Tcpdump é um sniffer de rede de linha de comando, usado para capturar pacotes de rede. Quando você tem apenas acesso ao terminal de linha de comando do seu sistema, esta ferramenta é muito útil para provocar pacotes de rede. Tem tantas opções: você pode ver o despejo de pacotes em seu terminal, você também pode criar um arquivo pcap (para ver a captura no wireshark), você pode criar um filtro para capturar apenas pacotes necessários como ftp ou ssh, etc. você pode diretamente Veja a captura de um sistema remoto em qualquer outro sistema Linux usando o wireshark, para mais detalhes clique em 8220 Captura remota de pacotes usando WireShark e tcpdump8221. Tantas outras opções disponíveis, veja a página do manual tcpdump. Página tcpdump man Quando você cria um arquivo pcap usando tcpdump, trunca seu arquivo de captura para encurtar e talvez você não consiga entender isso. Estou escrevendo esta publicação, para que você possa criar um arquivo pcap de forma eficaz. Você pode usar o seguinte comando para capturar o despejo em um arquivo: no comando acima - s 0 irá definir o byte de captura como máximo, exceto 65535, depois que este arquivo de captura não trunca. - i eth0 está usando para fornecer a interface Ethernet, que você deve capturar. O padrão é eth0, se você não usar esta opção. Porta ftp ou ssh é o filtro, que irá capturar apenas pacotes ftp e ssh. Você pode remover isso para capturar todos os pacotes. - w mypcap. pcap irá criar esse arquivo pcap, que será aberto usando wireshark. Agora, eu acho, você pode jogar com o comando conforme sua necessidade. text2pcap - Gerar um arquivo de captura de um hexaduto ASCII de pacotes text2pcap - a - d - D - e ltl3pidgt - h - i ltprotogt - l lttypenumgt - n - m ltmax - packet-up - o hexoctdec - q - s ltsrcportgt, ltdestportgt, lttaggt - Ltstrcportgt, ltdestportgt, ltppigt - t lttimefmtgt - T ltsrcportgt, ltdestportgt - u ltsrcportgt, ltdestportgt - v lt infile gt - lt outfile gt - DESCRIÇÃO Text2pcap é um programa que Lê em um despejo hexadecimal ASCII e grava os dados descritos em um arquivo de captura de pcap. Text2pcap pode ler hexdumps com vários pacotes neles e criar um arquivo de captura de vários pacotes. O text2pcap também é capaz de gerar cabeçalhos dummy Ethernet, IP e UDP, TCP ou SCTP, para criar despejos de pacotes completamente processáveis a partir de hexdumps somente de dados de nível de aplicativo. Text2pcap entende um hexdump do formulário gerado por od - Ax - tx1 - v. Em outras palavras, cada byte é exibido individualmente, com espaços separando os bytes uns dos outros. Cada linha começa com um deslocamento descrevendo a posição no arquivo, com um espaço separando-o dos seguintes bytes. O deslocamento é um número hexadecimal (também pode ser octal ou decimal - ver - o), com mais de dois dígitos hexadecimais. Aqui está um despejo de amostra que o text2pcap pode reconhecer: Não há limite na largura ou no número de bytes por linha. Também o despejo de texto no final da linha é ignorado. Os números de bytes / hexadecimal podem ser maiúsculos ou minúsculas. Qualquer texto antes do deslocamento é ignorado, incluindo os recursos de encaminhamento de email 39gt39. Quaisquer linhas de texto entre as linhas bytestring são ignoradas. Os offsets são usados para rastrear os bytes, então os offsets devem estar corretos. Qualquer linha que tenha apenas bytes sem um deslocamento principal é ignorada. Um deslocamento é reconhecido como um número hexadecimal maior do que dois caracteres. Qualquer texto após os bytes é ignorado (por exemplo, o despejo de caracteres). Todos os números hexadecimais neste texto também são ignorados. Um deslocamento de zero é indicativo de iniciar um novo pacote, de modo que um único arquivo de texto com uma série de hexadecidos pode ser convertido em uma captura de pacotes com vários pacotes. Os pacotes podem ser precedidos por um timestamp. Estes são interpretados de acordo com o formato fornecido na linha de comando (veja - t). Caso contrário, o primeiro pacote é timestamped com a hora atual da conversão ocorre. Vários pacotes são escritos com timestamps diferentes por um microssegundo cada. Em geral, sem essas restrições, o text2pcap é bastante liberal sobre a leitura em hexdões e foi testado com uma variedade de saídas mangled (incluindo ser encaminhado por e-mail várias vezes, com enrolamento de linha limitado, etc.) Existem algumas outras características especiais anotar. Qualquer linha onde o primeiro personagem não-espaço em branco é 3939 será ignorado como um comentário. Qualquer linha que comece com TEXT2PCAP é uma diretiva e as opções podem ser inseridas após este comando ser processado por text2pcap. Atualmente, não há diretrizes implementadas no futuro, elas podem ser usadas para dar mais controle de grão fino no despejo e a maneira como ele deve ser processado, e. Timestamps, tipo de encapsulamento, etc. Text2pcap também permite que o usuário leia em despejos de dados de nível de aplicativo, inserindo cabeçalhos manequim L2, L3 e L4 antes de cada pacote. O usuário pode optar por inserir cabeçalhos Ethernet, Ethernet e IP, ou cabeçalhos Ethernet, IP e UDP / TCP / SCTP antes de cada pacote. Isso permite que o Wireshark ou qualquer outro decodificador de pacotes completos manipule esses despejos. Permite a identificação do despejo de texto ASCII. Ele permite identificar o início do despejo de texto ASCII e não incluí-lo no pacote, mesmo que pareça HEX. NOTA: Não habilite-o se o arquivo de entrada não contiver o despejo de texto ASCII. Exibe informações de depuração durante o processo. Pode ser usado várias vezes para gerar mais informações de depuração. O texto antes do pacote começa com um I ou O, indicando que o pacote está entrante ou de saída. Isso só é armazenado se o formato de saída for PCAP-NG. Inclua um cabeçalho Ethernet falso antes de cada pacote. Especifique o L3PID para o cabeçalho Ethernet em hexadecimal. Use esta opção se o seu despejo tiver o cabeçalho e a carga útil da camada 3 (por exemplo, cabeçalho IP), mas nenhum encapsulamento de camada 2. Exemplo: - e 0x806 para especificar um pacote ARP. Para pacotes IP, em vez de gerar um cabeçalho Ethernet falso, você também pode usar - l 101 para indicar um pacote IP bruto para o Wireshark. Note-se que - l 101 não funciona para qualquer pacote de camada 3 não IP (por exemplo, ARP), ao passo que gerar um cabeçalho Ethernet fofo com - e funciona para qualquer tipo de pacote L3. Exibe uma mensagem de ajuda. Inclua cabeçalhos IP falsos antes de cada pacote. Especifique o protocolo IP para o pacote em decimal. Use esta opção se o despejo for a carga útil de um pacote IP (ou seja, tenha informações L4 completas), mas não tiver um cabeçalho IP com cada pacote. Observe que um cabeçalho Ethernet apropriado é incluído automaticamente com cada pacote também. Exemplo: - i 46 para especificar um pacote RSVP (protocolo IP 46). Veja iana. org/assignments/protocol-numbers/protocol-numbers. xhtml para obter a lista completa de números de protocolo de internet atribuídos. Especifique o tipo de cabeçalho da camada de link desse pacote. O padrão é Ethernet (1). Consulte tcpdump. org/linktypes. html para obter a lista completa de possíveis encapsulações. Observe que esta opção deve ser usada se o despejo for um despejo hexadecimal completo de um pacote encapsulado e você deseja especificar o tipo exato de encapsulamento. Exemplo: - l 7 para pacotes ARCNet encapsulados em estilo BSD. Defina o comprimento máximo do pacote, o padrão é 65535. Útil para testar vários limites de pacotes quando apenas um fluxo de dados de nível de aplicativo está disponível. Exemplo: od - Ax - tx1 - v stream text2pcap - m1460 - T1234,1234 - stream. pcap converterá do formato de fluxo de dados simples para uma seqüência de pacotes Ethernet TCP. Escreva o arquivo PCAP-NG em vez de um PCAP. Especifique a base para os deslocamentos (hexadecimal, octal ou decimal). Padrões para hexadecimal. Isso corresponde à opção - A para od. Seja completamente silencioso durante o processo. Inclua cabeçalhos SCTP fofos antes de cada pacote. Especifique, em decimal, as portas SCTP de origem e de destino e a etiqueta de verificação, para o pacote. Use esta opção se o despejo for a carga útil SCTP de um pacote, mas não inclua cabeçalhos SCTP, IP ou Ethernet. Observe que os cabeçalhos Ethernet e IP apropriados também são incluídos automaticamente com cada pacote. Uma soma de verificação CRC32C será colocada no cabeçalho SCTP. Inclua cabeçalhos SCTP fofos antes de cada pacote. Especifique, em decimal, as portas SCTP de origem e de destino e uma marca de verificação de 0, para o pacote e prepende um cabeçalho de texto SCTP Dummy com um identificador de protocolo de carga útil se ppi. Use esta opção se o despejo for a carga útil SCTP de um pacote, mas não inclua cabeçalhos SCTP, IP ou Ethernet. Observe que os cabeçalhos Ethernet e IP apropriados são incluídos automaticamente com cada pacote. Uma soma de verificação CRC32C será colocada no cabeçalho SCTP. Trata o texto antes do pacote como um código de data / hora timefmt é uma seqüência de formato do tipo suportado por strptime (3). Exemplo: O tempo quot10: 15: 14.5476quot tem o código de formato quotH: M: S. quot NOTA: O delimitador do componente de subsecond deve ser especificado (.) Mas nenhum padrão é necessário, o número restante é assumido como frações de um segundo. NOTA: Os campos de data / hora da data / hora atual são usados como padrão para campos não especificados. Inclua cabeçalhos TCP falsos antes de cada pacote. Especifique as portas TCP de origem e destino para o pacote em decimal. Use esta opção se o despejo for a carga TCP do pacote, mas não inclua cabeçalhos TCP, IP ou Ethernet. Observe que os cabeçalhos Ethernet e IP apropriados também são incluídos automaticamente com cada pacote. Os números de seqüência começam em 0. Inclua cabeçalhos UDP fofos antes de cada pacote. Especifique as portas UDP de origem e de destino para o pacote em decimal. Use esta opção se o despejo for a carga útil UDP de um pacote, mas não inclua cabeçalhos UDP, IP ou Ethernet. Observe que os cabeçalhos Ethernet e IP apropriados também são incluídos automaticamente com cada pacote. Exemplo: - u1000,69 para que os pacotes pareçam pacotes TFTP / UDP. Imprima a versão e saia. Prepõe o cabeçalho IP falso com dest IPv4 especificado e endereço de origem. Esta opção deve ser acompanhada de uma das seguintes opções: - i, - s, - S, - T, - u Use esta opção para aplicar quotcustomquot endereços IP. Exemplo: -4 10.0.0.1.10.0.0.2 para usar 10.0.0.1 e 10.0.0.2 para todos os pacotes IP. Prepõe o cabeçalho de IP falso com dest IPv6 especificado e endereço de origem. Esta opção deve ser acompanhada de uma das seguintes opções: - i, - s, - S, - T, - u Use esta opção para aplicar quotcustomquot endereços IP. Exemplo: -6 fe80: 0: 0: 0: 202: b3ff: fe1e: 8329, 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334 para usar fe80: 0: 0: 0: 202: b3ff: fe1e : 8329 e 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334 para todos os pacotes IP. Od (1), pcap (3), wireshark (1), tshark (1), dumpcap (1), mergecap (1), editcap (1), strptime (3), pcap-filter (7) ou tcpdump (8 ) Text2pcap faz parte da distribuição Wireshark. A versão mais recente do Wireshark pode ser encontrada em wireshark. org.
Комментариев нет:
Отправить комментарий