miércoles, 29 de diciembre de 2010

Ngrep - Sniffer de Red

En este post daremos una pequeña pincelada a los datos que podemos extraer usando la herramienta ngrep.

Su funcionamiento es similar a un sniffer de red.

- No necesita instalación http://ngrep.sourceforge.net/download.html


Para trabajar con esta utilidad debemos indicarle sobre que interface de red vamos a monitorizar. Para ver los interfaces debemos poner:

ngrep -L


En el pantallazo vemos:

1: Un conector a una VPN
2: Un interface Virtual
3: La tageta física de red que hay en el PC (está será en los que nos basaremos para hacer las prubas)
4: Otro interface virtual

Ahora debemos poner en funcionamiento el software con una de las targetas de red (en este caso la 3), para pararlo Ctrol + C. Si lo ejecutamos se pondrá a mostrar todo el tráfico que escucha nuestro ordenador.


Está claro que es mucha la información que nos saldrá con el comando anterior, una manera de acceder a lo que nos interesa es buscar un patrón. En este ejemplo buscaré el tráfico que haga referencia a www.google.com escuchando en nuestro interface de red nº 3

ngrep -d3 -x www.google.com


Otro ejemplo similar al anterior seria ngrep -d 3 "cisco" : con el siguiente comando estaremos a la espera que aparezca la palabra "cisco" por nuestro interface de red nº 2


Si lo que queremos es filtrar por los accesos a un puerto, en esta prueba testearemos el puerto 7080


La ayuda nos permite los siguientes parámetros


Un ejemplo más de sniffer tráfico http más ordenada sería mediante el siguiente comando:

ngrep -d2 -W byline port 7080



Rev 1.2

Nbtscan - Escaner de Red

El nbtscan es una pequeña utilidad básica que nos ayudará a extraer información muy útil de nuestra red.

- No necesita instalación

nbtscan - NETBIOS nameserver scanner

Si queremos información sobre una máquina en concreto (nombre, dominio, mac address...)


Si queremos que nos rastree un rango de ip's


Con la opción de verbose vemos todas las máquinas a que les pregunta



Un ejemplo de todos los pantallazos unidos sería

nbtscan-1.0.35.exe  -f -v -P 172.1.0.0/24


También nos puede ser muy útil para buscar una mac address, ya que si le damos un rango nos dará la siguiente información con el comando nbtscan X.X.X.X/24, incluso puede darnos el nombre del usuario, nombre de máquina, etc..





Ref: http://unixwiz.net/tools/nbtscan.html
Rev 1.2