как и чем убрать энкапсуляцию UDP?

[kostil]

Добрый день.

 

Есть снифер который использует UDP для транспорта пакета до сервера мониторинга. Какой утилитой можно развернуть пакет из транспортного UDP и отправить скажем на tcpdump?

 

[zoro]

есть телепаты, но они в отпуске... каким способом мы можем определить "марку" снифера?

[kostil]

роутер mikrotik

перенаправляет трафик с помощью

ip firewall calea chain=forward action=sniff sniff-target=sniffer.ip sniff-target-port=7001 src-address=client.ip

sniffer.ip - машина с freebsd на которую приходят пакеты от mikrotik энкапсулированные в tzsp (Tazmen transport protocol). Собственно tcpdump (и т.п.) видит пакет udp с src-address = mikrotik.router.ip и dst-address = sniffer.ip dst-port = 7001.

С помощью tshark можно посмотреть содержимое пакетов сделав так

 

tshark -n -i extif -d udp.port==7001,tzsp -f port 7001

но как только добавляю к этой строке -w outfile то все данные сохраняются как будто нет функции -d udp.port==7001,tzsp.

на форуме wireshark прочел что нельзя сохранять в файл пакеты в декодированном виде.

есть мысль развернуть приходящий пакет, тобишь убрать энкапсуляцию tzsp и перенаправить пакет на tcpdump.

у микротика есть подобная програмка trafr написанная под linux причем с какой то старой версией ядра (2.2 по моему). мне так и не удалось заставить ее работать на slax 6.1.2

техподдержка микротика внятного ничего не говорит по этому поводу.

 

может у кого то есть идеи как можно вытащить пакеты из tzsp?

Edited November 26, 2009 by kostil

[kostil]

Хоть какие нибудь мысли есть у кого то по теме?

[Elisium]

Эмм .. поставить в виртуалку Линух 2.2 и разворачивать пакеты на нем ? ))

[kostil]

Есть еще одна проблема - trafr не умеет работать с файлам pcap. Тоесть информация собранная ранее не может быть им обработанна. А такая задача тоже стоит.

[kostil]

Найти ничего не удалось. На форумах тоже тишина.

Написал на perl обработчик трафика под свои нужды.