Перейти к содержимому
Калькуляторы

как и чем убрать энкапсуляцию UDP?

Добрый день.

 

Есть снифер который использует UDP для транспорта пакета до сервера мониторинга. Какой утилитой можно развернуть пакет из транспортного UDP и отправить скажем на tcpdump?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть телепаты, но они в отпуске... каким способом мы можем определить "марку" снифера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

роутер mikrotik

перенаправляет трафик с помощью

ip firewall calea chain=forward action=sniff sniff-target=sniffer.ip sniff-target-port=7001 src-address=client.ip

sniffer.ip - машина с freebsd на которую приходят пакеты от mikrotik энкапсулированные в tzsp (Tazmen transport protocol). Собственно tcpdump (и т.п.) видит пакет udp с src-address = mikrotik.router.ip и dst-address = sniffer.ip dst-port = 7001.

С помощью tshark можно посмотреть содержимое пакетов сделав так

 

tshark -n -i extif -d udp.port==7001,tzsp -f port 7001

но как только добавляю к этой строке -w outfile то все данные сохраняются как будто нет функции -d udp.port==7001,tzsp.

на форуме wireshark прочел что нельзя сохранять в файл пакеты в декодированном виде.

есть мысль развернуть приходящий пакет, тобишь убрать энкапсуляцию tzsp и перенаправить пакет на tcpdump.

у микротика есть подобная програмка trafr написанная под linux причем с какой то старой версией ядра (2.2 по моему). мне так и не удалось заставить ее работать на slax 6.1.2

техподдержка микротика внятного ничего не говорит по этому поводу.

 

может у кого то есть идеи как можно вытащить пакеты из tzsp?

Изменено пользователем kostil

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хоть какие нибудь мысли есть у кого то по теме?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эмм .. поставить в виртуалку Линух 2.2 и разворачивать пакеты на нем ? ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть еще одна проблема - trafr не умеет работать с файлам pcap. Тоесть информация собранная ранее не может быть им обработанна. А такая задача тоже стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Найти ничего не удалось. На форумах тоже тишина.

Написал на perl обработчик трафика под свои нужды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.