WinDump es la versión para Windows de Tcpdump (funciona en entornos Unix y derivados). Se trata de una herramienta gratuita de gestión y control de redes que funciona mediante línea de comandos. Es totalmente compatible con Tcpdump y permite interceptar y mostrar los paquetes TCP/IP o de otros tipos, que son transmitidos sobre la red a la que está conectado, o diagnosticar el estado de la red y guardar los registros en ficheros, todo esto en función de reglas más o menos complejas.
Está basado en las librerías de WinPcap, que se puede bajar gratuitamente de su página oficial y es indispensable para la ejecución de WinDump.
Para poder usarlo son necesarios privilegios de administrador, debido a que en su ‘promiscuous mode’ (modo promiscuo) permite interceptar los paquetes de otros usuarios poniendo en peligro así la confidencialidad de los datos de la red.
Una vez instalada la librería y el programa en sí, tan sólo debemos introducir en la línea de comandos (haremos referencia a Windump para windows, aunque casi todo es válido para su versión GNU/Linux).
Usando Windump
Windump interpreta los datos dependiendo del protocolo involucrado en la captura, ya que no es lo mismo una captura de consulta DNS que un inicio de sesión o establecimiento de conexión TCP, o una captura ICMP, aunque las diferencias, en algunos casos, son pocas.
Algunas opciones
Para ver las interfaces de que disponemos:
C:\scan>windump -D
Si queremos usar un interfaz en concreto, por ejemplo el 1:
C:\scan>windump -i 1
Si no quisiéramos que resuelva los nombres de host, para ver solo las direcciones IPs.
C:\scan>windump -n
Si queremos ver los resultados de forma más resumida podemos aplicar el modificador -qnt (q indicador de salida rápida que hará que nos devuelva menos información y que las líneas sean más cortas, n para no resolver los nombres de host, t elimina las marcas de tiempo).
Aplicar filtros y concatenaciones lógicas
Lo normal es que no nos interese ver todo el tráfico, sino un determinado protocolo, puerto o host.
Captura el tráfico de origen del host aguerrero-xps:
C:\scan>windump src host aguerrero-xps
Captura todo el tráfico cuyo puerto de destino sea el 443
C:\scan>windump dst port 443
Combinando filtros:
C:\scan>windump tcp and port 443
Concatenaciones lógicas:
Para filtrar y clarificar nuestros resultados podemos hacer uso de filtros más avanzados y utilizar operadores lógicos. Para unir operadores lógicos usamos and, y para negar not.
C:\scan >windump not host aguerrero-xps and not icmp
Análisis posterior y guardado de datos
Windump puede grabar los datos para su posterior análisis. Utilizaremos para ello el comando -w para grabar y -r para abrirlos.
C:\scan>windump -w fichero1 port 443
C:\scan>windump -r fichero1