Capturar trafico lan por problema troyano.
Roy Alvear
racl en gulix.cl
Vie Dic 13 11:31:23 CLST 2013
Efectivamente Robert,
Modem-router <---> analizador <---> router <---> todos los equipos de la
red.
es la configuración ideal para escuchar todos los paquetes que pasan, es
más, el analizador es un router también ;) ...otro software que sirve
para ello es ngrep, pero los resultados son similares.
Saludos
On 12/12/13 21:30, Robert wrote:
> Antonio.
>
> Pero conectar el equipo analizador a la red como uno mas para capturar
> tráfico es lo mismo que haga pasar todo el tráfico por el analizador
> conectándolo entre el modem-router vtr y mi router ?
>
> Modem-router <---> analizador <---> router <---> todos los equipos de la
> red.
>
> Espero se entienda.
> El 12/12/2013 21:21, "Antonio Sebastian Salles M." <antonio en salles.cl>
> escribió:
>
>> Ahhh!! Entonces conecta el analizador con linux a toda la red y filtra por
>> el puerto que envía el spam, que lo más probable sea el 25, 465 o el 587.
>> Ahí pone de tu cosecha.
>>
>> Ej. tcpdump -i $RED src port 25
>>
>>
>> El 12 de diciembre de 2013 19:18, Robert <robert.chile en gmail.com>
>> escribió:
>>
>>> El problema es que nosé cual es el equipo infectado !!! , son 25 equipos
>> a
>>> diario conectados a la red, por eso necesito capturar todo el tráfico y
>> se
>>> que con wireshark puedo filtrar por ip y puerto destino para identificar
>>> equipo infectado.
>>>
>>> Gracias.
>>>
>>> El 12/12/2013 21:13, "Antonio Sebastian Salles M." <antonio en salles.cl>
>>> escribió:
>>>> Los dos equipos, el infectado con wintendo y el analizador con linux,
>>>> conectalos a un router aislado, completamente desconectado de internet
>> y
>>> de
>>>> los demás equipos. En ese momento ejecuta tcpdump para empezar a
>>> trabajar.
>>>>
>>>>
>>>>
>>>> El 12 de diciembre de 2013 19:03, Robert <robert.chile en gmail.com>
>>> escribió:
>>>>> Hola antonio.
>>>>>
>>>>> Gracias por responder, pero como conecto el equipo a la red para
>>> capturar
>>>>> todo ?
>>>>>
>>>>> Saludos.
>>>>> El 12/12/2013 21:02, "Antonio Sebastian Salles M." <
>> antonio en salles.cl>
>>>>> escribió:
>>>>>
>>>>>> RED=eth0
>>>>>> tcpdump -i $RED
>>>>>>
>>>>>> Ahora, te saldrá mucha información, de la cual tienes que ir
>>> filtrando.
>>>>> Lo
>>>>>> mejor que puedes hacer es aislar un PC posiblemente infectado y
>> luego
>>>>>> empiezas a analizarlo, sino te vas a volver loco.
>>>>>>
>>>>>>
>>>>>> El 12 de diciembre de 2013 18:57, Robert <robert.chile en gmail.com>
>>>>>> escribió:
>>>>>>
>>>>>>> Hola.
>>>>>>>
>>>>>>> Necesito capturar tráfico de lan por problemas con troyano zbot.
>>>>>>>
>>>>>>> Este troyano se activa cada cierto tiempo, se conecta a una ip y
>>> puerto
>>>>>>> identificados, esto provoca que nuestra ip pública ingrese al
>>> listado
>>>>> de
>>>>>>> spamhauss y se nos bloquea el envio de correos pop e imap.
>>>>>>>
>>>>>>> Los antivirus no lo detectan, por eso necesito ayuda para
>> capturar
>>>>>> tráfico
>>>>>>> de toda la red y lograr identificar el equipo que está infectado
>> y
>>>>>>> formatearlo.
>>>>>>>
>>>>>>> Usamos internet vtr con un modem-router el cual va conectado a
>>> nuestro
>>>>>>> router por cable y a este último se conectan todos los equipos de
>>> la
>>>>> red
>>>>>>> tanto alámbricos como inalámbricos.
>>>>>>>
>>>>>>> Entonces, que necesito ?, cómo y dónde conecto algo ? (notebook,
>>> pc,
>>>>>>> router, otro) y como configuro para lograr capturar todo el
>> tráfico
>>> de
>>>>> la
>>>>>>> red ?
>>>>>>>
>>>>>>> Saludos.
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Saludos!
>>>>>>
>>>>>> Antonio Sebastián Sallés M.
>>>>>> [cel] +56-9-8281 71 61
>>>>>>
>>>>
>>>>
>>>> --
>>>> Saludos!
>>>>
>>>> Antonio Sebastián Sallés M.
>>>> [cel] +56-9-8281 71 61
>>
>>
>> --
>> Saludos!
>>
>> Antonio Sebastián Sallés M.
>> [cel] +56-9-8281 71 61
>>
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre : signature.asc
Tipo : application/pgp-signature
Tamaño : 263 bytes
Descripción: OpenPGP digital signature
Url : http://listas.inf.utfsm.cl/pipermail/linux/attachments/20131213/7b348beb/attachment.bin
Más información sobre la lista de distribución Linux