Captura de Paquetes (también conocida como pcaps) son vitales para que nuestro equipo investigue cualquier tipo de fuga o bypass a cualquiera de nuestros filtros de aplicaciones L7. Si se le solicita enviar un pcap o captura de tráfico, siga este artículo sobre cómo completar dicha solicitud.

Dependiendo de su sistema operativo, este proceso puede diferir. Esta guía ofrece mostrar la forma más fácil de completar una captura de paquetes para los dos sistemas operativos base más populares. Si su sistema operativo no está listado, por favor póngase en contacto con el soporte y podremos asistirle con los siguientes pasos.

(Si tu sistema operativo es Windows, deberias capturar con Wireshark, dirigite al siguiente link -> https://inetgaming.com.ar/clientes/knowledgebase/38/Como-capturar-trafico-con-WIRESHARK-Windows-pcap.html )

Linux

Descargando paquetes

Utilizaremos el paquete tcpdump para este tutorial. 

Asegúrese de que su repositorio esté actualizado y use el siguiente comando:

  • Para Debian o Ubuntu: apt-get install tcpdump
  • Para CentOS/RHEL: yum install tcpdump

Capturando paquetes/datos

Como ejemplo, capturaremos los paquetes que llegan a nuestro servidor de juegos en el puerto 25565 para nuestro servidor de Minecraft, aunque esto se puede cambiar dependiendo del juego y del puerto, junto con la longitud de captura del paquete. Tenga en cuenta que la longitud de captura de tcpdump por defecto no es ilimitada, utilice la opción de bandera -s0 para capturar la longitud completa del paquete.

Mientras la captura de paquetes está en funcionamiento, por favor, repita/ejecute la tarea con la que está teniendo problemas (por ejemplo, durante un ataque sospechoso si ve una fuga a través de nuestro firewall).

El siguiente comando capturará todos los paquetes que llegan al puerto 25565 hasta que se ejecute CTRL + C. Luego se guardará en el archivo llamado capture.pcap en el directorio desde donde se haya ejecutado el comando.

tcpdump -s0 --interface any -w capture.pcap -nn port 25565

Tendrá que modificar esto dependiendo de su caso de uso, es decir, -nn port {PORT} para otros juegos con múltiples puertos de juegos use -s0 -nn "port {PORT1} and port {PORT2}".

El argumento de línea de comandos -c5 {protocol} se puede utilizar para limitar la captura a un protocolo específico, por ejemplo, si solo desea observar paquetes TCP en un puerto.

Sin embargo, esto no debería usarse para solicitudes regulares de pcap, ya que a veces puede filtrar información requerida.

Para capturas regulares/genericas de trafico sin demasiados parametros recomendamos el siguiente comando: (Este no hará distinción de puertos, capturara todos los puertos y capturara solo 2000 paquetes y luego terminara la ejecucion del comando automaticamente)

tcpdump -s0 --interface any -w capture.pcap -c 2000

 

¡Eso es todo, ha terminado! Una vez que haya grabado su pcap, comuniquese por la via tradicional con nuestro equipo y adjunte el pcap para que podamos analizarlo. 

Дали Ви помогна овој одговор? 26 Корисниците го најдоа ова како корисно (98 Гласови)