Hola.<\/p>\n
En este articulo les ense\u00f1ar\u00e9 como descubrir el dispositivo que tantas peticiones\u00a0 broadcast esta generando y tanto dolor de cabeza nos esta creando.<\/p>\n
No vamos a utilizar ning\u00fan software milagroso ni nada excepci\u00f3nal, nos valdremos de nuestro entorno bash, tcpdump y algo de ingenio con bash scripting…..<\/p>\n
1 – Nuestro primer objetivo es ver el tr\u00e1fico arp de nuestra red con tcpdump…
\n<\/p>\n
# tcpdump -i eth0 -n net 192.168.16.0\/24<\/strong>
\nEjecutaremos tcpdump para escuchar en la interfaz \u00bbeth0\u00bb y la red 192.168.16.0 con m\u00e1scara de subred 255.255.255.0…<\/p><\/blockquote>\nSeguidamente nos empezar\u00e1 a escupir resultados:
\n 02:43:59.781831 arp who-has 192.168.16.18 tell 192.168.16.17
\n02:43:59.857333 arp who-has 192.168.16.18 tell 192.168.16.66
\n02:43:59.967977 arp who-has 192.168.16.18 tell 192.168.16.42
\n02:44:00.220114 arp who-has 192.168.16.18 tell 192.168.16.74
\n02:44:00.308751 arp who-has 192.168.16.13 tell 192.168.16.9
\n02:44:00.332418 arp who-has 192.168.16.13 tell 192.168.16.42
\n02:44:00.374803 arp who-has 192.168.16.13 tell 192.168.16.74<\/strong>
\n<\/p><\/blockquote>\nAqui tenemos una parte de la salida de tcpdump, con el que observamos varias peticiones ARP para averiguar la direcci\u00f3n MAC de las ips: 192.168.16.18 & 192.168.16.13. Dichas peticiones generadas por distintos equipos dentro de la red.<\/p>\n
Hasta ahi estaria todo correcto y podriamos dejarlo funcional con lo anterior. Pero nosotros buscamos algo m\u00e1s de simplicidad en los resultados para poder detectar el malhechor dentro de nuestra red con m\u00e1s f\u00e1cilidad.<\/p>\n
Vamos a seguir utilizando tcpdump pero lo combinaremos con algo de bash script \u00absencillo y bonito bash scripting… :)\u00bb..<\/p>\n
2 – Evaluando los campos que nos interesan<\/p>\n
Esta es la primera linea del segmento de tcpdump publicado m\u00e1s arriba..<\/p>\n
\n02:43:59.781831 arp who-has 192.168.16.18 tell 192.168.16.17<\/strong>
\n<\/p><\/blockquote>\nNosotros buscamos obtener solamente la ip del que genera dicha solicitud ARP y que la solucitud sea solamente del tipo \u00bbwho-has\u00bb.<\/p>\n
Como podemos observar el que gener\u00e1 dicha consulta ARP en este caso es 192.168.16.17 (tell 192.168.16.17).<\/p>\n
Trabajaremos con \u00bbhead<\/strong>\u00bb para realizar un m\u00e1ximo de registros a capturar..<\/p>\n
ej: head-50 # Guardara 50 registros..<\/p>\n
En todo momento tcpdump nos dar\u00e1 la ip del que origina la consulta ARP en \u00faltimo lugar en cada linea, con lo que podriamos quedarnos con el \u00faltimo valor de una forma sencilla…<\/p>\n
\ntcpdump -i eth0 -n net 192.168.16.0\/24 | head -50 |\u00a0 egrep ‘arp who-has’ | awk ‘ { print $NF }<\/strong><\/p><\/blockquote>\n<\/p>\n
– Con (egrep<\/strong> ‘arp who-has’ mostramos solo los registros con el texto ‘arp who-has’<\/p>\n
– Con head -50<\/strong> mostramos solamente HASTA 50 registros.<\/p>\n
– Una vez tengamos solamente los registros con la petici\u00f3n arp who-has, mostramos el \u00fatimo campo (la ip que origina la consulta ARP).<\/p>\n
Con esto ya simplificariamos bastante la salida, con lo que solo nos mostraria las ips de nuestra red que generan la consulta ARP…(pego las 5 primeras lineas a modo de ejemplo)<\/p>\n
\n192.168.16.9
\n192.168.16.42
\n192.168.16.10
\n192.168.16.9
\n192.168.16.42<\/strong>
\n<\/p><\/blockquote>\nDe esta forma nuestro objetivo estaria \u00bbcasi\u00bb cumplido.<\/p>\n
tcpdump -i eth0 -n net 192.168.16.0\/24 | head -50 | egrep ‘arp who-has’ | awk ‘ { print $NF } ‘<\/strong><\/p><\/blockquote>\n
<\/p>\n
3 – Ordenar Resultados<\/p>\n
Podemos dar un paso m\u00e1s all\u00e1, podemos ordenar esos registros para una mejor localizaci\u00f3n. Podemos lograr ese objetivo con \u00bbsort\u00bb.<\/p>\n
<\/p>\n
tcpdump -i eth0 -n net 192.168.16.0\/24 | head -50 | egrep ‘arp who-has’ | awk ‘ { print $NF } ‘ | head -50 | sort<\/strong><\/p><\/blockquote>\n
<\/p>\n
4 – Eliminar registros repetidos<\/p>\n
Lo \u00faltimo que podriamos hacer para que sea realmente f\u00e1cil localizar un dispositivo generador de tr\u00e1fico ARP, seria eliminar las ips repetidas y mostrar cuantas veces se han repetido.<\/p>\n
Lo podemos hacer con uniq <\/strong>seguido del flag ‘-c<\/strong>‘.<\/p>\n
uniq<\/strong> elimina registros repetidos y con el flag -c<\/strong> podemos mostrar el n\u00famero de veces que se han repetido.<\/p>\n
<\/p>\n
**especial atenci\u00f3n que estoy mostrando solamente 5 registros (head -5)<\/p>\n
tcpdump -i eth0 -n net 192.168.16.0\/24 | head -5 | egrep ‘arp who-has’ | awk ‘ { print $NF } ‘|sort | uniq -c<\/strong><\/p><\/blockquote>\n
<\/p>\n
\n<\/strong><\/p>\nCon esto obtendriamos una salida similar a esta:<\/p>\n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
\nlistening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
\n1 192.168.16.17
\n1 192.168.16.26
\n2 192.168.16.89
\n1 192.168.16.9
\n135 packets captured
\n135 packets received by filter
\n0 packets dropped by kernel<\/strong><\/p><\/blockquote>\n<\/p>\n
Habriamos llegado hasta nuestro objetivo, ahora podemos dejar nuestro pc encendido un buen rato, para desvelar quien es el que genera tantas peticiones ARP…<\/p>\n
<\/p>\n
tcpdump -i eth0 -n net 192.168.16.0\/24 | head -1000 | egrep ‘arp who-has’ | awk ‘ { print $NF } ‘|sort | uniq -c<\/strong><\/p>\n
*** Preste especial atenci\u00f3n. Mostraremos 1000 ips (head -1000).<\/strong><\/p><\/blockquote>\n
<\/p>\n
Imprimiendo hasta 1000 registros, podemos ver claramente que equipos estan generando tr\u00e1fico ARP a montones. Tardar\u00e1 un poco, tomens\u00e9 un buen caf\u00e9 y disfruten.<\/p>\n
Saludos.<\/p>\n
By\u00a0 ZaPa.<\/p>\n
Fuentes:<\/strong><\/p>\n
http:\/\/everythingsysadmin.com\/2004\/10\/whos-infected.html<\/a><\/p>\n