El Domingo, 9 de Julio de 2006 12:59, Aritz Beraza Garayalde [Rei] escribió: > El Domingo, 9 de Julio de 2006 00:27, max escribió: > > Una duda. He visto Sniffers como tcpdump o ethereal. Específicamente > > TCPDump, tengo dudas al respecto. > > Teoricamente si yo por ejemplo me bajo correos por el protolo POP de > > un servidor que no utiliza SSL/TLS debería de poder ver con un > > Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers > > veo las conexiones con el servidor pero /no veo el mensaje/ que > > Depende del sniffer y la gui usada. Yo suelo usar ettercap. Cuando estas > esnifando en tiempo real, ettercap te muestra las conexiones que se > realizan a y desde un equipo o en una red. Si seleccionas una conexion > veras todo lo que se transmite. En ethereal la cosa es similar, solo que > no lo ves en tiempo real. Lo pones a esnifar y va almacenando todo lo que > esnifa, y te indica los paquetes esnifados. Luego al parar de esnifar te > muestra en la parte superior los paquetes esnifados y si seleccionas uno, > en la parte ifnerior podras ver el paquete perfectamente desglosado, si > quieres ver los mails o passwords, tendras que mirar la carga util, alli > deberias ver lo que bucas. > > > contienen esos paquetes, es decir, el correo que se está enviando o > > recibiendo. También teoricamente si si yo me conecto vía Telenet a > > otra computadora todo esta bajo texto plano. Pero entonces cómo hago > > con tcpdump para ver por ejemplos los comandos que se están > > ejecutando??? O la contraseña que se está enviando??? > > No se si recuerdo bien, pero creo que tcpdump guarda los datos en un > formato que entiende ethereal. Abre el dump con ethereal y alli ve > buscando. > > > Yo como mucho lo mas que he logrado ver es esto: > > > > 1023873914.125606 fulton.ssh > spider.1145: P > > 3066603742:3066603806(64) ack 1646168027 win 17520 [tos 0x10] > > 4510 0068 7e87 4000 4006 3862 c0a8 011e > > c0a8 0128 0016 0479 b6c8 a8de 621e 87db > > 5018 4470 1813 0000 e492 152f 23c3 8a2b > > 4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4 > > 52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604 > > b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0 > > a368 a03f 425b 6211 > > > > Pero mas de ahí no he visto mas. Osea esos paquetes no deberían > > contener los comando y todas esas cosas? > > Un paquete esta compuesto por las cabeceras de los diferentes protocolos o > niveles de red sobre los que se envia, y finalmente la carga util. Puede > que al principio no encuentres la carga util entre tanta cabecera, por eso > ethereal te ira muy bien, el separa por ti cada cosa. > > > Saludos > Aritz Beraza [Rei]
Hola, una cosa del ethereal, si que lo puedes monitorizar en tiempo real. Al menos que yo sepa utilizandolo con el kismet y el aircrack, me acuerdo que había una opción que te permitía mirar los paquetes a medida que los coge. Sino recuerdo mal, estaba en una de las opciones que te da el menú antes de que se ponga a recoger paquetes (a la derecha en el medio). Saludos Jorge Peñalba
