View Full Version : tcpdump (suse 8.1)
prazision
18-04-2004, 15:30
Dunque ho visto unpo’ gli esercizi da fare per una prova che ho da sostenere e cè (tra gli altri):
Provare ad utilizzare tcpdump per mointorare la rete
L’esercizio di per se dovrebbe essere facile (se sbaglio sparatemi pure addosso con violenza):
digito(come distribuzione ho una su suse 8.1) tcpdump da console e ottengo:
linux:~ # tcpdump
tcpdump: listening on ppp0
15:33:55.474352 80.28.180.183.cqg-netlan-1 >
82.50.66.197.4662: S 3888249892:3888249892(0)
win 65535 (DF)
15:33:55.474414 82.50.66.197.4662 >
80.28.180.183.cqg-netlan-1: R 0:0(0) ack
3888249893 win 0 (DF)
15:33:57.590879 80.28.180.183.cqg-netlan-1 >
82.50.66.197.4662: S 3888249892:3888249892(0)
win 65535 (DF)
15:33:57.590921 82.50.66.197.4662 >
80.28.180.183.cqg-netlan-1: R 0:0(0) ack 1 win 0
(DF) ...
poi va avanti a buttare in output dati.
aprendo un browser e digitando l’indirizzo di katamail(ad esempio) aumenta l’output dei dati.
Qualcuno mi spiega in termini semplicissimi(possibilmente tenendo conto che parto quasi da 0) cosa mostra il comando tcpdump e a cosa potrebbe servire(intanto io inizio a leggermi il man che su sto comando cè solo in inglese porca****…)
grazie
prazision
18-04-2004, 15:50
+ ke altro mi chiedo: tale programma permette di verificare gli scambi che avvengono tramite la rete.
Per cui è ovvio che se apro il browser e digito www.quelchemipare.com ci sara’ una richiesta con relativa risposta e quindi tcpdump mostrerà un output.
Ma quando non sto facendo nulla(cioè non ci sono browser aperti o altri elementi verso l’esterno, ma sono solo connesso) l’output cosa rappresenta?
#!/bin/sh
18-04-2004, 16:14
Originariamente inviato da prazision
+ ke altro mi chiedo: tale programma permette di verificare gli scambi che avvengono tramite la rete.
Per cui è ovvio che se apro il browser e digito www.quelchemipare.com ci sara’ una richiesta con relativa risposta e quindi tcpdump mostrerà un output.
Ma quando non sto facendo nulla(cioè non ci sono browser aperti o altri elementi verso l’esterno, ma sono solo connesso) l’output cosa rappresenta?
tcpdump ti fa vedere cosa passa per la rete a livello di singoli pacchetto. es. faccio un ssh su un altro comp. se sniffo con tcpdump vedo:
tcpdump -n -i eth0 | grep 192.168.1.4
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes
16:44:38.019423 IP 192.168.1.1.33083 > 192.168.1.4.22: S 2378135084:2378135084(0) win 5840 <mss 1460,sackOK,timestamp 917067[|tcp]>
16:44:38.019576 IP 192.168.1.4.22 > 192.168.1.1.33083: S 3111138024:3111138024(0) ack 2378135085 win 5792 <mss 1460,sackOK,timestamp 915321[|tcp]>
16:44:38.019601 IP 192.168.1.1.33083 > 192.168.1.4.22: . ack 1 win 5840 <nop,nop,timestamp 917067 915321>
16:44:38.022064 IP 192.168.1.4.22 > 192.168.1.1.33083: P 1:48(47) ack 1 win 5792 <nop,nop,timestamp 915321 917067>
16:44:38.022094 IP 192.168.1.1.33083 > 192.168.1.4.22: . ack 48 win 5840 <nop,nop,timestamp 917068 915321>
16:44:38.022174 IP 192.168.1.1.33083 > 192.168.1.4.22: P 1:25(24) ack 48 win 5840 <nop,nop,timestamp 917068 915321>
16:44:38.022242 IP 192.168.1.4.22 > 192.168.1.1.33083: . ack 25 win 5792 <nop,nop,timestamp 915322 917068>
Ad esempio sono interessanti le prime tre linee che fanno vedere l'handshake della connessione tcp. Quando non c'e' traffico, allora tcpdump non fa vedere nulla. Di solito nelle reti trafficate è difficile che non passi nulla.
prazision
18-04-2004, 16:25
"....Quando non c'e' traffico, allora tcpdump non fa vedere nulla.....
allora mi chiedo:quando non cè traffico?
perchè cmq con tutto chiuso ottengo:
linux:~ # tcpdump
tcpdump: listening on ppp0
17:25:58.081734 127.0.0.1.http > 82.50.80.127.ncpm-hip: R 0:0(0) ack 307101697 win 0
17:26:05.448699 192.168.100.1 > 224.0.0.13: pim v2 Hello (Hold-time 1m45s) (Genid: 0x00000b95) (DR-Priority: 1) (State Refresh Capable; v1) [tos 0xc0] [ttl 1]
17:26:08.829382 127.0.0.1.http > 82.50.80.127.jacobus-lm: R 0:0(0) ack 1395064833 win 0
17:26:11.623494 82.50.165.65.airs > 82.50.80.127.microsoft-ds: S 1387094479:1387094479(0) win 65535 <mss 1420,nop,nop,sackOK> (DF)
17:26:11.623555 82.50.80.127.microsoft-ds > 82.50.165.65.airs: R 0:0(0) ack 1387094480 win 0 (DF)
17:26:12.167872 82.50.165.65.airs > 82.50.80.127.microsoft-ds: S 1387094479:1387094479(0) win 65535 <mss 1420,nop,nop,sackOK> (DF)
17:26:12.167914 82.50.80.127.microsoft-ds > 82.50.165.65.airs: R 0:0(0) ack 1 win 0 (DF)
17:26:12.767395 82.50.165.65.airs > 82.50.80.127.microsoft-ds: S 1387094479:1387094479(0) win 65535 <mss 1420,nop,nop,sackOK> (DF)
17:26:12.767438 82.50.80.127.microsoft-ds > 82.50.165.65.airs: R 0:0(0) ack 1 win 0 (DF)
9 packets received by filter
0 packets dropped by kernel
Ci son forse dei servizi che funzionano cmq?
ho notato poi che se non mi connetto e digito tcpdump
ottengo
linux:~ # tcpdump
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0
17:04:20.050096 0.0.0.0.bootpc > 255.255.255.255.bootps: xid:0x3a3cc539 secs:10 file ""[|bootp]
che è?
provando invece l'opzione tcpdump -w nomefile invia direttamente al file i pacchetti; aprendo quel file trovo caratteri strani tipo:
Ôò¡
dR2§*R2P
dR2§*R2P
»
»?
kata-L>,@²
¬
User-Agent: L>,@
l
¬
¬
¬
?
¬
??
Yw
User-Agent: L>,@y
Y~
Y~
Date: Sun, L>,@[ë
è normale?
#!/bin/sh
18-04-2004, 16:50
Originariamente inviato da prazision
"....Quando non c'e' traffico, allora tcpdump non fa vedere nulla.....
allora mi chiedo:quando non cè traffico?
Beh se hai una macchina window$ in rete allora c'e' sempre qualcosa che viaggia. In teoria quando non passa niente in rete tcpdump non ti deve far vedere niente: se non ci sono servizi che spediscono o ricevono pacchetti, allora non devi vedere nulla.
prazision
18-04-2004, 17:03
no sono collegato da linux, si vede che cè qualche servizio che spedisce o riceve pacchetti. e delle altre 2 domande non sai nulla?
garzie cmq x la collaborazione
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.