Esta herramienta nos ayudará a capturar paquetes que pasen por nuestros interfaces de red. Para ello es interesante ponerla en un punto en el que nos interese analizar, normalmente en un puerto de un switch configurado en modo SPAN o repeater.
Un ejemplo podría ser si queremos saber en tráfico de nuestra red contra internet, deberíamos repetir en nuestro puerto (en el pc donde ejecutemos el Windump) el tráfico que va al proxy o en caso de no tener proxy contra nuestro router.
Otro ejemplo sería cazar el tráfico que va contra nuestros servidores, para estar tranquilos que lo que pasa es lo que tenemos controlado... o no...
En este post daré un par de ejemplos simples que nos ayudarán a ver de una manera rápida lo que nos está intersando buscar. Esta utilidad posee muchas posibilidades entre la combinación de parámetros y máscaras.
El equivalente en Linux del WinDump sería el TCPDump.
Empezamos...
Una vez configurado el switch (http://gonsystem.blogspot.com.es/2011/04/port-mirror.html), si es un hub no es necesario (cualquier puerto vale) pasamos a la ejecución del WinDump.
Primero de todo debemos especificar por que tarjeta de red vamos a escuchar el tráfico. De manera que ejecutaremos "windump -D"
En nuestro caso elegiremos la que está en la posición 1.
Para ver sin parametrizar todo lo que pasa sería tan sencillo como poner "windump -i1", para dejar de capturar paquetes hay que dar a la tecla control+C.
En este caso al no configura el modo SPAN solo veo el tráfico de mi PC. Si lo que quiero es que en lugar de nombres DNS me salgan las ip's debería añadir el parametro -n .El resto creo que nos puede ser interesante contemplar.
Si para ir más directos queremos monitorizar el tráfico de E/S contra un nombre DNS o Ip deberíamos poner:
"windump -i1 host Nombre_o_IP"
Si queremos ser más precisos y añadir un puerto en concreto por ejemplo el 80 sería:
"windump -i1 host Nombre_o_IP and port 80"
Si lo que queremos es monitorizar el origen de una máquina deberíamos poner:
"windump -i1 src host Nombre_o_IP"
o lo que vaya contra una máquina en concreto:
"windump -i1 dst host Nombre_o_IP"
Si queremos limitarnos a ver un tráfico por protocolo UPD o TCP
Si desconocemos la IP de la máquina que queremos analizar, pero a través de alguna herramienta podemos saber la MacAddres podemos encontrar la ip y con quien se comunica de la siguiente manera:
Para los que se comuniquen contra esa dirección (Ejemplo MacAddress 18:03:DD:AA:C7:2E)
windump -i1 ether dst 18:03:DD:AA:C7:2E
Con los que esa dirección intenta conectar:
windump -i1 ether srv 18:03:73:CF:C7:2E
Hasta aquí un primer encuentro con el windump.
Para saber más sobre los parámetros: http://www.winpcap.org/windump/docs/manual.htm
GoN