blackcatw Опубликовано 24 октября, 2017 · Жалоба Добрый день. Может кто-нибудь подсказать как правильно и какие параметры поставить при использовании tcpdamp команды? Нужно по сетевому имени записать в файл параметры общения с сервером на клиентской машине. Адрес своей машины белый v4 типа 91.232.39.ХХ и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом Пытался разобраться, но что-то как-то в ступор вподаю. tcpdump -i eth0 host доменноеимя.сом -w files.cap Так или нет? Какие ещё параметры нужно указывать, чтобы посмотреть обмен данными? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 октября, 2017 · Жалоба Чтобы посмотреть — нужно НЕ указывать -w. А вообще — man tcpdump. Бессмысленно пересказывать все. 11 минут назад, blackcatw сказал: и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом Доменных имен на L3/L4 нет. Если трафика немного, то можно использовать tcpdump с ключом -A. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackcatw Опубликовано 24 октября, 2017 · Жалоба 29 минут назад, alibek сказал: Чтобы посмотреть — нужно НЕ указывать -w. А вообще — man tcpdump. Бессмысленно пересказывать все. Доменных имен на L3/L4 нет. Если трафика немного, то можно использовать tcpdump с ключом -A. -w - это чтобы всё в файл записать, а потом этот файл в шарке посмотреть. т.е. мне вместо доменного имени нужно узнать фактический IP адрес? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 октября, 2017 · Жалоба В любом случае будет использоваться IP-адрес. Просто при его указании будет выполнен ресолв. tcpdump -i eth0 host 1.2.3.4 — получить дамп трафика с/на 1.2.3.4. tcpdump -i eth0 — получить дамп всего трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lacost Опубликовано 24 октября, 2017 · Жалоба Вообще изначально было про записать в файл. значит -w надо. Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать: $ tcpdump -i <interface> -s 65535 -w <some-file> Ну или ограничить конкретным хостом $ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackcatw Опубликовано 24 октября, 2017 (изменено) · Жалоба 4 минуты назад, lacost сказал: Вообще изначально было про записать в файл. значит -w надо. Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать: $ tcpdump -i <interface> -s 65535 -w <some-file> Ну или ограничить конкретным хостом $ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file> Параметр "-s 65535" нужен? И ещё вопрос, а как его останавливать? tcpdump ? Чтобы запись в файле осталась? Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать? Изменено 24 октября, 2017 пользователем blackcatw Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 октября, 2017 · Жалоба 28 минут назад, blackcatw сказал: И ещё вопрос, а как его останавливать? Ctrl+C или указывать количество пакетов для захвата. 28 минут назад, blackcatw сказал: Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать? Нет. Нужно использовать bg или screen. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 24 октября, 2017 · Жалоба 9 минут назад, alibek сказал: Нет. Нужно использовать bg или screen. Уточню: bg+nohup Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackcatw Опубликовано 24 октября, 2017 · Жалоба 5 минут назад, alibek сказал: Ctrl+C или указывать количество пакетов для захвата. Нет. Нужно использовать bg или screen. "-c 200" примерно так количество указывать? а "bg или screen" - можно узнать как это сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 октября, 2017 · Жалоба 3 минуты назад, blackcatw сказал: "-c 200" примерно так количество указывать? Да. 4 минуты назад, blackcatw сказал: а "bg или screen" - можно узнать как это сделать? Если это непонятно, то лучше так не делать, а снимать дамп интерактивно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackcatw Опубликовано 24 октября, 2017 · Жалоба 3 часа назад, alibek сказал: Да. Если это непонятно, то лучше так не делать, а снимать дамп интерактивно. К сожалению, я не знаю переодичность запросов к серверу. Да и нужно с файла посмотреть запросы и ответы. Потому собственно и нужен файл, чтобы шарку подсунуть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 октября, 2017 · Жалоба Обычно вначале включают сниффер, а затем выполняют тестовые запросы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 24 октября, 2017 · Жалоба позовитепрограммиста!(c) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 26 октября, 2017 · Жалоба записать в файл как host23.mydomain.local (с ip=10.1.2.3) ходит на fsb.ru ? tcpdump -v -i eth0 host 10.1.2.3 | grep fsb.ru > file.txt ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 октября, 2017 · Жалоба Ну поставьте себе под винду wireshark, или как он теперь называется. там мышом натыкайте - и фильтры есть, и склеивание пакетов. И анализ известных протоколов. Для особых любителей - tcpdump с ключами писать всё в полном объеме и фильтрами нужными. Затем акуле скормить дамп для анализа. У tcpdump есть масса полезных ключей и опций, например писать в файл и затем его ротировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 октября, 2017 · Жалоба использую -s0 обычно и попа не болит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...