nadejnei.net

                                                TCPDUMP

Tcpdump - это программа для анализа работоспособности и «мониторинга» перехвата данных в сети, эдакий аналайзер, как виндовый Wireshark. В принципе на UNIX- Linux-подобный операционных системах существует много программ для траффик-анализа, но пожалуй tcpdump одна из самых известных и гибких программ. Писать про историю создания я не собираюсь, для этого существуют маны в сети, да и вообще мануалов по траффик-аналайзерам, в том числе и по tcpdump, в сети полно. Я пробегусь лишь по самым наиболее важным и часто используемым ключам и параметрам. В будующем, вам понадобится эта программа, для организации MITM-атаки.

1.Скачиваем tcpdump из стандартных репозиториев.

apt-get install tcpdump (если будете собирать из исходников, то нужен libpcap)

2. Создаём папку, где будут хранится наши дампы, лучше всего на отдельном хранилище, либо, если жесткий диск позволяет, локально в отдельной папке.

Примечание ! Доступ к это папке должен быть только у вас и у доверенных лиц, которые занимаются анализом логов, дампов. т.е. админы, безопасники, аудиторы.

Теперь коротко по ключам:

-a преобразовывает сетевые имена в DNS.

-e отображает MAC адреса хостов, протоколы канального уровня, длину пакетов.

-i указание сетевого интерфейса на котором будет висеть «прослушка».

-n отображении сетевого имени, вместо доменного.

-nn отображает номера портов, вместо протокола.

-q отображает только название протокола, передаваемые данные, маршруты пакетов и порты.

host <ip> or <DNS-name>

net <ip/netmask>

and логическое «И»

src только исходящие пакеты

dst только входящие пакеты

port ну тут и так понятно

-t не выводить время в каждой строке

-tt неформатированная метка времени.

-ttt время в микросекундах между строками дампа.

-tttt отображать время и дату.

-T задать тип перехватываемых пакетов (rpc,snmp,tftp,rtp и д.п.).

-v вывод более подробной информации.

-vv более подробное описание.

-vvv максимальное описание всех сегментов.

-r чтение дампов из файла.

-w записывать дампы в бинарном формате.

-c завершить работы tcpdump`а, если наберётся нужное кол-во пакетов.

-F использовать скрипт из файла.

-С указать максимальный размер одного файла для записи дампов, т.е. если мы укажем размер в 500 мегабайт, то после того как файл с дампами наберёт данный размер, tcpdump завершит запись в файл и начнёт запись в другой.

А теперь вариации команд

tcpdump -i eth0 host 172.16.0.1

прослушка пакетов от нашего хоста с интерфейса eth0 до 10.20.10.1

tcpdump src 172.16.0.1 and dst 172.16.0.68 -v -w /home/shazel/dump

прослушка трафика между двух хостов (исх.172.16.0.1) и (вхд.172.16.0.68) с выводом подробной информации, записывать дамп в файл /hom/shazel/dump

tcpdump -i eth0 -n -nn -ttt dst host 172.16.0.254 -w locdump

прослушка всего входящего локального трафика с записью в файл locdump

tcpdump -i eth0 -n -nn -ttt 'dst host 172.16.0.254 and not ( src host 172.16.0.222 and dst port 22 )'

делает тоже самое, что и прежняя команда, только исключает наш хост и наш ssh трафик. Примечание: если вы используете какие-то шифрованные соединения, то «абракадабра» засрёт дамп и тем самым сильно усложнит анализ, и размер дамп файлов будет поприличнее.

tcpdump -i eth0 -n -nn -ttt 'ip proto \icmp'

захват только icmp пакеты