Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2012-03-12 21:14:30
Outlaw - 
Użytkownik
serwer zbierający pakiety
Muszę postawić serwer który będzie zapisywał pakiety które są wymieniane z konkretnym adresem ip. Po zapisaniu chciałbym mieć wgląd w zawartość pakietu, czyli np tekstu który był przesyłany. Jak to rozwiązać?
Offline
#2 2012-03-12 21:51:04
ba10 - Członek DUG
Re: serwer zbierający pakiety
Najprościej będzie poprzez tcpdumpa , tylko taki serwer zbierający ruch musisz umieścić w odpowiednim miejscu w sieci, by nic nie wpływało na zmiany w pakietach , no i jakiś serwer czasu ( ntp) musi być postawiony, byś miał dokładny czas w pakietach co kiedy przechodziło.
Ostatnio edytowany przez ba10 (2012-03-12 21:52:28)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
#3 2012-03-12 21:59:24
Outlaw - Użytkownik
Re: serwer zbierający pakiety
serwer będzie postawiony jako brama dla sieci lokalnej z której chce wyłuskać dane. Dane to teksty umieszczane w internecie na forach internetowych i nie tylko. Jak wygląda przykładowy wynika dla takiego wpisu wyłuskany z tcpdump?
Offline
#4 2012-03-12 22:20:02
ba10 - Członek DUG
Re: serwer zbierający pakiety
Na przykład łapie ruch na porcie tcp 80 na karcie eth0 i zapisuje do pliku :
Kod:
tcpdump -i eth0 tcp port 80 -w http.dmp
Ważne by przełącznikiem był -w bo zapisuje to w takim formacie byś później mógł przeanalizować to w wiresharku
Ruch będzie wygladał tak jak go w tcpdumpie odczytasz :
Kod:
22:12:38.734500 IP nk.pl.www > 10.6.6.2.63962: Flags [.], ack 1849483634, win 22, length 0 22:12:38.735984 IP 213-241-89-71.ip.netia.com.pl.www > 10.6.6.2.49310: Flags [.], seq 856984832:856986292, ack 1169611189, win 65531, length 1460 22:12:38.736225 IP 10.6.6.2.49310 > 213-241-89-71.ip.netia.com.pl.www: Flags [.], ack 4294908896, win 39420, length 0 22:12:38.737143 IP 213-241-89-71.ip.netia.com.pl.www > 10.6.6.2.49310: Flags [.], seq 1460:2920, ack 1, win 65531, length 1460 22:12:38.740910 IP 10.6.6.2.49310 > 213-241-89-71.ip.netia.com.pl.www: Flags [.], ack 4294911816, win 39420, length 0 22:12:38.745541 IP 213-241-89-71.ip.netia.com.pl.www > 10.6.6.2.49310: Flags [.], seq 2920:4380, ack 1, win 65531, length 1460 22:12:38.745665 IP 10.6.6.2.49310 > 213-241-89-71.ip.netia.com.pl.www: Flags [.], ack 4294917656, win 39420, length 0
ale bierzesz taki zapisany pliczek do siebie na komputer i sobie w wiresharku odczytujesz i dokładnie analizujesz i tam będziesz mógł przeprowadzić dokładna analizę. Proponuje tobie teraz zainstalować wiresharka i złapać trochę ruchu i zobaczyć jak to będzie wyglądało do analizy.
Oczywiście w tcpdumpie są różne flagi, w których możesz dokładnie określić co ma być łapane, to powyżej to tylko taki lajtowy przykład. :)
Edytka:
Istnieje konsolowa wersja wiresharka, t-shark, ale się nie bawiłem tym narzędziem więc nie wiem jak on tam sobie pracuje ale pewnie podobnie jak tcpdump.
Ostatnio edytowany przez ba10 (2012-03-12 22:31:21)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline