odczytanie pakietu

[SDM]

Witam mam pytanie, chce odczytać log z pliku pfirewall.log, który jest odpowiedzialny za firwalla systemowego, gdzie log wyglada następująco.

gdzie według kolejności znajduję się:
Data, Godzina, Rodzja portu pod wzgldem otwarty zamkniety etc, Port, Adres komputera który zapoczątkował komunikacje, Adres mojego komputera, Numer portu komputera wysyłającego pakiet, i ostania pozycja zaznaczona na niebiesko oznacza ze jest to pakiet wysyłający na mój komputer.

Moje pytanie jest takie jak można odczytać dany pakiet :?:

[markossx]

jeśli pakiet już przeszedł przez medium to go już nie odczytasz (z tego co wiem)
możesz podsłuchiwać "latające pakiety" w czasie rzeczywistym za pomocą snifferów (tcpdump, wireshark (ethereal)) na przykład.

[SDM]

czy możesz mi opisać jak to się robi

[markossx]

możesz podsłuchiwać "latające pakiety" w czasie rzeczywistym za pomocą snifferów (tcpdump, wireshark (ethereal))

to co jest powyżej to klucz, więc go użyj...
i wybacz kolego ale nie będę opisywał czegoś co zostało opisane setki razy...
poszukaj w Necie - gwarantuje Ci że ilość informacji przytłoczy Ciebie i będzie o wiele bardziej instruktywna niż kilka moich, wybiórczych zdań...

[michalski007]

sproboj dsniff to jedne z lepszych programów do podsłuchiwania , wole jego niz tcpdump

acha przy opcji "fields" masz wszystko napisane

[Squealer]

to co jest powyżej to klucz, więc go użyj...

ale najpierw bedziesz musial znales dżwi
z pewnoscia na googla znajdziech penlo artykowlow na ten tamet.........

[TQM]

Dla wlasnego bezpieczenstwa odradzam uzywanie wireshark'a jako sniffera i zaraz wyjasnie dlaczego...

Ogolnie - jesli nie zalogowales pakietu a tylko informacje o fakcie ze takie cos bylo to juz za pozno... Musialbys zapisywac wszystko co idzie po kablu - kazdy pakiet, wtedy bedziesz w stanie znalezc pozniej kontekst calosci.

Dlaczego nie uzywac wireshark'a jako sniffera - bo mial, na pewno ma i w przyszlosci tez bedzie mial dziury - jak kazdy parser protokolu (jakiegokolwiek) - chocby podatnosc na atak format-string, co jest latwo sobie wyobrazic patrzac ile ta bestia protokolow potrafi rozpoznac. Jesli trafi Ci sie odpowiedni pakiet gdy snifujesz nim, to masz jak w banku ze ktos przejmie twoja maszyne... a wireshark dziala z uprawnieniami root'a i to czesto siedzac na chronionej sieci Fajnie, co?

Moja propozycja - najprostszy tcpdump i zrzut do pliku calego ruchu a pozniej wireshark'iem to sobie czytac i filtrowac dane... I tak ilosc danych bedzie ogromna i problemem nie bedzie podsluchanie ale znalezienie tego co Cie ciekawi... Ja ostatnio z wlasnie takich dump'ow wyciagnalem sobie 3 backdoor'y i kod chyba 17 exploitow ktore koles zaladowal na zdalny system... Biedak nie wiedzial tylko ze jest wszystko nagrywane na maszynie ktora nie byla w ogole widoczna a taki zapis ruchu bedzie dla sadu mocnym dowodem.

Jest z tym wszystkim jeden problem - gdzie ja mam kurka trzymac te terabajty danych i jak to analizowac?

[suchy]

To jaka jest różnica, jak zbieram info wiresharkiem na żywo, a odczytaniem pakietów z pliku? Przecież "odpowiedni pakiet" może znajdować się w zapisanym na dysku pliku. Chodzi Ci o to, że do otwarcia tego pliku można użyć wiresharka odpalonego z konta zwykłego użytkownika?

[TQM]

Tak ale dla mnie oczywiste jest to, ze jak wireshark dziala live i sniffuje to jest podpiety do chronionej sieci i dziala z uprawnieniami root'a - jesli to zostanie zaatakowane to atakujacy ma root'a na maszynie w chronionej sieci - bardzo kiepska sprawa...

Jak analizujesz pliki pozniej nawet tym samym programem to oczywiste jest dla mnie, ze nie robisz tego na maszynie podpietej do chronionej sieci a raczej na odizolowanym segmencie lub maszynie ktora jest off-line. Poza tym czytajac z pliku nie musisz dzialac jako root.

Problem dotyczy nie tylko wireshark'a ale wszystkich parserow roznej masci - jest to potencjalny wektor ataku. Wireshark mial kiedys blad wlasnie w parserze, wiec ten scenariusz nie jest moja fantazja.