systemadmin.es > Redes > Windump: tcpdump para Windows

Windump: tcpdump para Windows

tcpdump resulta una herramienta muy útil a la hora de ver cualquier problema que tenga relación con la red. Hoy vamos a ver cómo utilizar WinDump, el hermano de tcpdump en “el lado del mal

En el caso que intentemos utilizar windump sin WinPcap obtendremos el siguiente mensaje de error referente a la libreria winpcal.dll:

Necesitamos instalar WinPcap

Falta instalar wpcap.dll

Asñi que primero deberemos instalar dicho driver, descargandolo desde winpcap.org

Se trata de un instalador típico de Windows cuya única opción es si queremos cargar el driver al arrancar el sistema:

Indicamos que queremos cargar el driver de WinPcap al arrancar

Indicamos que queremos cargar el driver de WinPcap al arrancar

Dejamos indicado que si y le damos a Instalar. A continuación deberemos descargar WinDump y lo moveremos a algun directorio que este en el PATH (por ejemplo dentro de C:\WINDOWS) o deberemos añadir el directorio de nuestra elección al PATH.

Para utilizar windump tenemos las mismas opciones que con tcpdump, pero el principal inconveniente al empezar a utilizarlo es cómo indicar las interfaces de red. Para ello tenemos la opción -D que nos las lista:

C:\>windump -D
1.\Device\NPF_{3EDADACC-CE31-4594-9B5E-9223FBB45257} (TAP-Win32 Adapter V9 (Microsoft's Packet Scheduler) )
2.\Device\NPF_{77D66C68-3756-4077-8B35-6EC4BFFD7A29} (AMD PCNET Family Ethernet Adapter (Microsoft's Packet Scheduler) )

Para indicar interfaz podemos hacerlo por el nombre o por el número que resulta mucho más conveniente:

C:\>windump -i 2
windump: listening on \Device\NPF_{77D66C68-3756-4077-8B35-6EC4BFFD7A29}

0 packets captured
0 packets received by filter
0 packets dropped by kernel

A partir de aquí es igual que con tcpdump:

C:\>windump -nni 2
windump: listening on \Device\NPF_{77D66C68-3756-4077-8B35-6EC4BFFD7A29}
00:38:10.017792 IP 10.0.2.15.1198 > 67.228.110.121.80: S 2657104759:2657104759(0) win 65535 <mss 1460,nop,nop,sackOK>
00:38:10.208313 IP 67.228.110.121.80 > 10.0.2.15.1198: S 189504001:189504001(0) ack 2657104760 win 65535 <mss 1460>
00:38:10.208375 IP 10.0.2.15.1198 > 67.228.110.121.80: . ack 1 win 65535
00:38:10.236113 IP 10.0.2.15.1198 > 67.228.110.121.80: P 1:644(643) ack 1 win 65535
00:38:10.236844 IP 67.228.110.121.80 > 10.0.2.15.1198: . ack 644 win 65535
00:38:10.423685 IP 67.228.110.121.80 > 10.0.2.15.1198: P 1:1349(1348) ack 644 win 65535
00:38:10.423764 IP 67.228.110.121.80 > 10.0.2.15.1198: P 1349:2697(1348) ack 644 win 65535
00:38:10.423820 IP 10.0.2.15.1198 > 67.228.110.121.80: . ack 2697 win 65535

Por ejemplo, para ver la capa de enlace (ver las MACs) debemos añadir la misma opción que con tcpdump: la opción -e

C:\>windump -enni 2
windump: listening on \Device\NPF_{77D66C68-3756-4077-8B35-6EC4BFFD7A29}
00:38:56.709849 08:00:11:30:7e:d9 > 52:54:00:11:11:02, ethertype IPv4 (0x0800), length 62: 10.0.2.15.1206 > 67.228.110.121.80: S 3585013839:3585013839(0) win 65535 <mss 1460,nop,nop,sackOK>
00:38:56.902460 52:54:00:11:11:00 > 08:00:11:30:7e:d9, ethertype IPv4 (0x0800), length 60: 67.228.110.121.80 > 10.0.2.15.1206: S 195968001:195968001(0) ack 3585013840 win 65535 <mss 1460>
00:38:56.902561 08:00:11:30:7e:d9 > 52:54:00:11:11:02, ethertype IPv4 (0x0800), length 54: 10.0.2.15.1206 > 67.228.110.121.80: . ack 1 win 65535

Relacionados

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>