Efectivamente Robert, Modem-router <---> analizador <---> router <---> todos los equipos de la red.
es la configuración ideal para escuchar todos los paquetes que pasan, es más, el analizador es un router también ;) ...otro software que sirve para ello es ngrep, pero los resultados son similares. Saludos On 12/12/13 21:30, Robert wrote: > Antonio. > > Pero conectar el equipo analizador a la red como uno mas para capturar > tráfico es lo mismo que haga pasar todo el tráfico por el analizador > conectándolo entre el modem-router vtr y mi router ? > > Modem-router <---> analizador <---> router <---> todos los equipos de la > red. > > Espero se entienda. > El 12/12/2013 21:21, "Antonio Sebastian Salles M." <[email protected]> > escribió: > >> Ahhh!! Entonces conecta el analizador con linux a toda la red y filtra por >> el puerto que envía el spam, que lo más probable sea el 25, 465 o el 587. >> Ahí pone de tu cosecha. >> >> Ej. tcpdump -i $RED src port 25 >> >> >> El 12 de diciembre de 2013 19:18, Robert <[email protected]> >> escribió: >> >>> El problema es que nosé cual es el equipo infectado !!! , son 25 equipos >> a >>> diario conectados a la red, por eso necesito capturar todo el tráfico y >> se >>> que con wireshark puedo filtrar por ip y puerto destino para identificar >>> equipo infectado. >>> >>> Gracias. >>> >>> El 12/12/2013 21:13, "Antonio Sebastian Salles M." <[email protected]> >>> escribió: >>>> Los dos equipos, el infectado con wintendo y el analizador con linux, >>>> conectalos a un router aislado, completamente desconectado de internet >> y >>> de >>>> los demás equipos. En ese momento ejecuta tcpdump para empezar a >>> trabajar. >>>> >>>> >>>> >>>> El 12 de diciembre de 2013 19:03, Robert <[email protected]> >>> escribió: >>>>> Hola antonio. >>>>> >>>>> Gracias por responder, pero como conecto el equipo a la red para >>> capturar >>>>> todo ? >>>>> >>>>> Saludos. >>>>> El 12/12/2013 21:02, "Antonio Sebastian Salles M." < >> [email protected]> >>>>> escribió: >>>>> >>>>>> RED=eth0 >>>>>> tcpdump -i $RED >>>>>> >>>>>> Ahora, te saldrá mucha información, de la cual tienes que ir >>> filtrando. >>>>> Lo >>>>>> mejor que puedes hacer es aislar un PC posiblemente infectado y >> luego >>>>>> empiezas a analizarlo, sino te vas a volver loco. >>>>>> >>>>>> >>>>>> El 12 de diciembre de 2013 18:57, Robert <[email protected]> >>>>>> escribió: >>>>>> >>>>>>> Hola. >>>>>>> >>>>>>> Necesito capturar tráfico de lan por problemas con troyano zbot. >>>>>>> >>>>>>> Este troyano se activa cada cierto tiempo, se conecta a una ip y >>> puerto >>>>>>> identificados, esto provoca que nuestra ip pública ingrese al >>> listado >>>>> de >>>>>>> spamhauss y se nos bloquea el envio de correos pop e imap. >>>>>>> >>>>>>> Los antivirus no lo detectan, por eso necesito ayuda para >> capturar >>>>>> tráfico >>>>>>> de toda la red y lograr identificar el equipo que está infectado >> y >>>>>>> formatearlo. >>>>>>> >>>>>>> Usamos internet vtr con un modem-router el cual va conectado a >>> nuestro >>>>>>> router por cable y a este último se conectan todos los equipos de >>> la >>>>> red >>>>>>> tanto alámbricos como inalámbricos. >>>>>>> >>>>>>> Entonces, que necesito ?, cómo y dónde conecto algo ? (notebook, >>> pc, >>>>>>> router, otro) y como configuro para lograr capturar todo el >> tráfico >>> de >>>>> la >>>>>>> red ? >>>>>>> >>>>>>> Saludos. >>>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> Saludos! >>>>>> >>>>>> Antonio Sebastián Sallés M. >>>>>> [cel] +56-9-8281 71 61 >>>>>> >>>> >>>> >>>> -- >>>> Saludos! >>>> >>>> Antonio Sebastián Sallés M. >>>> [cel] +56-9-8281 71 61 >> >> >> -- >> Saludos! >> >> Antonio Sebastián Sallés M. >> [cel] +56-9-8281 71 61 >>
signature.asc
Description: OpenPGP digital signature
