forum.opennet.ru - "Помогите расшифровать вывод tcpdump" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите расшифровать вывод tcpdump"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите расшифровать вывод tcpdump"
Сообщение от alexvs (ok) on 16-Апр-05, 22:28 (MSK)
На шлюзе ловлю следующие пакеты: 13:47:22.498275 192.168.1.129.1891 > 191.168.1.1.4480: S 18366623:18366623(0) win 8192 <mss 1460,nop,nop,sackOK>(DF) 13:47:25.406244 192.168.1.129.1891 > 191.168.1.1.4480: S 18366623:18366623(0) win 8192 <mss 1460,nop,nop,sackOK>(DF) 13:47:31.404889 192.168.1.129.1891 > 191.168.1.1.4480: S 18366623:18366623(0) win 8192 <mss 1460,nop,nop,sackOK>(DF) 13:47:43.455126 192.168.1.129.1891 > 191.168.1.1.4480: S 18366623:18366623(0) win 8192 <mss 1460,nop,nop,sackOK>(DF) хотя шлюз это 192.168.1.254, а не 129 или 1. За день порядка 4 тыс. таких пакетов попадает на шлюз. Что б эти пакеты значили?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Помогите расшифровать вывод tcpdump, Асен Тотин, 14:16 , 17-Апр-05, (1)
- Помогите расшифровать вывод tcpdump, alexvs, 00:15 , 18-Апр-05, (2)
  - Помогите расшифровать вывод tcpdump, unk, 08:03 , 18-Апр-05, (3)
    - Помогите расшифровать вывод tcpdump, Асен Тотин, 11:01 , 18-Апр-05, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите расшифровать вывод tcpdump"

Сообщение от Асен Тотин on 17-Апр-05, 14:16  (MSK)

Привет,
tcpdump ставит ваш сетевой интерфейс в promiscous mode, т.е. он начинает "докладывать" весь трафик, который он видит, даже если трафик не предназначен ему. Возможно, в вашей сети стоит hub, а не switch; возможно, источник пакетов ошибочно задал свой gateway или сетевую маску и шлет через gateway пакеты, которые мог бы переслать прямо по сети...
WWell,

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите расшифровать вывод tcpdump"

Сообщение от alexvs (??) on 18-Апр-05, 00:15  (MSK)

>tcpdump ставит ваш сетевой интерфейс в promiscous mode, т.е. он начинает "докладывать"
>весь трафик, который он видит, даже если трафик не предназначен ему.
>Возможно, в вашей сети стоит hub, а не switch;
Точно. А я и забыл что ещё где-то хабы используються.
А что такие пакеты могут означать? Случайно они не указывают что на 192.168.1.1 кто-то заюзал прокси?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите расшифровать вывод tcpdump"

Сообщение от unk (ok) on 18-Апр-05, 08:03  (MSK)

>А что такие пакеты могут означать? Случайно они не указывают что на
>192.168.1.1 кто-то заюзал прокси?
По преведенному вами выводу tcpdump это не определить. Если 192.168.1.1 отвечает на эти SYN, то там может быть и прокси.
Послушайте еще, натравите на 192.168.1.1 nmap.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите расшифровать вывод tcpdump"

Сообщение от Асен Тотин on 18-Апр-05, 11:01  (MSK)

Привет,
Или запустите tcpdump с ключами "-o filename -s 0" и затем рассмотрите содержимое пакетов через "tcpdump -r filename -X" - если это прокси, то наверняка увидите HTTP заявку и ее полное содержимое...
WWell,

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите расшифровать вывод tcpdump"
Сообщение от Асен Тотин on 17-Апр-05, 14:16 (MSK)
Привет, tcpdump ставит ваш сетевой интерфейс в promiscous mode, т.е. он начинает "докладывать" весь трафик, который он видит, даже если трафик не предназначен ему. Возможно, в вашей сети стоит hub, а не switch; возможно, источник пакетов ошибочно задал свой gateway или сетевую маску и шлет через gateway пакеты, которые мог бы переслать прямо по сети... WWell,
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Помогите расшифровать вывод tcpdump"
	Сообщение от alexvs (??) on 18-Апр-05, 00:15 (MSK)
	>tcpdump ставит ваш сетевой интерфейс в promiscous mode, т.е. он начинает "докладывать" >весь трафик, который он видит, даже если трафик не предназначен ему. >Возможно, в вашей сети стоит hub, а не switch; Точно. А я и забыл что ещё где-то хабы используються. А что такие пакеты могут означать? Случайно они не указывают что на 192.168.1.1 кто-то заюзал прокси?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Помогите расшифровать вывод tcpdump"
	Сообщение от unk (ok) on 18-Апр-05, 08:03 (MSK)
	>А что такие пакеты могут означать? Случайно они не указывают что на >192.168.1.1 кто-то заюзал прокси? По преведенному вами выводу tcpdump это не определить. Если 192.168.1.1 отвечает на эти SYN, то там может быть и прокси. Послушайте еще, натравите на 192.168.1.1 nmap.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Помогите расшифровать вывод tcpdump"
	Сообщение от Асен Тотин on 18-Апр-05, 11:01 (MSK)
	Привет, Или запустите tcpdump с ключами "-o filename -s 0" и затем рассмотрите содержимое пакетов через "tcpdump -r filename -X" - если это прокси, то наверняка увидите HTTP заявку и ее полное содержимое... WWell,
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]