blackcatw Posted October 24, 2017 · Report post Добрый день. Может кто-нибудь подсказать как правильно и какие параметры поставить при использовании tcpdamp команды? Нужно по сетевому имени записать в файл параметры общения с сервером на клиентской машине. Адрес своей машины белый v4 типа 91.232.39.ХХ и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом Пытался разобраться, но что-то как-то в ступор вподаю. tcpdump -i eth0 host доменноеимя.сом -w files.cap Так или нет? Какие ещё параметры нужно указывать, чтобы посмотреть обмен данными? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 24, 2017 · Report post Чтобы посмотреть — нужно НЕ указывать -w. А вообще — man tcpdump. Бессмысленно пересказывать все. 11 минут назад, blackcatw сказал: и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом Доменных имен на L3/L4 нет. Если трафика немного, то можно использовать tcpdump с ключом -A. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
blackcatw Posted October 24, 2017 · Report post 29 минут назад, alibek сказал: Чтобы посмотреть — нужно НЕ указывать -w. А вообще — man tcpdump. Бессмысленно пересказывать все. Доменных имен на L3/L4 нет. Если трафика немного, то можно использовать tcpdump с ключом -A. -w - это чтобы всё в файл записать, а потом этот файл в шарке посмотреть. т.е. мне вместо доменного имени нужно узнать фактический IP адрес? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 24, 2017 · Report post В любом случае будет использоваться IP-адрес. Просто при его указании будет выполнен ресолв. tcpdump -i eth0 host 1.2.3.4 — получить дамп трафика с/на 1.2.3.4. tcpdump -i eth0 — получить дамп всего трафика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lacost Posted October 24, 2017 · Report post Вообще изначально было про записать в файл. значит -w надо. Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать: $ tcpdump -i <interface> -s 65535 -w <some-file> Ну или ограничить конкретным хостом $ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file> Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
blackcatw Posted October 24, 2017 (edited) · Report post 4 минуты назад, lacost сказал: Вообще изначально было про записать в файл. значит -w надо. Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать: $ tcpdump -i <interface> -s 65535 -w <some-file> Ну или ограничить конкретным хостом $ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file> Параметр "-s 65535" нужен? И ещё вопрос, а как его останавливать? tcpdump ? Чтобы запись в файле осталась? Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать? Edited October 24, 2017 by blackcatw Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 24, 2017 · Report post 28 минут назад, blackcatw сказал: И ещё вопрос, а как его останавливать? Ctrl+C или указывать количество пакетов для захвата. 28 минут назад, blackcatw сказал: Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать? Нет. Нужно использовать bg или screen. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted October 24, 2017 · Report post 9 минут назад, alibek сказал: Нет. Нужно использовать bg или screen. Уточню: bg+nohup Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
blackcatw Posted October 24, 2017 · Report post 5 минут назад, alibek сказал: Ctrl+C или указывать количество пакетов для захвата. Нет. Нужно использовать bg или screen. "-c 200" примерно так количество указывать? а "bg или screen" - можно узнать как это сделать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 24, 2017 · Report post 3 минуты назад, blackcatw сказал: "-c 200" примерно так количество указывать? Да. 4 минуты назад, blackcatw сказал: а "bg или screen" - можно узнать как это сделать? Если это непонятно, то лучше так не делать, а снимать дамп интерактивно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
blackcatw Posted October 24, 2017 · Report post 3 часа назад, alibek сказал: Да. Если это непонятно, то лучше так не делать, а снимать дамп интерактивно. К сожалению, я не знаю переодичность запросов к серверу. Да и нужно с файла посмотреть запросы и ответы. Потому собственно и нужен файл, чтобы шарку подсунуть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 24, 2017 · Report post Обычно вначале включают сниффер, а затем выполняют тестовые запросы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
karpa13a Posted October 24, 2017 · Report post позовитепрограммиста!(c) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
guеst Posted October 26, 2017 · Report post записать в файл как host23.mydomain.local (с ip=10.1.2.3) ходит на fsb.ru ? tcpdump -v -i eth0 host 10.1.2.3 | grep fsb.ru > file.txt ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted October 28, 2017 · Report post Ну поставьте себе под винду wireshark, или как он теперь называется. там мышом натыкайте - и фильтры есть, и склеивание пакетов. И анализ известных протоколов. Для особых любителей - tcpdump с ключами писать всё в полном объеме и фильтрами нужными. Затем акуле скормить дамп для анализа. У tcpdump есть масса полезных ключей и опций, например писать в файл и затем его ротировать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted October 28, 2017 · Report post использую -s0 обычно и попа не болит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...