TRAFICO EN LOS PAQUETES DE

DATOS (LINUX)
Es una lnea de comandos lo principal es analizar el trafico que circula por la
red, permite capturar y mostrar al usuario en tiempo real los paquetes
transmitidos y recibidos por la red al ordenador que este conectado a su vez
los mltiples filtros y parmetros.
Nos permite miles de combinaciones para poder monitorear el trfico de datos
que pase por la interfaz as como el trfico que ingrese de una IP, un host o una
pagina.
TCPDUMP funciona la mayora en los sistemas operativos como: LINUX, UNIX,
SOLARIS, BDS, MAC OS PX. Este hace uso a la biblioteca de captura de los
paquetes que circulan por la red.
Permite aplicar varios filtros para que sea una depuracin de la salida, el filtro
es una expresin que va detrs de las opciones nos permite seleccionar
paquetes que busquemos el TCPDUMP quitara todo el trafico que va al
adaptador de la red seleccionado.

FUNCIONAMIENTO
depurar aplicaciones que utilizan en la red de comunicacin
depurar a la misma red
capturar y leer los datos enviados por otros usuarios o ordenadores

PARAMETROS
Tcpdump [-aAdDef1LnNOpqRstuUvxX] [-C count] [ -file size]
[ -E algo:secret ] [ -F file] [ -I interface] [-M secret]
[ -r file] [ -s snaplen] [-T type] [ - w file]
[ -W filecount ] [-y datalinktype] [ -Z user]
[ expression]
-A: imprime cada paquete en un cdigo ASCII
-D: imprime la lista de interfaz disponibles
-n: no convierte las direcciones de salida
-p: no utiliza la interfaz especificada
-t: no imprime la hora de captura de la trama
-x: imprime cada paquete (hexadecimal)

-X: imprime cada paquete (hexadecimal y cdigo ASCII)

-c count: cierra el programa tras recibir count paquetes
-C file size
-E algo:secret
-F: file
-i interface: escucha en la interfaz especificada
-M secret
-r file
-s snaple
-T type
-w file: guarda la salida en el archivo file
-W filecount
-y datalinktype
-z user

FILTROS
Type [host|net|port]: maquina en particular [host], red complete [net] o Puerto
concreto [port]
Dir [src|dst|src or dst|src and dst]: especifica desde [src] o hacia donde [dst]
se dirige la inf.
Proto [tcp|udp|ip|ether]: protocolo que queremos capturar.
SRC: direccin y puerto de origen
DST: direccin y puerto de destino
FLAGS: de la cabecera TCP, si no hay flags o combinacin de S (SYN), F (FIN),
P (PUSH), W (REDUCCION DE LA VENTANA DE CONGESTION), E (ECN ECO).
DATASEQ: numero de secuencia del primer byte de datos en el segmento TCP.
ACK: indica el nmero de la secuencia siguiente que espera recibir.
WINDOW: tamao de la venta
URGENT: datos urgentes
OPTIONS: es la existencia de las opciones entre <>.

CONFIGURAR EL CORTAFUEGO
INTERNO QUE UTILIZARA LINUX
Es un dispositivo de software o hardware, este filtra todo el trafico de la red en
el sistema operativo Linux se necesita de un firewall que es llamado IPTABLES,
esto incluye en el kernel de la versin de Linux 2.4 . esta basado en reglas,
tiene un funcionamiento que aplica las reglas en el firewall para que sea
ejecutado, las IPtables se encuentran igual en firmwares que son basados de
Linux y para igual los dispositivos android.

Para iniciar|parar|reiniciar iptables

se debe ejecutar los siguientes
comandos:
*sudo service iptables start
*sudo service iptables stop
*sudo service iptables restart

principales comandos de IPtables:

*A-append (agrega una regla a una cadena)
*D-delete (borra una regla de una cadena especifica)
*R-replace (reemplaza una regla)
*I-insert (inserta una regla en lugar de una cadena)
*F-flush (borra todas las reglas de una cadena)
*Z-zero (pone a cero todos los conectores de la cadena)
*N-new chain (permite al usuario crear su propia cadena)
*X-deleta chain (borra la cadena especifica)
*P-policy (explica al kernel que hacer con los paquetes que no coincida con
ninguna regla)

*E-rename chain (cambia el orden de una cadena)

condiciones principales para

IPtables:
P-protocol (la regla se aplica a un protocolo)
S-src-source (la regla se aplica a una IP)
D-dst-destination (la regla se aplica a una IP destinado)
I-interface (la regla se aplica a una interfaz)
O-out interface

condiciones TCP/UDP
-SPORT-source-port (seleccioa o excluye puertos de un determinado puerto)
-D PORT-destination-port (selecciona o excluye puertos de destino)

configuracin de reglas por defecto

Para configurar el firewall para que bloquee todas las conexiones se teclea:
IPtables-P INPUTDROP
IPtables-P FORWARD DROP
IPtables-P OUTPUTDROP
Esto nos quedamos sin una conexin a internet por lo que se debe hacer un
reemplazo a las reglas permitivas, para aplicar una regla para un determinado
Puerto se debe EJECUTAR:
*Iptables-A-INPUT-P tcp-sport 22 22->crea una regla para el puerto de origen
tcp 2222.

para bloquear el trfico de un determinado IP

se ejecuta:
IPtables-A-INPOUT-p tcp-m iproge-src-range-192.168.1.13-192.168.2.19.

Ya ejecutadas las reglas aplicadas, se deben

guardar tecleando:
sudo service IPtables save

para ver el estado del firewall se teclea:

IPtables-L-N-V
[L-muestra las lneas abiertas]
[V-permite recibir informacin sobre conexiones]
[N- Nos devuelve las direcciones IP Y los puertos que pasa por el servidor DNS]

para eliminar las reglas del firewall para volver a

configurar de nuevo se teclea:
IPtables-F

Conexiones entrantes
se teclea los parmetros:
-IPtables-A-INPUT-i [interface]-p [protocol]-d port [puerto]-m state-state
NEW,ESTABLISHED-j ACCEPT
-I se configure la interfaz
-p protocol se especifica el TCP/UDP
-d port el puerto que permitiremos (ejemplo el HTTP seria el 80.)

Para permitir las conexiones desde una pagina

web:
*IPtables-A-INPUT-i eth0-p-tcp-dport 80-m state-state NEW,ESTABLISHED,
ACCEPT.

Conexiones salientes
*IPtables-A-OUTPUT-o [interfaz] p [protocolo]-sport [puertos]-m state-state
ESTABLISHED-J ACCEPT

O-configurar la interfaz
P-protocolo ya sea TCP O UDP
SPORT- puertos (HTTPS SERIA 443)

Paquetes ICMP:
El ping como esta deshabilitado tenemos que habilitarlo aadiendo las
entradas IPtables:

*ping a otros servidores:

IPtables-A-OUTPUT-P-ICMP-icmp-type-echo-request-J ACCEPT

*permitir recibir ping de otros equipos:

IPtables-A INPUT-p-icmp-type-echo-reply-j ACCEPT

trafico interno (internet)

Para poder configurar el firewall para que reenvi el trfico de la red local a
travs de internet:
IPtables-A-FORDWARD-i-eth0-o eth1-J ACCEPT

para bloquear y prevenir el DDOS

IPtables A-INPUT-p tcp- d port80-m limit-limit 25/minute-limit-burst 100-J
ACCEPT

para consultar los paquetes rechazados por

(IPtables)
IPtables-N LOGGING

*bloquear una direccin IP

Iptables-A-INPUT-s 192.168.0.0124-J DROP

*bloquear una direccion IP (salida)

Iptables-A OUTPUT-d 75.126.153.206-J DROP

*bloquear un ping:
Iptables-A INPUT-P icmp-icmp-type-echo-request-J DROP.