
captura es de 150 MB. El archivo de captura se guarda como
C:\Source.cap.
 Para encontrar el número de índice del adaptador de red, escriba
netcap /?. Debajo de la información de la sintaxis, puede ver una lista
de los adaptadores de red que están instalados en el equipo.
Seleccione el adaptador de red correcto para capturar el tráfico de
red. Por ejemplo, si desea capturar el tráfico para la conexión de
área local 2 en un equipo que utiliza los adaptadores de red
siguientes, utilice el número de índice 1:
Utilice los números de índice siguientes para estos adaptadores:
(predeterminado) 0 = Interfaz ETHERNET (2C3D20524153) WAN
(PPP/SLIP)
1 = Conexión de área local 2 ETHERNET (000039139635)
2 = Conexión de área local 2 ETHERNET (0000390E118E)
 Si el equipo cliente tiene acceso al servidor del archivo de destino a
través de una conexión de red privada virtual (VPN), la interfaz virtual
que se crea en el equipo cliente se debe supervisar para ver el tráfico
de la copia de archivos.
3. En el equipo de destino, escriba lo siguiente en el símbolo del sistema y
presione ENTRAR:
netcap /n:1 /b:150 /c:c:\Destination.cap
Notas
 En este ejemplo, la utilidad Netcap.exe captura el tráfico que se
encuentra en el índice del adaptador de red número 1. El búfer de
captura es de 150 MB. El archivo de captura se guarda como
C:\Destination.cap.
 Asegúrese de que selecciona el número de índice del adaptador de
red correcto.
4. En el equipo de origen, escriba el comando siguiente en un símbolo del
sistema y presione ENTRAR:
ping –n 15 direcciónIPDestino
Nota: la dirección IP es el punto inicial para el seguimiento de la red.
5. En el equipo de origen, escriba el comando siguiente en un símbolo del
sistema y presione ENTRAR:
net use * \\servidor\recursoCompartido
Nota: servidor es el nombre del servidor donde se almacena el archivo.
recursoCompartido es el nombre del recurso compartido del archivo.
6. En el equipo de origen, escriba el comando siguiente en un símbolo del
sistema y presione ENTRAR:
Copy archivoletraDeUnidad:
7. Después de completarse el proceso de copia del archivo, escriba el
comando siguiente en un símbolo del sistema en el equipo de origen:
ping –n 15 direcciónIPDestino
Nota: esta dirección IP es el extremo para el seguimiento de la red.
8. Presione BARRA ESPACIADORA para dejar de capturar el tráfico de red.
9. Envíe la información siguiente a los Servicios de soporte técnico de
Microsoft (PSS):
 El archivo Source.cap del equipo de origen.
 El archivo Destination.cap del equipo de destino.
 El nombre del archivo que copió en el paso 6.
 Las direcciones IP de los equipos de destino y origen.
HPING3
INTRODUCCION
Para toda intrusión un paso indispensable y por todos conocidos es realizar un
scaneo de puertos, sobra nombrar nmap, pero existen ocasiones en las cuales es
necesario realizar otro tipo de enumeración de puertos, es decir, no existe ningún
problema cuando este se realiza fuera de la red del sistema objetivo, pero que
sucede cuando el target se encuentra dentro de nuestra misma red? en un
ambiente controlado la paranoia es total, por lo cual, el mas sutil cambio en una
red monitoreada será informado y por lo tanto colocará una alerta, la cual
recolectará todos los datos posibles acerca del equipo que se encuentra
realizando actividad anormal o maliciosa.
Si nos ponemos en el lugar del administrador, fuera de cuidar el equipo objetivo el
cual se ve un tanto amenzado por actividad anormal, interpreta las alertas del IPS
y no es imposible ni medianamente dificil seguir la pista de cual equipo fue el
iniciador de un simple scan de puertos.
Se podría pensar que vulnerando 2 o 3 equipos y brincando de uno a otro sería
suficiente para confundir al SySadmin y evitar encontrar nuestro equipo principal
desde el cual se inició una intrusión, esto potencialmente es falso (pues mucho
depende de las características técnicas que posea el SySadmin), siempre al
brincar de un equipo a otro se deja un rastro aún borrando el history o la tabla arp,
en este nivel no nos preocupa nuestra locación verdadera, aqui importa el equipo
pivote desde el cual se intenta realizar un scan de la red final. Pues si este es
detectado, la auditoria forense revelaria la intrusión y por lo tanto el acceso sería
bloqueado y de nada serviria haber tenido ese equipo comprometido.
Entonces surge la necesidad de realizar un scaneo de puertos mas discreto, mas
profesional, para esto existen algunos otros port scanners como scanline de
foundstone o mejor aún herramientas de construcción de paquetes a la medida
como hping2.
DEFINICION
Hping3 es una herramienta de red capaz de enviar paquetes ICMP/UDP/TCP
hechos a medida y de mostrar las respuestas del host destino de la misma manera
en la que lo hace la herramienta `ping' los las respuestas de ICMP. Puede manejar
fragmentación y tamaños y cuerpo arbitrarios de paquetes; además puede ser
utilizado para transferir archivo usando protocolos soportados. Al usar hping2, se
puede: evaluar el desempeño de la red utilizando diferentes protocolos, tamaños
de paquetes, TOS (type of service, o sea, tipo de servicio), y fragmentación;
realizar descubrimiento de camino utilizando el campo MTU (onda traceroute);
transferir archivos (incluso ante reglas de firewall muy fascistas); realizar funciones
al estilo `traceroute' pero bajo diferentes protocolos; detección remota de OS
(`remote OS fingerprinting'); auditar una implementación de TCP/IP (`TCP/IP
stack') en particular; etc. hping2 es una buena herramienta para aprender acerca
de TCP/IP.
INSTALACIÓN
Solo para terminales Linux.
 En Debian y derivadas como Ubuntu y Linux Mint.
sudo apt-get install hping3
 En Fedora
yum install hping3
 En openSUSE
zypper install hping3
Ahora hping3 se encuentra instalado en el sistema y listo para usarse. Hping3 es
una excelente herramienta para poner a prueba reglas de acceso de firewalls de
manera externa, a continuación se listan algunos ejemplos de uso que tienen
como objetivo mostrar los principales usos de esta herramienta.
USOS Y SU SINTAXIS
El uso más sencillo que podemos darle es como sustituto de la herramienta ping,
aunque veremos que la información que nos aporta es algo diferente. Vamos a
comparar ambas herramientas:
root@laptop:/home/root# ping localhost
root@laptop:/home/root# hping3 localhost
En ambos casos, la información que nos proporciona es muy similar, salvo algún
pequeño matiz como el campo de flags, que a continuación veremos de qué se
trata.
También podemos utilizarlo como scanner de puertos, utilizando el método idle
scan (por cierto, método ideado por Salvatore Sanfilipo, el mismo creador de
hping), la sintaxis es la siguiente:
Si nos fijamos en el valor del flag, veremos que pone SA, que quiere decir
SYN/ACK, que a grosso modo es el mensaje que un servidor responde cuando
tiene un puerto abierto (en mi caso tengo un pequeño servidor web en el puerto
9091). Si hubiera estado cerrado, nos habría respondido con el flag RA, que
quiere decir RST/ACK, o lo que es lo mismo, que tiene el puerto cerrado;
veámoslo utilizando otro puerto distinto:
En este caso nos responde con un RST/ACK, lo que nos indica que el puerto 9092
está cerrado.
Otro uso que podemos darle es como herramienta traceroute, aunque para este
uso, prefiero tcptraceroute, veamos cómo hacerlo con hping:
El campo ip=10.109.8.1, hace referencia a la IP del primer salto que realiza para
llegar al dominio especificado. Ésto lo hemos especificado poniendo -t 1 (también
podemos utilizar el comando -z en vez de -t, e incrementar el TTL cuanto
queramos de uno en uno presionando Ctrl+Z).
Además podemos “firmar” los paquetes que enviemos, con el contenido que
queramos. Aunque este ejemplo es inocuo, utilizándolo (in)debidamente
podríamos causar diversas alteraciones en la máquina destino. Veámos el
ejemplo:
Estableciendo la opción -2 enviamos paquetes UDP, con la opción -d 50
indicamos la longitud del mensaje y con la opción -E indicamos que lea del archivo
firma.txt. Podemos ver lo que hemos enviado si capturamos con cualquier sniffer
(yo he usado wireshark) el tráfico de la red.
Otra interesante habilidad de hping es poder enviar archivos a través de la red.
Para esto, necesitamos una máquina que envíe algún archivo, y otra que esté a la
escucha para recibirlo. Primero, preparamos la máquina que permanecerá a la
escucha, para ello utilizaremos el parámetro −−listen en el que especificaremos el
texto que nos servirá de indicador de inicio de mensaje (en este caso utilizo
signature), el protocolo que usaremos es ICMP y lo establecemos utilizando el
parámetro −−icmp (también puede usarse UDP o TCP). Al ejecutarlo veremos algo
así:
Ahora toca preparar por otro lado el comando que nos servirá para enviar el
fichero que queramos.
El resultado es que en el lado en que estábamos esperando recibir algo, empieza
a verse lo siguiente:
Conociendo este último uso, y con un poco de imaginación podremos utilizar hping
como si de un troyano se tratase. Aunque mas que para ser usado como troyano,
esta herramienta es perfecta para realizar ataques de DoS, spoof o flood.
Acabaremos el artículo viendo un sencillo ejemplo de ataque flooding:
Podemos ver que en tan solo unos segundos, hemos inundado la red con casi
doscientos mil paquetes transmitidos de forma ininterrumpida. Esto puede (suele)
causar que la red se colapse, impidiendo a otros usuarios poder utilizarla, ya que
hping no deja espacio (entre paquete y paquete) para que otras máquinas
transmitan ningún tipo de información. El parámetro −−rand-source hace que cada
paquete tenga un origen distinto y aleatorio, y −−flood no deja espacio entre
paquete y paquete. Si tenemos wireshark a la escucha, podemos ver cual es el
resultado:
hping-flood
NTOP
DEFINICION
Herramienta de red que permite monitorizar en tiempo real los usuarios y
aplicaciones que están consumiendo recursos de red en un instante concreto y
además es capaz de ayudarnos a la hora de detectar malas configuraciones de
algún equipo (esto salta a la vista porque al lado del host sale un banderín amarillo
o rojo, dependiendo si es un error leve o grave), o a nivel de servicio. Posee un
microservidor web que permite que cualquier usuario, que sepa la clave, pueda
ver la salida NTOP de forma remota con cualquier navegador, y además es GNU.
El software esta desarrollado para platarfomas Unix y Windows.
En Modo Web, actúa como un servidor de Web, volcando en HTML el estado de la
red. Viene con un recolector/emisor NetFlow/sFlow, una interfaz de cliente basada
en HTTP para crear aplicaciones de monitoreo centradas en top, y RRD para
almacenar persistentemente estadísticas de tráfico.
Los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX,
DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de
agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.
INSTALACIÓN Y CONFIGURACIÓN
Para conseguir esta aplicación tenemos que instalar el paquete ntop:
$ sudo aptitude install ntop
Una vez instalado y antes de iniciar el servicio, tenemos que establecer la
contraseña del usuario admin (administrador):
$ sudo ntop --set-admin-password
Por defecto recopilará información del interfaz de red eth0, de modo que si
queremos usar otro interfaz cambiaremos dicha configuración en el fichero
/var/lib/ntop/init.cfg:
$ sudo gedit /var/lib/ntop/init.cfg
Ahora iniciamos el servicio:
$ sudo /etc/init.d/ntop start
Ahora al abrir el explorador web con la siguiente ruta y se pueden ver las
estadísticas sobre el tráfico de la red:
http://localhost:3001
MAPA DE TRÁFICO LOCAL
Para poder crear este mapa gráfico, NTop se apoya en la herramiente dot, la cual
se encuentra en el paquete graphviz:
$ sudo aptitude install graphviz
Pero cuando intentamos crear el map de tráfico local de la red, nos muestra este
error:
Error: fontconfig: Didn't find expected font family. Perhaps URW Type 1 fonts need
installing? : Helvetica
Que solucinamos simplemente instalando el paquete gsfonts-x11:
$ sudo aptitude install gsfonts-x11