Resolver Números en Nombres o No Resolverlos utilizando Tcpdump
Tcpdump imprime una descripción del contenido de los paquetes sobre una interfaz de red, coincidiendo con una expresión booleana; la descripción por defecto es precedida por una marca de tiempo, impresa en horas, minutos, segundos y fracciones de segundo desde la media noche.
Las siguientes son algunas de las opciones más comúnmente utilizadas para definir o no la resolución o no de números en nombres.
-n Esta opción le indica a tcpdump suprimir la resolución de una dirección IP. Resolver nombres genera más tráfico y requiere más tiempo. Aunque este ajuste puede incrementar el desempeño de tcpdump. Si se falla en obtener el nombre del host al mismo tiempo el tráfico de red, puede ser significativo si el host está utilizando tácticas como dns “fast flux”.
$ sudo tcpdump -n
“fast flux” de DNS es una técnica consistente en asociar múltiples direcciones IP hacia un único nombre de dominio y cambiarlas rápidamente. En ocasiones se utilizan cientos o incluso miles de direcciones IP. Los atacantes utilizan lo utilizan para sus propiedades web sigan funcionando, para ocultar el verdadero origen de su actividad maliciosa, y para evitar los equipos de seguridad bloqueen su dirección IP. Esta técnica la suelen utilizar botnets.
-nn En algunas implementaciones este parámetro puede ser utilizado para indicar a tcpdump a no resolver direcciones IP en nombres de host, o números de puerto en nombres de puerto. Si una aplicación creando el tráfico utiliza puertos no estándares, entonces tcpdump lo etiquetará incorrectamente.
$ sudo tcpdump -nn
-f Imprime la dirección IP para todas las direcciones foráneas, foránea significa direcciones no locales. Han existido algunos problemas utilizando este parámetro en implementaciones Linux cuando la captura es realizada utilizando la interfaz “any”. Esta interfaz captura el tráfico desde múltiples interfaces en una sesión de captura.
$ sudo tcpdump -f
Fuentes:
https://www.tcpdump.org
https://www.tcpdump.org/manpages/tcpdump.1.html
https://en.wikipedia.org/wiki/Fast_flux
https://www.cloudflare.com/es-es/learning/dns/dns-fast-flux/
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/