Utilizare tcpdump

[aelius]

Nu am sa insist asupra posibilitatilor vaste de a face captura de trafic ale tcpdump-ului, in schimb, o sa va prezint cateva notiuni de baza pe care le consider cele mai utile.

Pentru cei care se intreaba ce pot face cu tcpdump:

- Interceptare informatii (necriptate)

- Debug aplicatii retea (care utilizeaza reteaua)

- Monitorizare retea

- Posibilitatea vizualizarii pachetelor invalide.

- // - multe altele - // -

Pentru afisarea tuturor pachetelor URG

tcpdump 'tcp[13] & 32 != 0'

Pentru afisarea tuturor pachetelor ACK

tcpdump 'tcp[13] & 16 != 0'

Pentru afisarea pachetelor PSH

tcpdump 'tcp[13] & 8 != 0'

Pentru afisarea pachetelor RST

tcpdump 'tcp[13] & 4 != 0'

Pentru afisarea tuturor pachetelor SYN

tcpdump 'tcp[13] & 2 != 0'

Pentru afisarea tuturor pachetelor FIN

tcpdump 'tcp[13] & 1 != 0'

Pentru afisarea tuturor pachetelor SYN-ACK

tcpdump 'tcp[13] = 18'

Pentru a afisa traficul numai “de la” sau “catre” o adresa IP

tcpdump host 4.2.2.2

Sau, cu specificarea interfetei de retea:

tcpdump -pni fxp0 host 4.2.2.2

Pentru a afisa traficul doar de la un anumit subnet sau o clasa de adrese ip:

tcpdump -pni fxp0 net 4.2.2.0/24 

Pentru a afisa traficul doar dupa un anumit port:

Port sursa 80

tcpdump -n src port 80

Port destinatie 80

tcpdump -n dst port 80

Pentru a afisa doar traficul pe un anumit protocol (icmp, tcp, udp * exemplul este pentru icmp):

tcpdump -n icmp

Pentru a exclude un anumit port atunci cand folositi tcpdump (exemplu: port 22) este necesar sa specificati in comanda tcpdump sintaxa “port not XX” (port not 22) ca in exemplele de mai jos. In acest caz, excludeti traficul facut de conexiunea ssh.

Monitorizeaza tot traficul exceptand port 22

tcpdump -n port not 22

Monitorizeaza tot traficul de pe interfata fxp0 exceptand port 22

tcpdump -ni fxp0 port not 22

Note:

- fxp0 este numele interfetei de retea (Intel PRO/100) pe FreeBSD. Pe linux, aveti eth0.

- Sursa acestui tutorial nu este specificata pentru ca este facut de mine (si inspirat din sfantul manual)

- Daca aveti intrebari, sunt binevenite.

[totti93]

Imi place, nu am folosit inca tcpdump, am folosit direct libraria libpcap in C, si in Python (wrapper pypcap).

[aelius]

Mie imi place cam tot ce tine de CLI. Am avut o perioada de aproximativ 2 ani in care am folosit doar CLI. Pentru email foloseam pine, pentru navigare pe web foloseam links -g, pentru vazut filme aaxine ... etc. CLI-ul te face sa te adaptezi mai bine la multe chestii.

[totti93]

Film cu aaxine? Nu te-au durut ochii?

Oricum ai dreptate in ceea ce priveste CLI-ul. Daca ai o interfata grafica => dai 2-3 clickuri si gata. Iti face el tot...

[aelius]

aaxine+svgalib = se vad perfect divix-urile direct pe consola (fara gui)

[Silviu]

Q: Cum pot scana un anumit host? De ex Dj Jonnessey & Aner - I Like It (Moving Elements Extended) - YouTube (Am dat acest exemplu pentru ca nu vreau sa scanez numai domeniul principal)

[aelius]

Q: Cum pot scana un anumit host? De ex Dj Jonnessey & Aner - I Like It (Moving Elements Extended) - YouTube (Am dat acest exemplu pentru ca nu vreau sa scanez numai domeniul principal)

Scana ? Cred ca vrei defapt sa vezi unde se conecteaza anume, de unde iti ia video, caz in care te poti inspira din alta parte.

hp ~ # youtube-dl "http://www.youtube.com/watch?v=5N5GBSyH5eM"
[youtube] Setting language
[youtube] 5N5GBSyH5eM: Downloading video webpage
[youtube] 5N5GBSyH5eM: Downloading video info webpage
[youtube] 5N5GBSyH5eM: Extracting video information
[download] Destination: 5N5GBSyH5eM.mp4
[download] 100.0% of 37.86M at    3.10M/s ETA 00:00
hp ~ # cat /usr/ports/www/youtube_dl/pkg-descr
youtube-dl is a small command-line program for downloading videos
from YouTube.com, metacafe.com, google video, photobucket videos,
yahoo videos, dailymotion and others

WWW: http://rg3.github.com/youtube-dl/
hp ~ #

Este un script python, ai url-ul mai sus si tot ce e nevoie.

[Silviu]

Pe un site ca trilulilu ar merge?