kostil Опубликовано 26 ноября, 2009 · Жалоба Добрый день. Есть снифер который использует UDP для транспорта пакета до сервера мониторинга. Какой утилитой можно развернуть пакет из транспортного UDP и отправить скажем на tcpdump? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 26 ноября, 2009 · Жалоба есть телепаты, но они в отпуске... каким способом мы можем определить "марку" снифера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 26 ноября, 2009 (изменено) · Жалоба роутер mikrotik перенаправляет трафик с помощью ip firewall calea chain=forward action=sniff sniff-target=sniffer.ip sniff-target-port=7001 src-address=client.ip sniffer.ip - машина с freebsd на которую приходят пакеты от mikrotik энкапсулированные в tzsp (Tazmen transport protocol). Собственно tcpdump (и т.п.) видит пакет udp с src-address = mikrotik.router.ip и dst-address = sniffer.ip dst-port = 7001. С помощью tshark можно посмотреть содержимое пакетов сделав так tshark -n -i extif -d udp.port==7001,tzsp -f port 7001 но как только добавляю к этой строке -w outfile то все данные сохраняются как будто нет функции -d udp.port==7001,tzsp. на форуме wireshark прочел что нельзя сохранять в файл пакеты в декодированном виде. есть мысль развернуть приходящий пакет, тобишь убрать энкапсуляцию tzsp и перенаправить пакет на tcpdump. у микротика есть подобная програмка trafr написанная под linux причем с какой то старой версией ядра (2.2 по моему). мне так и не удалось заставить ее работать на slax 6.1.2 техподдержка микротика внятного ничего не говорит по этому поводу. может у кого то есть идеи как можно вытащить пакеты из tzsp? Изменено 26 ноября, 2009 пользователем kostil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 27 ноября, 2009 · Жалоба Хоть какие нибудь мысли есть у кого то по теме? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 27 ноября, 2009 · Жалоба Эмм .. поставить в виртуалку Линух 2.2 и разворачивать пакеты на нем ? )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 28 ноября, 2009 · Жалоба Есть еще одна проблема - trafr не умеет работать с файлам pcap. Тоесть информация собранная ранее не может быть им обработанна. А такая задача тоже стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 2 декабря, 2009 · Жалоба Найти ничего не удалось. На форумах тоже тишина. Написал на perl обработчик трафика под свои нужды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...