Estamos migrando de sistemas de foros, por favor repórtanos cualquier problema a [email protected], si te llega a tu bandeja de entrada o a spam un correo que te dice que se solicitó el cambio de contraseña, no te alarmes, es un procedimiento normal de la migración, cambia tu contraseña porque no hay compatibilidad en el sistema de cifrado del viejo sistema con el sistema nuevo, por eso debes resetear tu clave con ese enlace.

Comandos útiles con tshark para análisis forense de red

editado 17 de febrero en Redes y conectividad

Tshark, es la versión de línea de comandos del famoso y aclamado Wireshark, el sniffer de red por excelencia, normalmente se utiliza tshark para analizar grandes cantidades de trafico ya que es bastante flexible y consume menos recursos.

Alguien que sigo en twitter desde hacer tiempo y que constantemente está publicando información valiosa relacionada con tshark es el señor Alfon (@seguridadyredes) quien bajo el hashtag #tshark cada cierto tiempo nos deja comandos útiles para sacarle el máximo jugo a esta herramienta.

En este post quiero dejar algunas de los comandos que ha publicado en su timeline para que se aproveche mejor todo ese contenido. Si te sirve alguna de estas líneas de comando no dejes de seguir y agradecerle a (@seguridadyredes), también visitar su blog que tiene contenido muy bueno al respecto.

Filtrar y Geo localizar IP
tshark -ni 4 -Tfields -Eseparator=/t -e frame.number -eframe.protocols -eip.src -etcp.srcport -ei.city -e ip.geoip.country

Filtrar usuario y password en FTP
tshark -ieth0 -f "port 21" -ln -R ftp.request.command -T fields -e ftp.request.command -e ftp.request.arg

Encontrar archivos enviados por FTP
tshark -rftp.pcap -Y'frame.protocols==eth:ethertype:ip:tcp:ftp' -VOftp

Sacar Cabeceras HTTP
tshark -r http.pcap http -SVl | awk "/^[HL]/ {p=30} /^[^ HL]/ {p=0} /^ / {--p} {if (p>0) print}"

HTTP/GET buscando jpg/png (win)
tshark -r http.pcap "-R http.request.method=="GET" && http.request.uri matches ""\.(?i)(jpg|png)$"""

Direcciones de correo y mensaje (DIGEST-MD5)
tshark -rids.pcap -Y"smtp.req.parameter" -Tfields -esmtp.req.parameter -esmtp.message

Analizando varios #pcap de una vez con #xargs y #tshark:
ls ids*.cap | xargs -I file tshark -r file -Y"http.request"

S.O. hosts tráfico #pcap
tshark -rids.pcap -Y'ip.addr==192.168.3.0/24' -Tfields -esmb.native_os | sort | uniq -c

ORACLE

Buscando sentencias #oracle select
tshark -roracle.pcap -Y'frame.protocols==eth:ip:tcp:tns:data and tns contains "select"' -VOtns

Usuarios #Oracle conectados
tshark -rorac.pcap -Y"tns" -Tfields -etns.connect_data | grep -o "USER=.*" | sed "s/....$//" | sort | uniq

ARCHIVOS / SMB

Ver solo el protocolo smb
tshark -r pcap.pcap -R "frame.protocols == eth:ip:udp:nbdgm:smb:browser" -VO browser

Filtrar Información archivos renombrados en servidor
tshark -r smb.pcap -R "ip.addr==192.168.2.250 && smb.cmd==0x07"

Ficheros doc/pdf borrados red
tshark -rsmb.pcap -Y'smb.cmd == 0x06 and smb.file matches "\\.doc\|\\.pdf"' -Tfields -eip.src -esmb.file

Files time creados
tshark -rsmb.pcap -Y'smb2.cmd==5 && smb2.filename matches "\\.doc\|\\.pdf"' -Tfields -esmb2.create.time -esmb2.filename

Quién renombró el archivo y nuevo nombre
tshark -rsmb.pcap -Y "smb.cmd==0x07" -Tfields -eip.src -esmb.old_file -esmb.file

Filtrar Archivos .pdf abiertos mediante #HTTP y frame.protocols
tshark -rpdf.pcap -R "frame.protocols==eth:ip:tcp:http" -VOhttp | grep ".pdf]"

Filtrar Archivos/acciones en recurso red
tshark -rsmb.pcap '-R smb.path contains "\\\\SERVIDOR\\E$"' -Tfields -esmb.file -esmb.cmd |sort | uniq

Qué PDF se imprimió en red?
tshark -rsm.pcap -nqz "follow,tcp,ascii,192.168.1.6:1471,192.168.1.189:9100" | grep "@PJL"

Buscando ficheros creados en la red con
tshark -Y'smb2.cmd==5 && smb2.filename matches "\\.doc\|\\.pdf\|\\.dwg"'


Etiquetado como:

Comentarios

  • Buen aporte gracias

  • esta muy bueno, yo aveces uso este script que me permite sacar un montón de información de las capturas de red, las características principales son:

    1-Top 10 Visited Sites
    2-Emails
    3-All Request Urls
    4-User-Agents List
    5-String Grep Mode
    6-Connection details
    7-Ports Used
    8-ALL Ip List
    9-Manuel Packet Filter
    10-Smtp Analysis
    11-Web Attack Detect

    y claro, por debajo jala de tshark y otras herramientas

    https://github.com/azizaltuntas/Network-Analysis-Tools

Accede o Regístrate para comentar.