Администрирование FreeBSD, Linux, ... анализ трафика с помощью tethereal Sat, December 21 2024  

Поделиться

Нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.


анализ трафика с помощью tethereal Печать
Добавил(а) microsin   

Чтение всего трафика с интерфейса eth1 (на нем может и не быть IP-адреса), вывод его на консоль и одновременная запись в файл на диске:
# tethereal -i eth1 | tee outfile.txt

Файл outfile.txt получится примерно такого формата:
 10.475720   10.81.16.5 -> loc1.loc2.0.168  UDP Source port: 5254  Destination port: 5218
 10.475722   10.81.16.5 -> loc1.loc2.0.139  RTP Payload type=ITU-T G.711 PCMA, SSRC=2864434397, Seq=1075, Time=86000
 10.475738   10.81.16.5 -> loc1.loc2.0.168  UDP Source port: 5258  Destination port: 5258
 10.475754   10.81.16.5 -> loc1.loc2.0.139  UDP Source port: 5236  Destination port: 5242
 10.475833  10.90.49.36 -> loc1.loc2.0.139  UDP Source port: 5200  Destination port: 5228
 10.475865     00.00.00 -> 00.00.00     FC Unknown frame
 10.476091     00.00.00 -> 00.00.00     FC Unknown frame
 10.476252  10.90.49.16 -> loc1.loc2.0.139  UDP Source port: 5200  Destination port: 5244

То же самое, но с запретом преобразования IP в DNS-имена и номеров портов в имена сервисов:
# tethereal -i eth1 -n | tee outfile.txt

То же самое, но в строке слева выводится время в формате HH:MM:SS.SSSSSS
# tethereal -i eth1 -n -t a | tee outfile.txt

Опция -V включает вывод подробной информации по пакетам. Указано > outfile.txt вместо | tee outfile.txt
не случайно, иначе у меня вешалась putty, подключенная через ssl.
# tethereal -i eth1 -n -t a -V > outfile.txt

Записывает RAW-данные в файл dump.bin. С опцией -w не работают опции -n, -t a, -V
# tethereal -i eth1 -w dump.bin

Опция -x включает после информации о соединении ASCII-HEX дамп:
# tethereal -i eth1 -n -t a -x > outfile.txt
Эта команда выводит данные в формате:
16:04:44.048575  loc1.loc2.3.185 -> loc1.loc2.255.255 BROWSER Host Announcement WS-HUB54604TM, Workstation, Server, NT Workstation, Potential Browser
0000  ff ff ff ff ff ff 00 0f fe a7 f2 20 08 00 45 00   ........... ..E.
0010  00 f2 32 b2 00 00 80 11 ef 2c 0a 32 03 b9 0a 32   ..2......,.2...2
0020  ff ff 00 8a 00 8a 00 de b9 33 11 0e 80 90 0a 32   .........3.....2
0030  03 b9 00 8a 00 c8 00 00 20 46 48 46 44 43 4e 45   ........ FHFDCNE
0040  49 46 46 45 43 44 46 44 45 44 47 44 41 44 45 46   IFFECDFDEDGDADEF
0050  45 45 4e 43 41 43 41 43 41 00 20 46 43 45 4a 45   EENCACACA. FCEJE
0060  4e 45 50 46 44 46 50 45 4f 46 45 46 50 44 41 44   NEPFDFPEOFEFPDAD
0070  42 43 41 43 41 43 41 43 41 42 4e 00 ff 53 4d 42   BCACACACABN..SMB
0080  25 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   %...............
0090  00 00 00 00 00 00 00 00 00 00 00 00 11 00 00 2e   ................
00a0  00 00 00 00 00 00 00 00 00 e8 03 00 00 00 00 00   ................
00b0  00 00 00 2e 00 56 00 03 00 01 00 00 00 02 00 3f   .....V.........?
00c0  00 5c 4d 41 49 4c 53 4c 4f 54 5c 42 52 4f 57 53   .\MAILSLOT\BROWS
00d0  45 00 01 00 80 fc 0a 00 57 53 2d 48 55 42 35 34   E.......WS-HUB54
00e0  36 30 34 54 4d 00 00 00 05 00 03 10 01 00 0f 01   604TM...........
00f0  55 aa 53 65 64 69 6e 20 4d 69 63 68 61 65 6c 00   U.Sedin Michael.

То же самое, что и предыдущая команда, только добавлен сложный фильтр по нескольким IP (принцип построения фильтров захвата тот же что и у tcpdump). Можно в фильтре использовать одинарные и двойные кавычки:
# tethereal host 10.80.82.1 or host 10.80.82.2 -i eth1 -n -t a -x > MyDoc/001.txt
# tethereal host '10.80.82.1 or host 10.80.82.2' -i eth1 -n -t a -x > MyDoc/001.txt
# tethereal host "10.80.82.1 or host 10.80.82.2" -i eth1 -n -t a -x > MyDoc/001.txt

См. также иcпoльзoвaниe tcpdump и мocтa для aнaлизa ceтeвыx coeдинeний.

 

Добавить комментарий


Защитный код
Обновить

Top of Page