Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 11

Temat: analizator tcp/ip.....sprawdzony

  1. #1
    Zarejestrowany
    Jan 2007
    Skąd
    somewhere in time
    Postów
    510

    Domyślnie analizator tcp/ip.....sprawdzony

    witam wszystkich
    od razu powiem ze w google znalazlem pare programow ale pytam o wasze zdanie....jaki polecanie program analizujący sesje tcp/ip
    dokladnie chodzi mi oto np jakie flagi/bity sterujace byly ustawione przez nadawce np rst/ack/ i tak dalej.....
    .......w celu blizej nie okreslonym chcialbym sie przyjzec temu.....
    pozdro i z gory dziex

  2. #2
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    tcpdump
    ***********
    * markossx *
    ***********

  3. #3
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    a dla większej wygody usera np. wireshark, działa fajnie nawet jak nie masz x-ów, w oparciu o ncurses

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Wireshark jak pisalem mial problemy z parsowaniem protokolow - w koncu ma tego od usrania i troche... Ja juz zwyczajowo - tcpdump do zbierania i zapisywania ruchu a pozniej wireshark do analizy tego (po odpieciu sie od sieci). Dodatkowo plik z zapisem tcpdump'a moge czytac wireshark'iem jako user a nie jako root bo nie potrzebuje juz zadnych praw (nie potrzebuje trybu promicous)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    w jakim formacie tcpdump'em robisz zrzut, żeby potem można było wiresharkiem to ładnie czytać..
    ***********
    * markossx *
    ***********

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Kod:
    tcpdump -i eth0 -C 5 -n -q -s 0 -w packet_dump
    odpali tcpdump na eth0, bez tlumaczenia adresow/portow na nazwy, bez wyswietlania niczego na ekranie, zapisujac cale pakiety a nie pierwsze 68 bajtow jak domyslne, zapisujac to do plikow packet_dump<numer> i ograniczajac wielkosc pliku do 5 MB.
    Jak znam zycie to mozna pominac '-q'... wazne jest '-s 0' aby lapalo cale pakiety, '-w plik' aby zapisywalo do pliku zamiast pisac na ekran i '-C 5' aby dzielilo na pliki po 5 MB. Wez pod uwage, ze wireshark potrzebuje nieco czasu na zaczytanie takiego pliku Jakby dac mu 50MB to bedziesz troche czekal Ja zazwyczaj dziele na 5MB, czasami mniej... jesli nie potrzebuje to wylaczam tryb promiscous (dodaj opcje '-p') i rejestruje tylko to co idzie z mojego kompa.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    jasne. dzięki.
    polecam jeszcze opcje -A -X ewentualnie -v
    ***********
    * markossx *
    ***********

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    -v nie ma znaczenia raczej gdy dajesz -w bo i tak nic nie idzie na ekran nie sprawdzalem ale tak mi to wyglada...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    możesz mieć rację ale ja jeśli przekierowywałem wynik do pliku to robiłem po prostu:

    Kod:
    tcpdump -o -o -o > wynik.cap
    ("o" jest przykładem)
    ***********
    * markossx *
    ***********

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Tak tak... ale tak dostajesz log z tego co uzyskales z tcpdump'a - juz przeanalizowane i zdekodowane pakiety a w zasadzie krotkie informacje o nich a nie ich zawartosc do pozniejszej analizy... Poza tym majac dump w wersji jak ja to robie mozesz przesledzic cale polaczenie i np. wyciagnac plik ktory ktos zassal z WWW albo przeslal przez FTP, zapisac go sobie do pliku i np jesli ktos zaladowal rootkit'a na twoj system, masz jego kopie

    Fajne, co?

    Jak chcesz pocwiczyc, wskocz do honeypot.net i tam maja do pobrania takie wlasnie dump'y o ile pamietam - fajny material do nauki!
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Odpowiedzi: 1
    Autor: 07-01-2007, 21:44

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj