Arquivos de Tags: Segurança - Páginas 2

Conhecendo o Tcpdump

Escrito por em 25 de Janeiro de 2010 6 comentários

O tcpdump é  um analisador de pacotes que roda em modo texto( e também um dos sniffers mais famosos que existe). Sua utilização é simples e sem mistérios, bastando apenas ter os conhecimentos básicos de redes TCP/IP e basta roda-lo com o root que ele começa a fazer o serviço. Segue uma pequena lista com alguns parâmetros.

-D: interfaces vistas pelo tcpdump

-c: captura c pacotes

-e: informação de camada de enlace

-A: imprime os pacotes em ASCII

-n: não resolve nomes (mostra endereços como são)

-v : modo verbose (pode-se aumenta-lo com -vv -vvv)

-x: mostra o PDU em hexadecimal

-S: mostra números de sequência em formato absoluto (por padrão o tcpdump
mostra os números relativos aos valores iniciais estabelecidos na conexão)

-s: tamanho do pacote

-t: retira a informação de timestamp do início da linha

-ttt: mostra a diferença de tempo para uma referência em us (microssegundos)
expressão – indica que pacotes devem ser mostrados (dumped) Ex.:
tcpdump -n icmp
tcpdump src <origem>
tcpdump dst <destino>
tcpdump host <máquina>

Agora vamos a algumas dicas o seu uso. Para armazenar a saída (em modo texto) em um arquivo digite:
tcpdump –c 100 > trace.txt

Com esse comando abaixo ele ira sniffar os pacotes que passam pela interface eth0:
#tcpdump -i eth0

Usando esse comando ele ira capturar todos os pacotes vindos de 192.168.0.2 (que também funciona com URL, que será explicado mais abaixo):
#tcpdump -i eth0 src host 192.168.0.2

É também e possível utiliza-lo com sites, por exemplo:
#tcpdump -i eth0 src host www.google.com

dessa forma ele ira capturar todos os pacotes que vem de www.google.com. Para verificar todo trafego que vem da porta de origem 666:
#tcpdump -i eth0 src port 666

O argumento -n evita name service queries, a resolução de DNS:
#tcpdump -n icmp

Para Scaneiar restritamente TCP ou UDP:
#tcpdump -n -t tcp or udp

Para scaneiar restritamente TCP port 22:
#tcpdump tcp port 22

Para scaneiar os dois IP (comunicação entre dois IP), excelente se o tcpdump estiver no gateway:
#tcpdump host \(10.10.100.100 and 10.10.200.200\)

Para scaneiar a porta 666 mas descarta host IP 192.168.0.1:
#tcpdump port 666 and not host 192.168.0.1

Capturando pacotes com origem em 172.25.50.1 e destino 201.XXX.XXX.XXX, com exceção da porta 666:
#tcpdump -i en1 -n src 172.25.50.1 and dst 201.XXX.XXX.XXX and port not 666.

Agora, um pouco mais chique, usando egrep – isso vai mostrar todos os seus pedidos da Web em tempo real:
#tcpdump-i eth0-Um porta-n 80 | egrep-i (GET. / | POST. / | Host:)

Se você esqueceu sua senha pop3, mas tê-lo guardado no cliente, isto também se aplica às senhas para a web, eu tenho utilizado este um lote, em vez de o “esqueci senha” mecanismo…
#tcpdump-i eth0-n port 110-A | egrep-i (user | pass)

Obtêm somente os segmentos com SYN ligado:
#tcpdump 'tcp[13] & 2==2'

Para filtrar pacotes com cabeçalhos maiores de 20 bytes:
#tcpdump 'ip[0] & 0x0f > 5'

Para filtra o 10º byte ou 9º offset (protocol field) – TCP = port 6 UDP = port 17, por exemplo:
#tcpdump ‘ip[9] = 6’

Capturar o tráfego de pacotes TCP que tenham o flag SYN ligado (ou seja apenas os pacotes de solicitações de conexão). Use o comando abaixo:
#tcpdump -i eth0 'tcp[13] & 2 == 2' –w syn.cap –c 5

Tabela com os valores utilizados para trabalhar com flags do tcp.

O resto depende da criatividade…

Referências e links

[]‘s

Sniffing for Dummies

Escrito por em 22 de Janeiro de 2010 2 comentários

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
=-[07]-=[Sniffing for Dummies]-=|hallz|=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Introdução ao Sniffing
(Sniffing for Dummies) Por hallz

.:: Introdução ::.

Procuro abordar aqui o funcionamento de um sniffer, os riscos que este pode trazer a uma rede, alguns truques que invasores usam para oculta-lo e também formas de detecção. Ao longo do artigo, usarei a palavra ‘invasor’ quando me referir a pessoa que esta ‘sniffando’ uma rede que não seja sua. ‘Invasor’ neste caso, serve para hackers, crackers e kiddies. Vale lembrar, no entanto, que as diferenças entre os termos são enormes. Hackers são pessoas com conhecimento avançado, que estão sempre em busca de mais conhecimento, compartilham suas descobertas e seguem uma ética; Crackers violam sistemas com intenções maliciosas, causando problemas aos seus alvos; Kiddies são pessoas que não tem conhecimento técnico, apenas usam ferramentas criadas por outros como forma de conseguir seus 15 minutos de fama. Este eh um texto básico, portanto se você já eh ‘fera’, não espere encontrar algo novo por aqui.

Ler mais »

Bug no WordPress permite que a senha do admin seja “resetada”.

Escrito por em 13 de Agosto de 2009 Nenhum comentário

Uma vulnerabilidade chata do WordPress pode permitir que qualquer estranho dê um reset na senha do administrador de blogs baseados neste sistema. A falha afeta inclusive a versão 2.8.3 (que é a atual, no momento em que redijo esta nota), e não permite propriamente o “roubo” da senha – o processo apenas faz com que o verdadeiro administrador perca a sua senha, e não seja notificado sobre a nova senha – ou seja, perca acesso ao sistema.

Se seu blog já foi vítima, a documentação do WordPress explica como você pode gerar uma nova senha de administração e recuperar assim o acesso – são vários métodos, incluindo um script que automatiza o processo – mas todos são relativamente trabalhosos e possivelmente complicados.

A notícia do Heise explica como alterar uma linha de código do WordPress para corrigir a falha, enquanto não sai uma nova versão.

Saiba mais (lists.grok.org.uk).

Atualização: A nova versão foi disponibilizada no final da terça-feira.

Notas: upgrade feito ontem :)

Webtunnel

Escrito por em 22 de Março de 2009 1 comentário

Hi, webtunnel é um utilitário de rede que encapsula de dados em HTTP e HTTPS e transmite-a através de um servidor web. Funciona de forma semelhante ao httptunnel. No entanto, ele tem várias diferenças importantes chave: no seu servidor ele é executado como uma aplicação CGI (com opcionais FastCGI support), por isso não precisa de seu próprio porta, e apoia a maioria das funções que dos web servers,como a autenticação; 1.1HTTP, HTTPS e client certificates.

Exemplos de uso

Para ssh tunnel com o seu web server:

wtc.pl tcp://localhost:8022 tcp://localhost:22 http://webserver/wts.pl
ssh -p 8022 user@localhost

Para um tunnel SSH traffic para outros web server:

wtc.pl tcp://localhost:8022 tcp://sshserver:22 http://webserver/wts.pl
ssh -p 8022 user@localhost

Para um  tunnel OpenVPN  atráves de um web server rodando em uma porta não padrão é requisitando autentificação:

wtc.pl \
tcp://localhost:8194 \
tcp://vpnserver:1194 \

http://user:pass@webserver:8000/wts.pl

Para um tunnel OpenVPN através do web e um servidor de proxy que ambos requerem autentificação:

wtc.pl \
tcp://localhost:8194 \
tcp://vpnserver:1194 \
http://user1:pass1@webserver/wts.pl \

http://user2:pass2@proxyserver:8080

Para um tunnel Telnet através do web server usando certificados para autentificação:

wtc.pl \
--cert client.crt \
--key client.key \
tcp://localhost:8023 \
tcp://telnetserver:23 \

https://webserver/wts.pl

Para um tunnel Telnet através do  web server com proxy autoconfigurado, é um proxy server,se houver, autentificação requerida:

wtc.pl \
--pac \
tcp://localhost:8023 \
tcp://telnetserver:23 \
https://webserver/wts.pl \

http://proxyuser:proxypass@pacserver:8000/proxy.pac


Todos os exemplos mostrados “https” são alternativas também validas para “http”.

Link para o projeto

[]‘s

Pagina 2 of 212
SEO Powered by Platinum SEO from Techblissonline