Obtener informacion de los paquetes

Iniciado por .rn3w., 8 Enero 2020, 02:25 AM

0 Miembros y 1 Visitante están viendo este tema.

AlbertoBSD

Si es lo que decía yo desde el principio, obtener los datos en hexadecimal.

Sin embargo considera ahora como vas a procesar la salida del snort?

Desde el otro Topic que abristes te recomende utilizar la librería que utiliza Snort para realizar lo mismo "Libpcap" Con ella puede obtener el paquete completo mediante programación y pasar la información directamente a lo que quieres hacer.

¿Que lenguaje de programación vas a utilizar?

Te puse los links para que veas toda la información que contiene los puro paquetes de cabecera esto sin incluir la data que procesan al final las aplicaciones cliente y servidor

Paquete Completo:
[Paquete o Header IP][Paquete o Header TCP][Data que procesa el cliente o Servidor]
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

.rn3w.

#11
CitarDesde el otro Topic que abristes te recomende utilizar la librería que utiliza Snort para realizar lo mismo "Libpcap" Con ella puede obtener el paquete completo mediante programación y pasar la información directamente a lo que quieres hacer


esa parte creo que la hare manualmente o talves lo haga al final, primero quiero obtener datos y empezar a jugar con las redes neuronales para obtener resultados, y hacer varios experimentos

Citar¿Que lenguaje de programación vas a utilizar?

utilizare python


ahora tengo otra duda, utilizando tcpdump otengo este error:


sudo tcpdump -i eth0
[sudo] password for ubuntu:
tcpdump: eth0: No such device exists
(SIOCGIFHWADDR: No such device)



trate de seguir el video https://www.youtube.com/watch?v=1lDfCRM6dWk&t=595s pero obtengo el error de arriba, como solucionarlo?




probando ifconfig obtengo esto:

ifconfig
enp2s0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
       ether e0:3f:49:c9:af:31  txqueuelen 1000  (Ethernet)
       RX packets 0  bytes 0 (0.0 B)
       RX errors 0  dropped 0  overruns 0  frame 0
       TX packets 0  bytes 0 (0.0 B)
       TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
       inet 127.0.0.1  netmask 255.0.0.0
       inet6 ::1  prefixlen 128  scopeid 0x10<host>
       loop  txqueuelen 1000  (Local Loopback)
       RX packets 3178  bytes 297846 (297.8 KB)
       RX errors 0  dropped 0  overruns 0  frame 0
       TX packets 3178  bytes 297846 (297.8 KB)
       TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
       inet 192.168.1.36  netmask 255.255.255.0  broadcast 192.168.1.255
       inet6 2803:9400:3:914:3c1b:1b65:aa2d:9e13  prefixlen 64  scopeid 0x0<global>
       inet6 2803:9400:3:914:64d6:de3c:8ad8:4601  prefixlen 64  scopeid 0x0<global>
       inet6 fe80::3dcc:21ce:8499:8fbd  prefixlen 64  scopeid 0x20<link>
       ether 6c:71:d9:8e:88:54  txqueuelen 1000  (Ethernet)
       RX packets 190027  bytes 250743229 (250.7 MB)
       RX errors 0  dropped 0  overruns 0  frame 0
       TX packets 138770  bytes 19710730 (19.7 MB)
       TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0





en mi caso eth0 es wlp3s0 y con eso lo solucione




Creo que la otencion debe ser dinamica por ello estuve intentando mediante la libreria Libpcap, pero no encuentro la manera de generar un csv con tal libreria


esto me podria ayudar, http://yuba.stanford.edu/~casado/pcap/section1.html?

ello me genera un archivo .out pero no puedo abrirlo, que hago porfavor ayudame @AlbertoBSD




Estoy queriendo usar este tutorial

http://tonylukasavage.com/blog/2010/12/19/offline-packet-capture-analysis-with-c-c----amp--libpcap/

no entiendo esta parte

// open capture file for offline processing
 descr = pcap_open_offline("http.cap", errbuf);

cuando ejecuto su codigo falla en esa parte, yo por mi parte capture un archivo .pcap sera que me sirva? lo capture asi sudo tcpdump -w enp0s3-26082018.pcap -i wlp3s0

en consola obtego esta informacion
Código:

tcpdump: listening on wlp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C637 packets captured
639 packets received by filter
0 packets dropped by kernel




[MOD] No se hace multiple post, se usa "modificar" para añadir comentarios.




AlbertoBSD

Siento no haber contestado antes, acabo de entrar al foro depues de algo de tiempo.

Nunca he usado pyton lo siento.

Citar// open capture file for offline processing
  descr = pcap_open_offline("http.cap", errbuf);

Eso el de alugun codigo en C supongo, se trata de una linea para abrir el archivo de paquetes capturados "http.cap" de forma offline, esto es primero los capturas con algun otro programa y posteriormente lo analisas con el programa en escrito en C.

Realmente no se como ayudarte mas, yo programaria toda la red neuronal en C y/o C++, pero realmente no se como estés trabajando con python, realmente nunca lo he utilizado y nunca lo utilizare.

Saludos

Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

.rn3w.

#13
Amigo @AlbertoBSD te comento que ya programe las redes neuronales, ahora necesito obtener datos reales para probarlo en mi red neuronal, es decir que quiero obtener los datos de informacion de tcp, y demas puertos con la libreria libpcap, esa informacion lo debo tener en un .csv para entrenar mi red neuronal.

tengo este un archivo con extension .pcap