Pokaż wyniki 1 do 9 z 9

Temat: odczytanie pakietu

  1. #1
    SDM
    SDM jest offline
    Zarejestrowany
    May 2007
    Postów
    17

    Domyślnie odczytanie pakietu

    Witam mam pytanie, chce odczytać log z pliku pfirewall.log, który jest odpowiedzialny za firwalla systemowego, gdzie log wyglada następująco.

    gdzie według kolejności znajduję się:
    Data, Godzina, Rodzja portu pod wzgldem otwarty zamkniety etc, Port, Adres komputera który zapoczątkował komunikacje, Adres mojego komputera, Numer portu komputera wysyłającego pakiet, i ostania pozycja zaznaczona na niebiesko oznacza ze jest to pakiet wysyłający na mój komputer.

    Moje pytanie jest takie jak można odczytać dany pakiet :?:

  2. #2
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    jeśli pakiet już przeszedł przez medium to go już nie odczytasz (z tego co wiem)
    możesz podsłuchiwać "latające pakiety" w czasie rzeczywistym za pomocą snifferów (tcpdump, wireshark (ethereal)) na przykład.
    ***********
    * markossx *
    ***********

  3. #3
    SDM
    SDM jest offline
    Zarejestrowany
    May 2007
    Postów
    17

    Domyślnie

    czy możesz mi opisać jak to się robi

  4. #4
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    możesz podsłuchiwać "latające pakiety" w czasie rzeczywistym za pomocą snifferów (tcpdump, wireshark (ethereal))
    to co jest powyżej to klucz, więc go użyj...
    i wybacz kolego ale nie będę opisywał czegoś co zostało opisane setki razy...
    poszukaj w Necie - gwarantuje Ci że ilość informacji przytłoczy Ciebie i będzie o wiele bardziej instruktywna niż kilka moich, wybiórczych zdań...
    ***********
    * markossx *
    ***********

  5. #5
    Avatar michalski007
    michalski007 jest offline michalski
    Zarejestrowany
    Sep 2006
    Skąd
    Warszawa
    Postów
    137

    Domyślnie re:

    sproboj dsniff to jedne z lepszych programów do podsłuchiwania , wole jego niz tcpdump

    acha przy opcji "fields" masz wszystko napisane
    Ostatnio edytowane przez michalski007 : 06-10-2007 - 18:00

  6. #6
    Zarejestrowany
    Dec 2006
    Postów
    693

    Domyślnie

    Cytat Napisał markossx Zobacz post
    to co jest powyżej to klucz, więc go użyj...
    ale najpierw bedziesz musial znales dżwi
    z pewnoscia na googla znajdziech penlo artykowlow na ten tamet.........

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Dla wlasnego bezpieczenstwa odradzam uzywanie wireshark'a jako sniffera i zaraz wyjasnie dlaczego...

    Ogolnie - jesli nie zalogowales pakietu a tylko informacje o fakcie ze takie cos bylo to juz za pozno... Musialbys zapisywac wszystko co idzie po kablu - kazdy pakiet, wtedy bedziesz w stanie znalezc pozniej kontekst calosci.

    Dlaczego nie uzywac wireshark'a jako sniffera - bo mial, na pewno ma i w przyszlosci tez bedzie mial dziury - jak kazdy parser protokolu (jakiegokolwiek) - chocby podatnosc na atak format-string, co jest latwo sobie wyobrazic patrzac ile ta bestia protokolow potrafi rozpoznac. Jesli trafi Ci sie odpowiedni pakiet gdy snifujesz nim, to masz jak w banku ze ktos przejmie twoja maszyne... a wireshark dziala z uprawnieniami root'a i to czesto siedzac na chronionej sieci Fajnie, co?

    Moja propozycja - najprostszy tcpdump i zrzut do pliku calego ruchu a pozniej wireshark'iem to sobie czytac i filtrowac dane... I tak ilosc danych bedzie ogromna i problemem nie bedzie podsluchanie ale znalezienie tego co Cie ciekawi... Ja ostatnio z wlasnie takich dump'ow wyciagnalem sobie 3 backdoor'y i kod chyba 17 exploitow ktore koles zaladowal na zdalny system... Biedak nie wiedzial tylko ze jest wszystko nagrywane na maszynie ktora nie byla w ogole widoczna a taki zapis ruchu bedzie dla sadu mocnym dowodem.

    Jest z tym wszystkim jeden problem - gdzie ja mam kurka trzymac te terabajty danych i jak to analizowac?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Apr 2007
    Skąd
    ex machina
    Postów
    130

    Domyślnie

    To jaka jest różnica, jak zbieram info wiresharkiem na żywo, a odczytaniem pakietów z pliku? Przecież "odpowiedni pakiet" może znajdować się w zapisanym na dysku pliku. Chodzi Ci o to, że do otwarcia tego pliku można użyć wiresharka odpalonego z konta zwykłego użytkownika?
    Wasz czas jest ograniczony, więc nie marnujcie go na życie cudzym życiem. Nie dajcie się schwytać w pułapkę dogmatu, która oznacza życie według wskazówek innych ludzi. Nie pozwólcie, by szum opinii innych zagłuszył wasz wewnętrzny głos. I co najważniejsze, miejcie odwagę iść za głosem swojego serca i intuicji. Wszystko inne jest mniej ważne.

    Steve Jobs

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Tak ale dla mnie oczywiste jest to, ze jak wireshark dziala live i sniffuje to jest podpiety do chronionej sieci i dziala z uprawnieniami root'a - jesli to zostanie zaatakowane to atakujacy ma root'a na maszynie w chronionej sieci - bardzo kiepska sprawa...

    Jak analizujesz pliki pozniej nawet tym samym programem to oczywiste jest dla mnie, ze nie robisz tego na maszynie podpietej do chronionej sieci a raczej na odizolowanym segmencie lub maszynie ktora jest off-line. Poza tym czytajac z pliku nie musisz dzialac jako root.

    Problem dotyczy nie tylko wireshark'a ale wszystkich parserow roznej masci - jest to potencjalny wektor ataku. Wireshark mial kiedys blad wlasnie w parserze, wiec ten scenariusz nie jest moja fantazja.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj