NAST
| ||||||||
Herramienta para analizar la red.
Nast(Network Analyzer Sniffer Tool) como las siglas lo indican, es un buscador de paquetes y a la vez un analizador de la red de área local(LAN). Puede buscar en el modo normal o en el modo promiscuo los paquetes en una interfaz de la red. Descarga los encabezados de paquetes y los carga en ascii o formato hexadecimal
en ASCII, permite aplicar filtros y los datos buscados pueden ser salvados en un archivo separado.
Sumario
Características
Aplicación. NAST es una herramienta en Linux para el uso administrativo, solo pueden utilizarlos inicialmente aquellos usuarios que tienen privilegios de administración. Cuenta con varias características como se muestran a continuación:
* Construye una lista de anfitriones de la LAN.
* Permite que fluyan los datos mediante el Protocolo de Control de Transferencia(TCP).
* Detecta puertas de enlace en la LAN.
* Restaure una conexión establecida.
* Realiza un simple escaneo entre abierto a puertos.
* Realiza un multiple escaneo entre abierto a puertos.
* Busca tipos de enlaces(switch).
* Captura los demonios(procesos) de nodos de la LAN.
* Cuenta los byte con un filtro opcional.
* Escribe los reportes en la bitácora(logs) o ficheros de registro del sistema.
==Opciones==
En este apartado verán las múltiples opciones que podrán utilizar junto al comando nast, les facilita detectar solo el resultado que quieren ver de la red, ya sea de una PC en particular como de toda la subred de donde trabaja, muestra también información de los puertos que tienen abiertos o cerrados, etc.
Opciones Principales
-i, --interface
Selecciona la interfaz, si no se especifica será autodetectado.
-p, --promisc
Desabilita el modo promiscuo de la NIC.
-d, --ascii-data
Muestra los datos en formato ascii.
-f, --filter <"filter">
Aplica <"filtro"> para buscar (vea "Sintaxis de filtro" que se encuentra mas abajo).
--ld <nombre_fichero>
Captura y guarda los datos en <nombre_fichero>.
-m, --host-list
Mapea la LAN realizando una serie de peticiones secuenciales para las direcciones de IP de la subred.
-s, --tcp-stream
Sigue una conexión TCP/IP imprimiendo todos los datos cargados.
-g, --find-gateway
Intenta buscar todas las puertas de enlace posibles.
-r, --reset-connection
Destruye una conexión establecida. Usted debe especificar la dirección
de IP y al menos un puerto. Por favor, tenga cuidado cuando vaya a usar esta función.
-S, --port-scanner
Realiza un escaneo de puertos en el anfitrión seleccionado. También intenta determinar si hay algún firewall(solamente iptables)
activado.
-M, --multi-port-scanner
Parecido al de arriba pero lo hace con todos los anfitriones de la LAN.
-L, --find-link
Trata de determinar cual es el tipo de enlace usado en la LAN.
Opciones Generales
-l, --log-file <filename>
Reporta la salida en <nombre_fichero>. Esta opción se puede usar junto
con varias opciones.
-B, --daemon
Se ejecuta en segundo plano como un demonio.
-V, --version
Muestra la versión.
Ejemplos de uso
Aquí les dejo varios ejemplos del uso de NAST y algunos resultados que son arrojados en la terminal:
nast -f "src 192.168.0.56"
Nast V. 0.2.0
Sniffing on:
- Device: eth0
- MAC address: 00:17:31:EB:BF:0B
- IP address: 192.168.0.10
- Netmask: 255.255.255.0
- Promisc mode: Set
- Filter: src 192.168.0.56
- Logging: None
---[ ARP ]-----------------------------------------------------------
00:07:E9:44:D8:77 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 192.168.0.54? Tell 192.168.0.56
Hardware size: 6 - Protocol size: 4
Packet Number: 1
---[ UDP ]-----------------------------------------------------------
192.168.0.56:138(netbios-dgm) -> 192.168.0.255:138(netbios-dgm)
Version: 4 Total Lenght: 229 TTL: 128
Packet Number: 2
---[ ARP ]-----------------------------------------------------------
00:07:E9:44:D8:77 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 192.168.0.55? Tell 192.168.0.56
Hardware size: 6 - Protocol size: 4
Packet Number: 3
---[ ARP ]----------------------------------------------------------- 00:07:E9:44:D8:77 -> FF:FF:FF:FF:FF:FF Type: ARP request: Who has 192.168.0.52? Tell 192.168.0.56 Hardware size: 6 - Protocol size: 4 Packet Number: 4 ...
nast -p -B --ld logfile.txt
Nast V. 0.2.0
Sniffing on:
- Device: eth0
- MAC address: 00:17:31:EB:BF:0B
- IP address: 192.168.0.10
- Netmask: 255.255.255.0
- Promisc mode: Not set
- Filter: None
- Logging: Sniffed data
Running in background with PID 8264
Hay varias forma para mostrar información sobre el demonio o proceso(8264) que esta siendo ejecutado recientemente, aquí les dejo dos formas:
ej: ps aux | grep 8264 root 8264 0.0 1.0 6944 5024 pts/0 S 20:48 0:00 nast -p -B --ld logfile.txt
root 8556 0.0 0.2 3724 1148 pts/0 S+ 20:56 0:00 grep 8264
ej: top | grep 8264
8264 root 20 0 6944 5024 4796 S 0 1.0 0:00.41 nast 8264 root 20 0 6944 5024 4796 S 0 1.0 0:00.42 nast 8264 root 20 0 6944 5024 4796 S 0 1.0 0:00.43 nast 8264 root 20 0 6944 5024 4796 S 0 1.0 0:00.44 nast 8264 root 20 0 6944 5024 4796 S 0 1.0 0:00.45 nast
…
nast -S -l logfile.txt
NAST "NETWORK ANALYZER SNIFFER TOOL"
Port Scanner extremes
Insert IP to scan : 192.168.1.3
Insert Port range : 1-100
Wait for scanning...
State Port Services Notes
Open 22 ssh None
Open 27 nsw-fe None
Todos los otros 98 puertos estan cerrados.
El rango de puertos pueden tener el siguiente estilo:
ej: 1-100 (puertos del 1 al 100)
1,3,5,1000 (puertos 1,3,5 y 1000)
1-50,60 (puertos del 1 al 50 y el 60)
nast -m
Nast V. 0.2.0
Mapping the Lan for 255.255.255.0 subnet ... please wait
MAC address Ip address (hostname)
===============================================
00:17:31:EB:BF:0B 192.168.0.10 (pc11.local) (*)
00:40:F4:88:85:3B 192.168.0.1 (192.168.0.1)
00:13:D4:F9:86:99 192.168.0.24 (192.168.0.24)
00:16:76:BF:C3:F2 192.168.0.52 (192.168.0.52)
00:07:E9:44:D2:53 192.168.0.53 (192.168.0.53)
00:0C:F1:70:D6:DC 192.168.0.55 (192.168.0.55)
00:07:E9:44:D8:77 192.168.0.56 (192.168.0.56)
(*) This is localhost
Finished
Soporte
Testeado en:
* Linux 2.4.x
* Linux 2.6.x
* FreeBSD 5.x
* FreeBSD 4.x
No Testeado aún en:
* Linux 2.2.x
Fuente
- Ayuda y Soporte de Ubuntu
