КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Перехват и анализ сетевого трафика
Утилита tcpdump является мощнейшим средством перехвата и анализа сетевого трафика. Эта универсальная утилита для прослушивания моноканала присутствует почти во всех дистрибутивах Linux, а для ее запуска необходимы права суперпользователя. Командаавтоматически переводит сетевой адаптер в режим захвата всех пакетов в моноканале, но отображает только отфильтрованные пакеты.
tcpdump <параметры> <параметры_фильтрации>
Утилиту можно запустить без аргументов с помощью одноименной команды. В этом случае один (или единственный) сетевой интерфейс переводится в режим беспорядочного захвата пакетов, а текстовая информация о заголовках перехваченных пакетов выводится на экран. Это не очень удобно, так как приход каждого нового пакета сопровождается, как минимум, одной новой строкой, а при их обилии продуктивное чтение и анализ трафика становятся невозможными.
Утилита очень богата возможностями, и в ее командной строке предусмотрено несколько десятков параметров. Рассмотрим наиболее важные из них.
1. С помощью параметра -w <имя_файла> производится запись перехваченной информации в файл специального формата. Прочитать такой файл с выводом информации на экран можно только с помощью tcpdump, задав для этого аргумент -r <имя_файла>. В то же время отфильтрованные утилитой данные можно сохранить в обычном текстовом файле, используя перенаправление вывода «>».
2. По умолчанию в каждом пакете захватывается для анализа 68 байтов. Почему выбрано именно это число? Заголовок канального уровня (Ethernet–кадр) состоит из 14 байтов. Минимальные размеры заголовков IP и TCP пакетов составляют по 20 байтов. Еще 14 байтов отводится для распознавания инкапсулированного пакета прикладного уровня. Для явного задания длины «отрезаемой» для анализа части пакета в байтах служит аргумент -s <длина_пакета>. В случае необходимости перехвата всего пакета (это может посягать на конфиденциальность передаваемых данных!) его длина задается равной 1514 байтов (14 байтов заголовка кадра Ethernet + 1500 байтов как максимальный размер вложимого кадра).
3. Число перехваченных пакетов можно ограничить путем задания аргумента -c <число_пакетов> с завершением работы после выполнения задания.
4. При наличии в составе компьютера нескольких сетевых интерфейсов аргумент -i <интерфейс> позволяет определить тип сетевого адаптера (например, –i eth1) или модема (–i ppp1), с помощью которого производится перехват пакетов. Если физические интерфейсы будут заняты в сетевом обмене, для перехвата данных можно задействовать логический интерфейс обратной петли lo.
5. По умолчанию заголовок канального уровня не перехватывается, и внешним является IP–пакет. Для перехвата заголовка кадра Ethernet с MAC–адресами передатчика и приемника необходимо указать параметр -е.
6. Для вывода более подробной текстовой информации можно воспользоваться аргументами -v, -vv, -vvv. Стандартный формат текстовой строки анализатора может включать следующие поля:
· отметку времени перехвата, в которой три пары цифр, разделенных двоеточиями, указывают часы, минуты и секунды, а последние шесть цифр – дробную часть секунды,
· доменное имя или IP–адрес хоста–отправителя,
· номер порта получателя,
· обозначение установленных битовых флагов TCP–заголовка, которые несут информацию об этапе в установлении сеанса,
· начальный и конечный (через двоеточие) порядковые номера TCP–сегмента, а также (в скобках) – число переданных байт,
· размер TCP–окна в байтах.
7. Для отображения заголовков и содержимого пакетов в шестнадцатеричном коде служат аргументы -х (–xx). Если возникает потребность в отображении содержимого пакетов в шестнадцатеричных и ASCII– кодах, можно воспользоваться аргументом –X.
<параметры фильтрации> используют несколько ключевых слов:
· протокол (proto) – указывает, какие именно пакеты подлежат перехвату. Среди часто используемых можно указывать ключевые слова: ether, ip, arp, rarp, tcp, udp, icmp, ip6,
· направление – указывает источники и получателей сообщений: src (source – источник), dst (destination – получатель) или их комбинации: src or dst или src and dst,
· объекты прослушивания, к которым могут относиться:
host (номер или имя) – сетевой узел, являющийся источником или получателем сообщений,
net (сетевая часть адреса) – локальная сеть или ее часть,
port – номер или символическое обозначение службы, указанной в таблице /etc/services.
В параметры фильтрации могут входить математические выражения. Например, ‘ip[6:2] & 0x1FFF == 0’ условия фильтрации выполняются, если результат побитового логического умножения 6-го и 7-го байтов заголовка пакета с маской 0x1FFF равен нулю. Ключевые слова и математические выражения могут объединяться с использованием логических условий: not, and и or.
|
|
Дата добавления: 2015-03-31; Просмотров: 679; Нарушение авторских прав?; Мы поможем в написании вашей работы!