Hacking Tool - TCPICK sniffer

14

Ciao a tutti, con questo articolo volevo ringraziare il mio primo iscritto (al FEED), con la speranza che si iscrivi qualcun’altro e poi ringraziare tutti quelli che leggono i miei modesti articoli. Oggi volevo proporvi un tool che ogni tanto, quando sono costretto a dover sniffare del traffico e non ho il mio fedelissimo Wireshark, uso per catturare dei pacchetti TCP sulla rete LAN.

Si chiama, come potete leggere dal titolo del post, tcpick che potete scaricare a questo link: http://tcpick.sourceforge.net oppure per chi ha una distribuzione GNU/linux con apt, potete installarlo direttamente digitando apt-get install tcpick (dovreste trovarlo già incluso nei repositry ufficiali di Debian).

Premessa: segmento è il termine per indicare il “pacchetto” di livello 4 solitamente viene chiamato così ma per essere pignoli questo termine si dovrebbe utilizzare solo nel livello 3 della pila ISO/OSI, precisamente nel livello IP. Per rendere più gergale il tutto non farò questa distinzione nello scrivere questo post perchè non serve ai fini della comprensione.

Fatta questa premesse passiamo all’atto pratico, capendo meglio come funziona e che cosa lo contraddistingue dagli altri tool di analisi.

Tcpick è nato per catturare e riordinare tutti i paccchetti TCP, ho messo in risalto il termine riordinare perchè quando catturiamo del traffico in rete, in questo articolo ci concentriamo su quello TCP, si può notare come i pacchetti non arrivino in modo consecutivo ma arrvino in modo non sequenziale non agevolandoci la comprensione di quello che sta succedendo.

Il problema viene risolto utilizzando questo tool, infatti se digitiamo su una console :

COMANDO: tcpick –i eth0 -C

L’output riportato in figura mostra come i pacchetti catturati durante una richiesta HTTP al motore di ricerca google siano visualizzati in sequenza.

Altri parametri utili che si possono aggiungere sono i seguenti, vi elenco quelli che reputo più interessanti ed utili in base alla mia esperienza personale, per una dettagliata panoramica sul tool vi rimando al manuale di linux oppure all’indirizzo del sito internet che vi ho segnalato sopra.

-a risolve il nome degli host invece di mostrare gli indirizzi ip

-C colora l’output

-e <numero> smette di catturare quando ha raggiunto il numero di pacchetti indicati

-t visualizza il temestamp nel formato ore:minuti:secondi:microsecondi

-yP Visualizza il payload(i dati) contenuti nel pacchetto e i caratteri non stampabili vengono sostituiti con il punto

-h stringa riassuntiva contenuta nell’header del pacchetto

-T <n> traccia solo n connessioni

Alcuni usi un pò più avanzati di tcpick possono essere i seguenti:

Creare un filtro per sniffare determinati pacchetti in transito

COMANDO: tcpick –i eth0 –C –bCU –T1 “port 25″

Permette di redirigere il flusso dati (-bU indica che i caratteri non stampabili vengano rappresentati con un punto) proveniente dal client

Con i doppi apici introduciamo un filtro che indica a tcpick di sniffare solo i pacchetti destinati alla porta 25, potete sbizzarrirvi con il provare tutte le tipologie di filtri che volete.

Prima di lasciarvi vi volevo proporre ancora una combinazione che reputo molto utile e che ci permette di salvarci la nostra sessione di analisi in un file gz

Provate a digitare: tcpick –i eth0 –pipe client “port 80″ | gzip > traffico_http.gz

Happy hacking

Invia articolo ad un amico