blackcatw Posted October 24, 2017 Posted October 24, 2017 Добрый день. Может кто-нибудь подсказать как правильно и какие параметры поставить при использовании tcpdamp команды? Нужно по сетевому имени записать в файл параметры общения с сервером на клиентской машине. Адрес своей машины белый v4 типа 91.232.39.ХХ и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом Пытался разобраться, но что-то как-то в ступор вподаю. tcpdump -i eth0 host доменноеимя.сом -w files.cap Так или нет? Какие ещё параметры нужно указывать, чтобы посмотреть обмен данными? Вставить ник Quote
alibek Posted October 24, 2017 Posted October 24, 2017 Чтобы посмотреть — нужно НЕ указывать -w. А вообще — man tcpdump. Бессмысленно пересказывать все. 11 минут назад, blackcatw сказал: и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом Доменных имен на L3/L4 нет. Если трафика немного, то можно использовать tcpdump с ключом -A. Вставить ник Quote
blackcatw Posted October 24, 2017 Author Posted October 24, 2017 29 минут назад, alibek сказал: Чтобы посмотреть — нужно НЕ указывать -w. А вообще — man tcpdump. Бессмысленно пересказывать все. Доменных имен на L3/L4 нет. Если трафика немного, то можно использовать tcpdump с ключом -A. -w - это чтобы всё в файл записать, а потом этот файл в шарке посмотреть. т.е. мне вместо доменного имени нужно узнать фактический IP адрес? Вставить ник Quote
alibek Posted October 24, 2017 Posted October 24, 2017 В любом случае будет использоваться IP-адрес. Просто при его указании будет выполнен ресолв. tcpdump -i eth0 host 1.2.3.4 — получить дамп трафика с/на 1.2.3.4. tcpdump -i eth0 — получить дамп всего трафика. Вставить ник Quote
lacost Posted October 24, 2017 Posted October 24, 2017 Вообще изначально было про записать в файл. значит -w надо. Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать: $ tcpdump -i <interface> -s 65535 -w <some-file> Ну или ограничить конкретным хостом $ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file> Вставить ник Quote
blackcatw Posted October 24, 2017 Author Posted October 24, 2017 (edited) 4 минуты назад, lacost сказал: Вообще изначально было про записать в файл. значит -w надо. Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать: $ tcpdump -i <interface> -s 65535 -w <some-file> Ну или ограничить конкретным хостом $ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file> Параметр "-s 65535" нужен? И ещё вопрос, а как его останавливать? tcpdump ? Чтобы запись в файле осталась? Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать? Edited October 24, 2017 by blackcatw Вставить ник Quote
alibek Posted October 24, 2017 Posted October 24, 2017 28 минут назад, blackcatw сказал: И ещё вопрос, а как его останавливать? Ctrl+C или указывать количество пакетов для захвата. 28 минут назад, blackcatw сказал: Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать? Нет. Нужно использовать bg или screen. Вставить ник Quote
snvoronkov Posted October 24, 2017 Posted October 24, 2017 9 минут назад, alibek сказал: Нет. Нужно использовать bg или screen. Уточню: bg+nohup Вставить ник Quote
blackcatw Posted October 24, 2017 Author Posted October 24, 2017 5 минут назад, alibek сказал: Ctrl+C или указывать количество пакетов для захвата. Нет. Нужно использовать bg или screen. "-c 200" примерно так количество указывать? а "bg или screen" - можно узнать как это сделать? Вставить ник Quote
alibek Posted October 24, 2017 Posted October 24, 2017 3 минуты назад, blackcatw сказал: "-c 200" примерно так количество указывать? Да. 4 минуты назад, blackcatw сказал: а "bg или screen" - можно узнать как это сделать? Если это непонятно, то лучше так не делать, а снимать дамп интерактивно. Вставить ник Quote
blackcatw Posted October 24, 2017 Author Posted October 24, 2017 3 часа назад, alibek сказал: Да. Если это непонятно, то лучше так не делать, а снимать дамп интерактивно. К сожалению, я не знаю переодичность запросов к серверу. Да и нужно с файла посмотреть запросы и ответы. Потому собственно и нужен файл, чтобы шарку подсунуть. Вставить ник Quote
alibek Posted October 24, 2017 Posted October 24, 2017 Обычно вначале включают сниффер, а затем выполняют тестовые запросы. Вставить ник Quote
guеst Posted October 26, 2017 Posted October 26, 2017 записать в файл как host23.mydomain.local (с ip=10.1.2.3) ходит на fsb.ru ? tcpdump -v -i eth0 host 10.1.2.3 | grep fsb.ru > file.txt ? Вставить ник Quote
YuryD Posted October 28, 2017 Posted October 28, 2017 Ну поставьте себе под винду wireshark, или как он теперь называется. там мышом натыкайте - и фильтры есть, и склеивание пакетов. И анализ известных протоколов. Для особых любителей - tcpdump с ключами писать всё в полном объеме и фильтрами нужными. Затем акуле скормить дамп для анализа. У tcpdump есть масса полезных ключей и опций, например писать в файл и затем его ротировать. Вставить ник Quote
LostSoul Posted October 28, 2017 Posted October 28, 2017 использую -s0 обычно и попа не болит Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.