Leitura saída tcpdump [RESOLVIDO]

guasca
(usa Debian)

Enviado em 12/06/2014 - 14:56h

Boa tarde pessoal! tudo certo?

Por uma questão interna da empresa, preciso monitorar as ações a fundo de um ip.

Com muita felicidade consegui implantar um monitoramento seguindo um tuto do tcpdump usando a funcionalidade de port mirror do switch gerenciável que tenho aqui, estou conseguindo monitorar muito bem, jogando tudo para um arquivo xxxx.pcap.

Pelo tudo, vi que posso visualizar o conteúdo pelo seguinte comando:

tcpdump -r /root/xxxx.pcap -nl

Claro que consigo usar o grep para filtrar bastante, porém andei vendo e vi que posso importar este arquivo para um wireshark da vida, que poderia verificar estas informações e trazer o que foi monitorado de uma forma mais didática, que facilitaria a vida de leigos/iniciantes no linux.

Consigo fazer isto? ou de que forma poderia dissecar esta saída/

Abraço pessoal,

josh
(usa Sabayon)

Enviado em 12/06/2014 - 16:40h

o wireshark faz isso pra você de uma forma bem mais simples do que ficar digitando comendos essas coisa tem varios vídeos no youtube que ensinam a como usa-lo mais se você preferir tem esse livro eu não usei ele mais dizem que é ótimo

http://www.submarino.com.br/produto/117687011/livro-wireshark-guia-pratico-analise-e-resolucao-de-pr...

renato_pacheco
(usa Debian)

Enviado em 12/06/2014 - 19:56h

Complementando, não tem como facilitar mais do q isso, pois a análise de pacotes já é um procedimento complexo. Existem aplicativos q fazem a coleta para um determinado fim. Ex.: Snort, q coleta para identificar ataques na rede (IDS - Instrusion Detection System). Então vc tem q focar mais nesse sentido ae.

guasca
(usa Debian)

Enviado em 12/06/2014 - 23:57h

Obrigado pessoal,

Sem dúvida, andei verificando já e garimpado bastante a saída...

Entendo que isto é uma atividade minuciosa e técnica!

Livro encomendado, obrigado pela dica!

Gostei muito de conhecer este recurso, e realmente entender como funciona, pois não só para auditoria de que um cara esta fazendo na rede, finalmente com este recurso, consigo ver o que esta rodando na minha rede!

Abraço pessoal!

renato_pacheco
(usa Debian)

Enviado em 13/06/2014 - 14:24h

Lembrei de uma outra forma q é legal tb, q é logando as regras do iptables. Vc pode contabilizar a quantidade trafegada naquela determinada regra, número d pacotes etc. A diferença é q vc pode separar as conexões por regras.

guasca
(usa Debian)

Enviado em 14/06/2014 - 20:56h

Obrigado Pacheco, entendi sua ideia, vou verificar isso tmb!

Mas assim pessoal, a principal suspeita que recai encima deste user deste ip, é que a criatura esta acessando algum compartilhamento que não devia, inclusive acessando um C$, (somente para explicar, a rede esta muito insegura, tem gente acessando o que não devia e ainda com acessos privilegiados, que estou garimpando os furos aos poucos, tô sozinho e com 600 users para dar suporte, ai me sobra pouco tempo, mas to na luta), pois o cara era de ti e saiu da área, mas manja da coisa... Então (em virtude de alguns fatos embaraçosos que ocorreram) a direção esta achando que o cara esta acessando algum material que não devia, que não é da sua conta, por exemplo um compartilhamento. Pergunto, o acesso a um C$ de uma máquina Windows, deixa algum rastro será, que eu pudesse garimpar no wireshark/tcpdump???

Se eu tiver falando besteira pessoal me desculpem, estou saindo do mundo das drogas (MS) a pouco tempo e ainda aprendendo e começando a me divertir com o Linux!

renato_pacheco
(usa Debian)

Enviado em 15/06/2014 - 00:10h

Cara, não perca muito tempo com isso. Instale um Samba4 (bem semelhante a um Windows Server 2003, mas livre), ponha as máquinas tudo no domínio e os compartilhamentos vc restringe aos grupos do AD. Ae quem pode entrar nos compartilhamentos C$ são somente os Administradores do AD.

guasca
(usa Debian)

Enviado em 26/06/2014 - 19:55h

Sim Renato, já andei lendo, e to montando uma pequena infra para testes.

Porem esta questão é estratégica para a empresa, tenho uns 30 GB em arquivos PCAP, que eu precisaria vasculhar e ver se este ip que eu monitorei acessou compartilhamentos em ips que não deveria... Andei lendo sobre, e pelo visto o protocolo SMB esta relacionado a acessos de compartilhamentos...
Por exemplo assim pessoal, eu precisaria achar uma pista se este ip deu um \\ em uma máquina da rede entende...

Vc tem razão Renato, e não quero mais perder muito tempo com isso, com esta questão de acessos, mas precisaria descobrir se no passado, pelos eventos ocorridos, se este IP acessou algum compartilhamento indevido...

Analisando pelo wireshark, identifiquei atividade através do protocolo SMB e IPs que, se o SMB realmente está envolvido com acessos a compartilhamentos, não devia existir esta atividade!

renato_pacheco
(usa Debian)

Enviado em 26/06/2014 - 23:56h

Protocolo SMB é o protocolo utilizado para realizar os compartilhamentos da rede Windows, mas atente-se para uma coisa: msm q a máquina não tenha compartilhamento habilitado, TODAS as máquinas Windows transmitem pacotes SMB na rede. Pra vc saber se uma determinada máquina acessou ao compartilhamento procurado, vc deve inspecionar os pacotes SMB encontrados na coleta e analisar um por um.

guasca
(usa Debian)

Enviado em 27/06/2014 - 08:16h

Foi o que eu imaginei...
Vou filtrar pelos ips suspeitos e então terei uma quantidade menor para verificar!

Muito obrigado Renato!