Инструменты пользователя
**Это старая версия документа!**
TCPDUMP
Tcpdump - это программа для анализа работоспособности и «мониторинга» перехвата данных в сети, эдакий аналайзер, как виндовый Wireshark. В принципе на UNIX- Linux-подобный операционных системах существует много программ для траффик-анализа, но пожалуй tcpdump одна из самых известных и гибких программ. Писать про историю создания я не собираюсь, для этого существуют маны в сети, да и вообще мануалов по траффик-аналайзерам, в том числе и по tcpdump, в сети полно. Я пробегусь лишь по самым наиболее важным и часто используемым ключам и параметрам. В будующем, вам понадобится эта программа, для организации MITM-атаки.
1.Скачиваем tcpdump из стандартных репозиториев.
apt-get install tcpdump (если будете собирать из исходников, то нужен libpcap)
- Создаём папку, где будут хранится наши дампы, лучше всего на отдельном хранилище, либо, если жесткий диск позволяет, локально в отдельной папке.
Примечание ! Доступ к это папке должен быть только у вас и у доверенных лиц, которые занимаются анализом логов, дампов. т.е. админы, безопасники, аудиторы.
Теперь коротко по ключам:
-a преобразовывает сетевые имена в DNS. -e отображает MAC адреса хостов, протоколы канального уровня, длину пакетов. -i указание сетевого интерфейса на котором будет висеть «прослушка». -n отображении сетевого имени, вместо доменного. -nn отображает номера портов, вместо протокола. -q отображает только название протокола, передаваемые данные, маршруты пакетов и порты. host <ip> or <DNS-name> and логическое «И» src только исходящие пакеты dst только входящие пакеты port ну тут и так понятно -t не выводить время в каждой строке -tt неформатированная метка времени. -ttt время в микросекундах между строками дампа. -tttt отображать время и дату. -T задать тип перехватываемых пакетов (rpc,snmp,tftp,rtp и д.п.). -v вывод более подробной информации. -vv более подробное описание. -vvv максимальное описание всех сегментов. -r чтение дампов из файла. -w записывать дампы в бинарном формате. -c завершить работы tcpdump`а, если наберётся нужное кол-во пакетов. -F использовать скрипт из файла. -С указать максимальный размер одного файла для записи дампов, т.е. если мы укажем размер в 500 мегабайт, то после того как файл с дампами наберёт данный размер, tcpdump завершит запись в файл и начнёт запись в другой.
А теперь вариации команд
tcpdump -i eth0 host 172.16.0.1
прослушка пакетов от нашего хоста с интерфейса eth0 до 10.20.10.1
tcpdump src 172.16.0.1 and dst 172.16.0.68 -v -w /home/shazel/dump
прослушка трафика между двух хостов (исх.172.16.0.1) и (вхд.172.16.0.68) с выводом подробной информации, записывать дамп в файл /hom/shazel/dump
tcpdump -i eth0 -n -nn -ttt dst host 172.16.0.254 -w locdump
прослушка всего входящего локального трафика с записью в файл locdump
tcpdump -i eth0 -n -nn -ttt 'dst host 172.16.0.254 and not ( src host 172.16.0.222 and dst port 22 )'
делает тоже самое, что и прежняя команда, только исключает наш хост и наш ssh трафик. Примечание: если вы используете какие-то шифрованные соединения, то «абракадабра» засрёт дамп и тем самым сильно усложнит анализ, и размер дамп файлов будет поприличнее.
tcpdump -i eth0 -n -nn -ttt 'ip proto \icmp'
захват только icmp пакеты
Инструменты страницы
