On Sat, 8 Jul 2006 18:27:04 -0400 max <[EMAIL PROTECTED]> wrote: > Una duda. He visto Sniffers como tcpdump o ethereal. Específicamente > TCPDump, tengo dudas al respecto. > Teoricamente si yo por ejemplo me bajo correos por el protolo POP de > un servidor que no utiliza SSL/TLS debería de poder ver con un > Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers > veo las conexiones con el servidor pero /no veo el mensaje/ que > contienen esos paquetes, es decir, el correo que se está enviando o > recibiendo. También teoricamente si si yo me conecto vía Telenet a > otra computadora todo esta bajo texto plano. Pero entonces cómo hago > con tcpdump para ver por ejemplos los comandos que se están > ejecutando??? O la contraseña que se está enviando??? > > Yo como mucho lo mas que he logrado ver es esto: > > 1023873914.125606 fulton.ssh > spider.1145: P > 3066603742:3066603806(64) ack 1646168027 win 17520 [tos 0x10] > 4510 0068 7e87 4000 4006 3862 c0a8 011e > c0a8 0128 0016 0479 b6c8 a8de 621e 87db > 5018 4470 1813 0000 e492 152f 23c3 8a2b > 4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4 > 52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604 > b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0 > a368 a03f 425b 6211 > > Pero mas de ahí no he visto mas. Osea esos paquetes no deberían > contener los comando y todas esas cosas? > > Espero que me resuelvan mi duda, Nos vemos > > Max >
Yo usé el Snort una vez para investigar unos problemas con el Samba y lo que vi en los logs fueron cosas del siguiente estilo: 06/01-10:33:16.387041 0:11:11:AD:E6:CF -> 0:8:A1:8B:7D:1F type:0x800 len:0x75 a.b.c.d:1098 -> x.y.z.t:445 TCP TTL:128 TOS:0x0 ID:24844 IpLen:20 DgmLen:103 DF ***AP*** Seq: 0x4DACB204 Ack: 0x3AA637F7 Win: 0xFFFF TcpLen: 20 00 00 00 3B FF 53 4D 42 2E 00 00 00 00 18 07 C8 ...;.SMB........ 00 00 00 00 00 00 00 00 00 00 00 00 02 00 FF FE ................ 00 00 C0 77 0C FF 00 DE DE 4B 2F 00 00 00 00 00 ...w.....K/..... 08 00 08 00 00 00 00 00 08 00 00 00 00 00 00 ............... Claro, habían muchísima más cosa y en algunas lineas se veía explicitamente el nombre NetBIOS de las máquinas en cuestión. En el manual del Snort decía que si estás en una red de alta-velocidad (10 mbps ya sería alta-velocidad) lo mejor es hacer un log de todo en un archivo e ir a mirarlos después con calma. Saludos. -- Miguel Da Silva. Servicio de Informatica. Facultad de Ciencias.
