Antonio. Pero conectar el equipo analizador a la red como uno mas para capturar tráfico es lo mismo que haga pasar todo el tráfico por el analizador conectándolo entre el modem-router vtr y mi router ?
Modem-router <---> analizador <---> router <---> todos los equipos de la red. Espero se entienda. El 12/12/2013 21:21, "Antonio Sebastian Salles M." <[email protected]> escribió: > Ahhh!! Entonces conecta el analizador con linux a toda la red y filtra por > el puerto que envía el spam, que lo más probable sea el 25, 465 o el 587. > Ahí pone de tu cosecha. > > Ej. tcpdump -i $RED src port 25 > > > El 12 de diciembre de 2013 19:18, Robert <[email protected]> > escribió: > > > El problema es que nosé cual es el equipo infectado !!! , son 25 equipos > a > > diario conectados a la red, por eso necesito capturar todo el tráfico y > se > > que con wireshark puedo filtrar por ip y puerto destino para identificar > > equipo infectado. > > > > Gracias. > > > > El 12/12/2013 21:13, "Antonio Sebastian Salles M." <[email protected]> > > escribió: > > > > > > Los dos equipos, el infectado con wintendo y el analizador con linux, > > > conectalos a un router aislado, completamente desconectado de internet > y > > de > > > los demás equipos. En ese momento ejecuta tcpdump para empezar a > > trabajar. > > > > > > > > > > > > > > > El 12 de diciembre de 2013 19:03, Robert <[email protected]> > > escribió: > > > > > > > Hola antonio. > > > > > > > > Gracias por responder, pero como conecto el equipo a la red para > > capturar > > > > todo ? > > > > > > > > Saludos. > > > > El 12/12/2013 21:02, "Antonio Sebastian Salles M." < > [email protected]> > > > > escribió: > > > > > > > > > RED=eth0 > > > > > tcpdump -i $RED > > > > > > > > > > Ahora, te saldrá mucha información, de la cual tienes que ir > > filtrando. > > > > Lo > > > > > mejor que puedes hacer es aislar un PC posiblemente infectado y > luego > > > > > empiezas a analizarlo, sino te vas a volver loco. > > > > > > > > > > > > > > > El 12 de diciembre de 2013 18:57, Robert <[email protected]> > > > > > escribió: > > > > > > > > > > > Hola. > > > > > > > > > > > > Necesito capturar tráfico de lan por problemas con troyano zbot. > > > > > > > > > > > > Este troyano se activa cada cierto tiempo, se conecta a una ip y > > puerto > > > > > > identificados, esto provoca que nuestra ip pública ingrese al > > listado > > > > de > > > > > > spamhauss y se nos bloquea el envio de correos pop e imap. > > > > > > > > > > > > Los antivirus no lo detectan, por eso necesito ayuda para > capturar > > > > > tráfico > > > > > > de toda la red y lograr identificar el equipo que está infectado > y > > > > > > formatearlo. > > > > > > > > > > > > Usamos internet vtr con un modem-router el cual va conectado a > > nuestro > > > > > > router por cable y a este último se conectan todos los equipos de > > la > > > > red > > > > > > tanto alámbricos como inalámbricos. > > > > > > > > > > > > Entonces, que necesito ?, cómo y dónde conecto algo ? (notebook, > > pc, > > > > > > router, otro) y como configuro para lograr capturar todo el > tráfico > > de > > > > la > > > > > > red ? > > > > > > > > > > > > Saludos. > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > Saludos! > > > > > > > > > > Antonio Sebastián Sallés M. > > > > > [cel] +56-9-8281 71 61 > > > > > > > > > > > > > > > > > > > > > -- > > > Saludos! > > > > > > Antonio Sebastián Sallés M. > > > [cel] +56-9-8281 71 61 > > > > > > -- > Saludos! > > Antonio Sebastián Sallés M. > [cel] +56-9-8281 71 61 >
