WinDump: Qué es y cómo usarlo

By on
Windump

WinDump es la versión para Windows de Tcpdump (funciona en entornos Unix y derivados). Se trata de una herramienta gratuita de gestión y control de redes que funciona mediante línea de comandos. Es totalmente compatible con Tcpdump y permite interceptar y mostrar los paquetes TCP/IP o de otros tipos, que son transmitidos sobre la red a la que está conectado, o diagnosticar el estado de la red y guardar los registros en ficheros, todo esto en función de reglas más o menos complejas.

Está basado en las librerías de WinPcap, que se puede bajar gratuitamente de su página oficial y es indispensable para la ejecución de WinDump.

Para poder usarlo son necesarios privilegios de administrador, debido a que en su ‘promiscuous mode’ (modo promiscuo) permite interceptar los paquetes de otros usuarios poniendo en peligro así la confidencialidad de los datos de la red.

Una vez instalada la librería y el programa en sí, tan sólo debemos introducir en la línea de comandos (haremos referencia a Windump para windows, aunque casi todo es válido para su versión GNU/Linux).

Windump

Usando Windump

Windump interpreta los datos dependiendo del protocolo involucrado en la captura, ya que no es lo mismo una captura de consulta DNS que un inicio de sesión o establecimiento de conexión TCP, o una captura ICMP, aunque las diferencias, en algunos casos, son pocas.

Algunas opciones

Para ver las interfaces de que disponemos:

C:\scan>windump -D

Windump

Si queremos usar un interfaz en concreto, por ejemplo el 1:

C:\scan>windump -i 1

Windump

Si no quisiéramos que resuelva los nombres de host, para ver solo las direcciones IPs.

C:\scan>windump -n

Windump

Si queremos ver los resultados de forma más resumida podemos aplicar el modificador   -qnt (q indicador de salida rápida que hará que nos devuelva menos información y que las líneas sean más cortas, n para no resolver los nombres de host, t elimina las marcas de tiempo).

Windump

Aplicar filtros y concatenaciones lógicas

Lo normal es que no nos interese ver todo el tráfico, sino un determinado protocolo, puerto o host.

Captura el tráfico de origen del host aguerrero-xps:

C:\scan>windump src host aguerrero-xps

Windump

Captura todo el tráfico cuyo puerto de destino sea el 443

C:\scan>windump dst port 443

Windump

Combinando filtros:

C:\scan>windump tcp and port 443

Concatenaciones lógicas:

Para filtrar y clarificar nuestros resultados podemos hacer uso de filtros más avanzados y utilizar operadores lógicos. Para unir operadores lógicos usamos and, y para negar not.

C:\scan >windump not host aguerrero-xps and not icmp

Análisis posterior y guardado de datos

Windump puede grabar los datos para su posterior análisis. Utilizaremos para ello el comando -w para grabar y -r para abrirlos.

C:\scan>windump -w fichero1 port 443

C:\scan>windump -r fichero1

Windump