Banner 1

Tcpick. Capturando y visualizando impresiones en red con -wR desde fichero .pcap.

Publicado por Unknown en 13:40 miércoles, 21 de mayo de 2014 Etiquetas: ,
Ya vimos en su momento que la herramienta Tcpick realiza el seguimiento de flujos TCP, los ordena y reensambla, mostrando información de estados de conexión, información de payload o carga últil, datos de conexiones FTP, HTTP, download de archivos involucrados en una captura, etc.  Subrayo lo de mostrar información de payload o carga últil porque, en esta ocasión, vamos a usar esta característica de Tcpick para visualizar información de archivos de impresiones en red.

Antes que nada.

Antes que nada, aquí (https://seguridadyredes.wordpress.com/2012/06/06/tcpick-un-sniffer-que-realiza-seguimiento-y-reensamblado-de-flujos-tcp-mostrando-datos-payload/) tenéis toda la información para instalar Tcpick y su forma de uso.
Usaremos -wR para volcar los datos capturados en archivo. Este comando volcará información de llado del cliente y del servidor. Para nuestro objetivo, es suficiente la parte del servidor (*serv.dat). Aunque como ya vimos podemos discriminar:
-wRS (para información de llado del servidor y -wRC(par ael lado del cliente).
En esta ocasión usaré -wR.

Información previa.

Tenemos un archivo de captura de red .pcap. En esta captura hay gran cantidad de información y tenemos que filtrar. La comunicación del servidor de impresión con la impresora se realiza usando el puerto 9100. Por tanto, tendremos que crear un filtro en Tcpick. Quedará de esta forma:
tcpick -r captura4.pcap -wR “port 9100

Analizando y extrayendo la información.

Una vez realizado esto, se crean dos archivos .dat que son:
  • tcpick_192.168.1.250_192.168.1.201_9100.clnt.dat
  • tcpick_192.168.1.250_192.168.1.201_9100.serv.dat
Como hemos dicho nos interesa el segundo. Lo editamos….:
Tenemos varios tipos de información. Se puede ver que se trata de un fichero .ps PostScript.
Para identificar corretamente el formato del archivo, estudiamos el formato .ps (http://partners.adobe.com/public/developer/ps/index_specs.html ) concretamente estehttp://www.adobe.com/products/postscript/pdfs/PLRM.pdf
Así que lo que nos queda es preparar el archivo para que sea un .ps (PostScriptválido.
Para ello borramos todo lo que hay por encima de:
%!PS-Adobe-3.0
y todo lo que hay por debajo (no se ve en la captura del ejemplo) de:
 %%EOF
Salvamos con la extensión .ps y abrimos con un visor de ps:
========
Y hasta aquí por hoy. Hasta la próxima.

Fuente: https://seguridadyredes.wordpress.com/2012/09/19/tcpick-capturando-y-visualizando-impresiones-en-red-con-wr-desde-fichero-pcap/

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Powered by Bad Robot
Helped by Blackubay