Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Ваш личный шпион - tcpdump Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Ваш личный шпион - tcpdump

10.09.2009

Мне нравится использовать сниффер пакетов таких как tcpdump, потому что это греет мне душу :). Пассивное прослушивание сети, перехват пакетов данных, в конце концов!, но  применимо к пакетам TCP/IP, а не голосовым передачам. Несомненно, это, мои пакеты на моих же системах, но тем не менее идеи витают в воздухе. Еще более приятно осознавать, что у меня есть способность контролировать приходящий и уходящий трафик, и знать точно, что происходит в сети в настоящий момент.

Например, надо быть Фомой не верящим, как все мудрые системные администраторы, ведь есть возможность использовать tcpdump, чтобы проверить, работает ли кодирование. Вот то, на что в разрезе похож незашифрованный сеанс почты POP. Это - сокращенный пример, показывающий только начальному установлению связи TCP с тремя путями. Вы также можете сделать это самостоятельно, запуская tcpdump, когда проверяете почту. Ctrl+C завершит работу:

# tcpdump port 110
15:04:49.050227 windbag.34348 > venus.domain.com.pop3: S 2974284112:2974284112(0) win 5840 (DF)
15:04:49.190076 venus.domain.com.pop3 > windbag.34348: S 2862911212:2862911212(0) ack 2974284113 win 5840 (DF)
15:04:49.190168 windbag.34348 > venus.domain.com.pop3: . ack 1 win 5840 (DF)

Рассмотрим установленную связь подробно. Я уделю время, чтобы объяснить полученный результат.

15:04:49.050227 это текущее время, в соответствующем формате hh:mm:ss:fraction.

windbag.34348 > является обозначением породившего сигнал хоста и порта.

venus.domain.com.pop3: хост и порт адресата(см./etc/services).

S - первая часть установления связи TCP с тремя путями (SYN, SYN, ACK).

2974284112:2974284112 последовательность или диапазон байтов. Начальный порядковый номер (идентификатор объекта) сгенерирован случайно. Тогда порядковые номера для остальной части байтов при подключении увеличиваются на 1 от идентификатора объекта. Так как на данном этапе обмена информацией не происходит, то оба числа остаются прежними.

win 5840 является размером окна, или числом байтов пространства буфера, которое главный компьютер имеет в наличии для того, чтобы получить данные.

mss 1460 - максимальный размер сегмента, или максимальный размер датаграммы IP, который может быть обработан, не используя фрагментацию. Обе стороны подключения должны договориться о значении; если же они являются различными, используется  наименьшее значение.

Средства sackOK – средства "признания по выбору", т.е. позволяют получателю распознавать пакеты из последовательности. Первоначально, пакеты могли только быть распознаны в последовательности. Так, если третий пакет из тысячи полученных пакетов пропал без вести, главный компьютер мог бы только подтвердить получение первых двух пакетов, и отправитель должен будет снова послать все пакеты от номера три до тысячного пакета. Средства sackOK позволяет только третьему пакету, которого и недостает,  быть снова посланным.

timestamp 995173 0 мера времени возврата. Есть два поля: Timestamp Value(«Значение Timestamp ») и Timestamp Echo Reply («Эхо Timestamp»). На первом обмене Timestamp Echo Reply установлен в 0. Когда второй хост получает тот пакет, он передает timestamp от поля Timestamp Value старого пакета до поля Timestamp Echo Reply нового пакета. Тогда генерируется новое значение для поля Timestamp Value. Таким образом поле Timestamp Value содержит последний timestamp, в то время как поле Timestamp Echo Reply содержит предыдущий timestamp.

nop, или "нет операции," не является только дополнительной. Опции TCP должны быть множителями 4 байтов, поэтому nop используется, чтобы дополнить маленькие  поля.

wscale 0> является изящной, но нудной работой, чтобы обойти оригинальное ограничение размера окна 65 535 байтов, потому что поле размера окна только 16 битов длиной. wscale предусматривает полный гигабайт буфера. Обе стороны подключения должны поддерживать эту опцию и быть согласными на ее использование; иначе размер окна не изменяется.

(DF) средства "не фрагментируются(don't fragment)"

Вот выборка остальной части дампа, показывающая передачу данных:

15:04:49.548954 windbag.34348 > venus.domain.com.pop3: P 46:52(6) ack 181 win 5840 (DF)
15:04:49.653945 venus.domain.com.pop3 > windbag.34348: P 181:238(57) ack 52 win 5840 (DF)

P флаг означает "push", или данные об отправке.

И теперь Вы видите пример последовательности/диапазона байтов, когда данные посылают: 181:238(57); т.е. 57 пакетов в этом конкретном сеансе обмена
.
Кодирование в подтверждение

Теперь давайте возвратимся к нашей начальной задаче - проверке пакетов, т.е. убедимся в том, что они  вошли в наш почтовый сервер с  должным образом шифрования данных. Вот довольно быстрый путь:

# tcpdump port 995
tcpdump: listening on eth0
16:10:05.054198 windbag.34465 > venus.euao.com.pop3s: S 2698160498:2698160498(0) win 5840 (DF)
16:10:05.171235 venus.domain.com.pop3s > windbag.34465: S 2694170013:2694170013(0) ack 2698160499 win 5840 (DF)
16:10:05.171319 windbag.34465 > venus.domain.com.pop3s: . ack 1 win 5840 (DF)

Это лог протокола pop3s, а не pop3. Мы можем копнуть еще глубже и попытаться рассмотреть вход в систему детально:

# tcpdump -X port 995

X опций отображают пакет в хорошо читаемом ASCII коде, как это показано в отрывке:

E...R(@.5..fE8..
................
P...`.......J...
F..A....yY.I.D..
=2....'i..E.....J.

Достаточно читабельно, чтобы убедиться, что любой шпионящий на нашем подключении не может фиксировать входы в систему и пароли. Этот же отрывок явно показывает логин и пароль в явном текстовом виде на входе в систему, но уже по протоколу pop3:

# tcpdump -X port 110
E8.....n.....V%.
P...T...USER.car
la@domain.com..
32:46(14) ack 70 win 5840 (DF)
E..6..@.@..x....
E8.....n...".V&.
P...n...PASS.mgY6Rf9W..

....Без комментариев...


Концентраторы (Hubs) – Трепачи

Если Ваша локальная сеть подключена при помощи концентраторов, которые является так сказать двадцатым веком, Вы можете вдохнуть трафик для любого хоста в сети не отрывая зад от стула. Любой компьютер в локальной сети может просто назвать себя главный (хостом), который Вы пожелаете наблюдать:

# tcpdump dst host workstation5

Или укажите IP-адрес хоста. Tcpdump автоматически установит вашу сетевую карту в прослушивающий режим, но вы не увидите этого через Ifconfig. Вы сможете увидеть это в dmesg или /var/log/messages. Откройте два оконных терминала. В одном, выполните tail -f /var/log/messages. В другом, выполните tcpdump, затем остановите его. Будет выведена подобная информация:

Nov 22 20:43:30 windbag kernel: eth0: Promiscuous mode enabled.
Nov 22 20:43:30 windbag kernel: device eth0 entered promiscuous mode
Nov 22 20:44:07 windbag kernel: eth0: Promiscuous mode enabled.
Nov 22 20:44:07 windbag kernel: device eth0 left promiscuous mode

Помехи в работе Коммутаторов(Switches)

Если Ваша локальная сеть оборудована коммутаторами, а не концентраторами, Вы не сможете сделать этого. Вы должны сначала поместить коммутатор в режим  SPAN (Switch Port Analyzer). Это также называют "зеркальным копированием порта". Независимо от того, что Вы называете его, он поместит коммутатор в широковещательный режим точно так же как концентратор, с одним главным различием: весь трафик локальной сети направлен через порт сниффера, и только Вы, «богоподобная» администрация, можете видеть пакеты. Дешевые коммутаторы SOHO не могут сделать этого; это - особенность дорогостоящих продуктов от Cisco и Extreme.

Продолжение на следующей неделе, где будут изучены некоторые изящные сетевые диагностические уловки с tcpdump, такие как обнаружение признаков подрывной деятельности, диагностирования сетевых проблем, и вывод результатов работы tcpdump в двоичные файлы, подходящие для того, чтобы анализировать их утилитами такими как Ethereal и Snort.

Рекомендуем к прочтению
rfc 793 - описывает протокол управления передачей данных (tcp) в детально.
rfc 1180 - является превосходной обучающей статьей.

Special for HackZONE.ru

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Безопасность
Опубликовал: DiMan
Просмотров: 24818
Проголосовало через SMS: 0
Ключевые слова: tcpdump, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
КрутоThumbsup
12.09.2009 / Leftist.
статья очень позновательная и очень полезная.. спс АфТарУ )
вот вопрос: реализовать такое можно, я так понимаю, только в локалке???
19.09.2009 / wwwNord
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Ищу работу » Re: взлом почты на майле
  • Разное / Ищу работу » Re: Взлом емейлов, вконтакте, одноклассники
  • Разное / Ищу работу » Re: Взлом почты mail.ru, yandex.ru, rambler, gmail
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам. Работаем с 2011 го...
  • Разное / Ищу работу » Re: Взлом ВКонтакте на заказ. Взлом почты на заказ.
  • Интернет / Разное » SOCKS 4/5, HTTPS прокси сервис - proxybuy
  • Программирование / WEB Design » Уроки по JavaScript для начинающих
  • Разное / Ищу работу » Re: Прогон 7ым XRumerоm по форумам, блогам, гостевым. ru и e...
  • Разное / Ищу работу » Re: взлом почты на майле
  • Разное / Предложения работы » Нужен способ заработка, майнинга

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}