Tcpdump (Форум)

tcpdump -i eth0 -n фігачить в консоль максимум раз на секунду, не частіше. Пакети валяться, а він випльовує своє вихлоп лише раз на секунду жменями. За Єльцина такого не було, був запис у консолі відразу на момент прильоту пакета, консоль була жвавішою.

"супервірус" Turla: що в ньому сенсаційного?

Читання касперського показало таку картину:

1) вірус запускає сніффер tcpdump/PCAP на мережному інтерфейсі і чекає на «магічний пакет» TCP

3) нібито права вірус не вимагає.

УВАГА, ПИТАННЯ: чи можливо з правами звичайного користувача запустити сніффер?

Висновок tcpdump у postgresql

Хочеться перенаправити стандартне виведення tcpdump в таблицю бази даних. Щось на зразок

Кожен рядок результату має окремий insert. Таке можна зробити? Нагуглити прикладів не виходить, а сам не сильний поки що.

rtp mp2 трафік

На порту висить device

  • До порту комутатор підключили пристрій;
  • Link на порту піднявся, пакети RX, TX забігали;
  • В таблиці ARP комутатора засвітився MAC пристрою.

Допоможіть розібрати вихлоп tcpdump

Загалом ситуація наступна, намагаюся підчепитися по ssh на віддалений хост з терміналу mate-terminal, все безуспішно, пробував та інші, але якщо з цієї ж машинки чіпляюся через putty то все проходить успішно. Варто відзначити, що немогу підключиться ні на один лінуксовий комп'ютер з тієї мережі, а ось на циску успішно. При цьому по VNC доступ є, заходжу без проблем на будь-який комп'ютер. Грішити на налаштування не можу, тому що на інші ідентичні комп'ютери в інших мережах підключаюся успішно з того ж mate-terminal.

Загалом зробив аналіз коннекту за допомогою tcpdump але я в ньому не селен, у логах ніяких подій уне успішному конекті немає.

ситуація не кретично, хотілося б розібратися за містика, якщо потрібно можу зробити докладний дамп.

Допоможіть з iptables u32

Вітаю. Маю UDP-додаток, що зазнає атаки, необхідно захистити трафік за допомогою iptables. Вирішив використовувати модуль u32, здам легітимний трафік між клієнтом та сервером. Приклад пакету:

Мережі для найменших

Питання щодо tcpdump

Намагаюся зрозуміти проблему роботи мережі, не проходять з'єднання на деякі ресурси, озброївся tcpdump'ом.

Підкажіть у чому відмінність висновків, перший при наявності проблеми, другий коли все ok. Адреси одержувача та відправника змінені. Srchost знаходиться за роутером.

За наявності проблеми

Все працює нормально

Проблема з прокиданням портів.

Вітання. Прокинув порти в такий спосіб.

А ось робота tcpdump, коли я намагаюся підключитись по telnet на 25 порт.

Що покрутити, щоб зменшити кількість dropped by kernel

Чи можна щось покрутити, щоб розмір цих буферів збільшився і кількість dropped by kernel щоб зменшилася?

Виведення певного байта для кожного пакету в pcap файлі

Є pcap файл. Чи існує програма (типу tshark), яка б для кожного пакета з корисним навантаженням вивела бlenбайт починаючи зoffset? Ну або на крайній кінець просто 1 байт, що знаходиться по зміщеннюoffsetщодо початку корисного навантаження?

Сам tshark зважаючи на все так не вміє, або я роблю це неправильно:

Самі байти не виводяться, проте після цього виводиться відступ для кожного пакета у файлі.

Поєднувати мережі між собою, який алгоритм усунення несправностей?

При налаштуванні маршрутизації між мережами постійностикаюся з тим, що це спочатку не працює і я починаю, перевіряти кожен вузол:

1. cat /proc/sys/net/ipv4/ip_forward має давати 1

2. таблиця маршрутизації має містити

2.1. для мереж джерела та приймача свій gw (для перевірки команда route)

3. відключаю firewall на вузлах, щоб розібратися після.

Далі моя система вичерпується, проблеми залишаються.

Для перевірки результату використовую: ping, tcptraceroute, tcpdump.

Намагаючись щоразу систематизувати свої знання, я вкотре натрапляю на те, що наступного разу це не застосовується.

Може поділіться системою, описую конкретну ситуацію: не проходить через вузол, що знаходиться в кількох мережах, ось його route:

з комп'ютера 192.168.0.141 (з'єднана через мережу 10.6.0.0) видно всю мережу 192.168.3.0, але не видно 192.168.8.0 (з'єднану через мережу 10.8.0.0)

Підкажіть ваш план дій у цій ситуації?

Ubuntu не відповідає на ping тільки з одного комп'ютера. З чого почати? tcpdump

Є сервер на Ubuntu, його всі бачать і з ним працюють із різних мереж. Але є машина, яку він «ігнорує». Точніше машини, а ip т.к. якщо його змінити, то все буде нормально.

Підкажіть, як розпочати розслідування, щоб це лікувати, а чи не переставляти ip на клієнті чи сервер?

Ось що бачиться на сервері від ping з «хворої» машини:

Ось що бачиться на сервері від ping із нормальної машини:

OpenVPN та шифрування

Вечір добрий, ЛОР.

Є VDS, на якому налаштований OpenVPN сервер з таким конфігом (46.160.000.01 - IP VDS).

Перед запуском його в роботу вирішив я перевірити, чи все коректно шифрується при роботі з цим VPN'ном. Налаштував у себе (Fedora 18 64bit) VPN з'єднання за допомогою NM,підключився і пішов гуляти сайтами. Водночас у консолі запустив команду.

. і час від часу поглядав на вихлоп. Зацікавив мене ось такий момент:

Лог значно вкоротив, залишивши те, що стосується суті питання – що може означати появу в лозі yandex.ru? Трафік шифрується, але чи не повністю? Чи, можливо, я якось не так зняв дамп? Можливо, щось просто не врахував?

Буду вдячний за поради та стусан у потрібному напрямку.

Перенаправлення трафіку

Всім привіт! Хлопців, потрібна допомога. Описую суть ситуації: Вдома є роутер (DLink DIR-615/DD-WRT), Ноут як сервак (Debian) та комп'ютери користувачів. Всі комп'ютери користувачів підключені до роутера, так само як і сервер. Вихід до провайдера, логічно, через роутер. Так як я спочатку погана людина хочу на сервері писати всі пакети, які йдуть через роутер. Але, на жаль, я не лише погана людина, а й новачок у мережах. Як я розумію, всі пакети можна перекидати за допомогою IPTables (може й помиляюся), але так і не знайшов адекватного налаштування. Так само, як я розумію, можна роутером через проксі, який буде на серваку, пускати весь трафік, але тут ще одна проблема, руки криві, dd-wrt не хоче бути клієнтом. Загалом одні проблеми, а рішень поки що не знайшов. Прошу когось хоч підштовхнути на думку, а далі погуглю, якщо що! Буду дуже вдячний.

Отримати дані з дампи

Є tcpdump в рамках якого датчик надсилає свої вимірювання по TCP на хост.

Необхідно отримати набір пар dt (іноді від початку дампа) value (значення, відправлене датчиком)

Як це найпростіше зробити?

Update: Проблема ось у чому: трафік отримано вже після того, коли було встановлено мережеве з'єднання. Тобто. основне завдання - навчиться відкривати TCP-сокети, які готові будуть отримувати дані, не заморочуючись на ASC-SYN.

як створювати дампи, розділені за часом?

у мані утиліти tcpdump є вказівка ​​щодо цього, але як правильно це робити я так і не зрозумів. підкажіть, будь ласка, що з цією функцією strftime робити те? я пишу скрипт на баші

Захоплення і розумний аналіз пакетів, що приходять.

Вітаю! Виникло завдання хапати пакети, що приходять, і аналізувати їх. Аналіз передбачає висмикування певної інформації з пакета, що приходить у вигляді доменного імені або IP. Протокол SIP.

Сенс всього цього полягає в тому, щоб створити якусь моніторилку, яка б у разі виявлення розходження відправлених полів з еталонною інформацією сигналізувала б мені. Або хоча б створення текстового файлу з інформацією про пакети з якого можна було б смикати регулярками потрібну інфу.

tcpdump: pcap_loop: bogus savefile header

Пишу трафік так: Потім коли виконую: отримую: По факту виглядає так, ніби файл пошкоджений - довжина ip пакета більше 65535 Мені потрібно проаналізувати дамп. Може хтось підкаже, як відновлювати такі файли і чому таке може відбуватися? Дякую.