Pokaż wyniki 1 do 9 z 9

Temat: odczytanie pakietu

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1

    Domyślnie odczytanie pakietu

    Witam mam pytanie, chce odczytać log z pliku pfirewall.log, który jest odpowiedzialny za firwalla systemowego, gdzie log wyglada następująco.

    gdzie według kolejności znajduję się:
    Data, Godzina, Rodzja portu pod wzgldem otwarty zamkniety etc, Port, Adres komputera który zapoczątkował komunikacje, Adres mojego komputera, Numer portu komputera wysyłającego pakiet, i ostania pozycja zaznaczona na niebiesko oznacza ze jest to pakiet wysyłający na mój komputer.

    Moje pytanie jest takie jak można odczytać dany pakiet :?:

  2. #2
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    jeśli pakiet już przeszedł przez medium to go już nie odczytasz (z tego co wiem)
    możesz podsłuchiwać "latające pakiety" w czasie rzeczywistym za pomocą snifferów (tcpdump, wireshark (ethereal)) na przykład.
    ***********
    * markossx *
    ***********

  3. #3

    Domyślnie

    czy możesz mi opisać jak to się robi

  4. #4
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    możesz podsłuchiwać "latające pakiety" w czasie rzeczywistym za pomocą snifferów (tcpdump, wireshark (ethereal))
    to co jest powyżej to klucz, więc go użyj...
    i wybacz kolego ale nie będę opisywał czegoś co zostało opisane setki razy...
    poszukaj w Necie - gwarantuje Ci że ilość informacji przytłoczy Ciebie i będzie o wiele bardziej instruktywna niż kilka moich, wybiórczych zdań...
    ***********
    * markossx *
    ***********

  5. #5
    Zarejestrowany
    Sep 2006
    Skąd
    Warszawa
    Postów
    137

    Domyślnie re:

    sproboj dsniff to jedne z lepszych programów do podsłuchiwania , wole jego niz tcpdump

    acha przy opcji "fields" masz wszystko napisane
    Ostatnio edytowane przez michalski007 : 06-10-2007 - 19:00

  6. #6

    Domyślnie

    Cytat Napisał markossx Zobacz post
    to co jest powyżej to klucz, więc go użyj...
    ale najpierw bedziesz musial znales dżwi
    z pewnoscia na googla znajdziech penlo artykowlow na ten tamet.........

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Dla wlasnego bezpieczenstwa odradzam uzywanie wireshark'a jako sniffera i zaraz wyjasnie dlaczego...

    Ogolnie - jesli nie zalogowales pakietu a tylko informacje o fakcie ze takie cos bylo to juz za pozno... Musialbys zapisywac wszystko co idzie po kablu - kazdy pakiet, wtedy bedziesz w stanie znalezc pozniej kontekst calosci.

    Dlaczego nie uzywac wireshark'a jako sniffera - bo mial, na pewno ma i w przyszlosci tez bedzie mial dziury - jak kazdy parser protokolu (jakiegokolwiek) - chocby podatnosc na atak format-string, co jest latwo sobie wyobrazic patrzac ile ta bestia protokolow potrafi rozpoznac. Jesli trafi Ci sie odpowiedni pakiet gdy snifujesz nim, to masz jak w banku ze ktos przejmie twoja maszyne... a wireshark dziala z uprawnieniami root'a i to czesto siedzac na chronionej sieci Fajnie, co?

    Moja propozycja - najprostszy tcpdump i zrzut do pliku calego ruchu a pozniej wireshark'iem to sobie czytac i filtrowac dane... I tak ilosc danych bedzie ogromna i problemem nie bedzie podsluchanie ale znalezienie tego co Cie ciekawi... Ja ostatnio z wlasnie takich dump'ow wyciagnalem sobie 3 backdoor'y i kod chyba 17 exploitow ktore koles zaladowal na zdalny system... Biedak nie wiedzial tylko ze jest wszystko nagrywane na maszynie ktora nie byla w ogole widoczna a taki zapis ruchu bedzie dla sadu mocnym dowodem.

    Jest z tym wszystkim jeden problem - gdzie ja mam kurka trzymac te terabajty danych i jak to analizowac?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj