Mavzu: Turli tarmoq
Download 101.96 Kb.
|
29.Mavzu
- Bu sahifa navigatsiya:
- -adeflnNOpqStvx ] [-c
|
Tcpdump va WinDump
(Ghost // Necrosoft tomonidan) Yuqorida aytib o'tilganidek, TcpDump * nix tizimlari uchun eng ko'p ishlatiladigan sniffer hisoblanadi. Siz uni foydalanadigan operatsion tizimning har qanday so'nggi tarqatishlarida topishingiz mumkin. Tcpdump-ni uning barcha buyruqlar qatori opsiyalarini ro'yxatlash orqali tavsiflash eng yaxshisidir - bu bilan siz uning imkoniyatlari ro'yxatini va to'g'ridan-to'g'ri harakat qilish bo'yicha qo'llanmani olasiz - "bir shishada". WinDump - * nix tizimlaridan TcpDump porti, bir xil funktsiyalarni bajaradi va TcpDump bilan bir xil sintaksisga ega, lekin juftlikka ega. qo'shimcha imkoniyatlar buyruq qatori, bu quyida muhokama qilinadi. ostida TcpDump foydalanish bo'yicha kichik izoh turli tizimlar... SunOS-da nit yoki bpf qurilmalari yordamida: tcpdump-ni ishga tushirish uchun siz / dev / nit yoki / dev / bpf * ga o'qish huquqiga ega bo'lishingiz kerak. Dlpi bilan Solaris-da siz / dev / le kabi psevdo-tarmoq adapterlariga kirishingiz kerak. dlpi bilan HP-UX da: siz root bo'lishingiz kerak yoki tcpdump uid rootga o'rnatilgan bo'lishi kerak. Snoop va Linux bilan IRIX da: HP-UX ga o'xshash talablar. Ultrix va Digital UNIX da: Faqat nazoratchi promiscuous-rejim operatsiyalaridan foydalanadi. pfconfig (8) siz BSD ostida tcpdump-ni ishga tushirish huquqiga ega bo'lishingiz mumkin: siz / dev / bpf ga kirishingiz kerak * Win32 ostida: NDIS paketlarni yozib olish drayverini o'rnatishingiz kerak. E ndi buyruq qatori variantlarini batafsil ko'rib chiqamiz. TcpDump [ -adeflnNOpqStvx] [-chisoblash] [-Ffayl] [-iinterfeys] [-rfayl] [-ssnaplen] [-Tturi] [-wfayl] [ifoda]. Windump uchun maxsus parametrlar [- D] [ -Bhajmi]. A tarmoq va translyatsiya manzillarini nomlarga aylantirish imkonini beradi. Qayta ishlashdan keyin chiqing hisoblash paketlar. D Paket tarkibini odam o'qiy oladigan shaklda chop etadi. Dd paket mazmunini C dasturi fragmenti sifatida chiqaradi. Ddd Paket mazmunini kasrli belgilarda ko'rsatadi. E Har bir yangi satrda havola qatlami sarlavhalarini chiqaradi. F Masofaviy va mahalliy xostlar manzillarini nomlarga aylantirmasdan chop etadi. Sug'urta fayl filtrlash parametrlarining tavsifi bilan (buyruqlar qatoridagi qo'shimcha iboralar e'tiborga olinmaydi). Men interfeysdan foydalanaman interfeys kuzatish uchun. Agar aniqlanmagan bo'lsa, tcpdump eng past raqamlangan faol tarmoq interfeysini topadi (loopback bundan mustasno). Windows tizimida interfeys- ism tarmoq adapteri yoki uning raqami (siz WinDump -D ni ishga tushirish orqali bilib olishingiz mumkin). L stdout uchun buferlangan chiqishdan foydalanadi. "tcpdump -l | tee dat" "yoki" tcpdump -l> dat & tail -f dat "" kabi konstruktsiya foydali bo'lishi mumkin. Manzillarni (masalan, xost manzili, port raqami va boshqalar) nomlarga tarjima qilmang. Chop etmang Domen nomi xost nomida. Bular. agar bu bayroq ishlatilsa, tcpdump nic.ddn.mil "" o'rniga "nic" ni chop etadi. Paket optimallashtiruvchisini ishga tushirmang. Agar siz paketlarni o'zingiz yig'ayotgan bo'lsangiz, ushbu parametr foydalidir. Tarmoq interfeysini "foydalanish rejimiga" qo'ymang. Q - qisqartirilgan chiqish. Ma'lumotni qisqartirilgan shaklda ko'rsatadi. Fayldan paketlarni o'qiydi fayl(ular -w opsiyasi bilan yaratilgan). Agar siz konsoldan kirish sifatida foydalanmoqchi bo'lsangiz, unda fayl bu "-"". S masalalari snaplen har bir paketning baytlari (SunOS "NIT kamida 96. da) 68 bayt IP, ICMP, TCP va UDP protokollari uchun etarli, ammo DNS va NFS paketlari kabi yuqori darajadagi ma'lumotlarni qisqartiradi. T turi bo'yicha paketlarni majburiy talqin qilish turi mos keladigan niqob " ifoda". Hozirgi vaqtda quyidagi turlar ma'lum: rpc(Masofadan protsedura chaqiruvi), rtp(Real-vaqt ilovalari protokoli), rtcp(Haqiqiy vaqtda ilovalarni boshqarish protokoli), vat(Visual Audio Tool) va wb(Oq doska tarqatiladi). S TCP paketining mutlaq sonini chop etadi. T har bir satrda vaqtni chop etmaydi. Tt formatlanmagan vaqtni har bir satrda chop etadi. V batafsil chiqish. Masalan, paketning ishlash muddati va xizmat turi. Vv - bu batafsilroq chiqish. Masalan, NFS javob paketlari uchun qo'shimcha maydonlarni ko'rsatish. W xom paketlarni yozadi fayl,-r opsiyasidan foydalanib, parolni qo'shimcha ravishda ochishingiz mumkin. Agar siz konsolni chiqish sifatida ishlatmoqchi bo'lsangiz, unda fayl bu "-"". X Har bir paketni olti burchakli (sarlavhasiz) chiqaradi. Olib tashlash uchun yuboriladi snaplen bayt. Qo'shimcha WinDump imkoniyatlari: Drayv buferi hajmini o'rnatadi hajmi kilobaytlarda. Standart bufer hajmi 1 megabayt. Agar ish paytida ba'zi paketlar ko'rsatilmasa, bufer hajmini oshirib ko'ring. Agar sizda PPP ulanishi yoki 10 Mbit / s chekilgan bo'lsa, bufer hajmini yarmi yoki uch baravar kamaytirish mumkin. -D tizimingizda mavjud bo'lgan tarmoq qurilmalari ro'yxatini ko'rsatadi. Ro'yxat quyidagicha ko'rinadi: raqam- xona tarmoq qurilmasi tizimda, nomi- uning nomi, keyin qurilmaning tavsifi. Keyinchalik, ushbu ma'lumotlardan tizimingizning hozirda mavjud bo'lgan barcha mavjud tarmoq interfeyslari bilan ishlash uchun foydalanishingiz mumkin. Va siz -I - "WinDump -i" yordamida qurilmani tanlashingiz mumkin nomi"yoki" WinDump -i raqam". ifoda aslida paketlarni filtrlash mezonini belgilaydigan ifodadir. Agar maydon ifoda etishmayotgan bo'lsa, barcha paketlar ko'rsatiladi. Aks holda, faqat niqobga mos keladigan paketlar ko'rsatiladi ifoda. ifoda bir yoki bir necha tubdan iborat bo‘lishi mumkin. Primitivlar ko'pincha quyidagilardan iborat id(ism yoki raqam) sifatlovchisi. Saralashning uchta asosiy turi mavjud: umumiy siyosatni belgilovchi tip-kvalifikatsiya. Mumkin turlari - mezbon,to'r va port... Bular. "host foo", "net 128.3", "port 20". Agar turi belgilanmagan bo'lsa, sukut bo'yicha foydalaniladi mezbon. dir-paketlarni uzatish yo'nalishini ko'rsatuvchi kvalifikator. Mumkin variantlar src,dst,src yoki dst va src vadst... Ya'ni "src foo", "dst net 128.3", "src yoki dst port ftp-data". Agar rej aniqlanmagan, sukut bo'yicha src yoki dst."Nul" ulanishlar uchun (bu ppp yoki slip) foydalaning kiruvchi va chiquvchi kerakli yo'nalishni ko'rsatish uchun determinant. proto kvalifikator ma'lum bir protokol bo'yicha paketlarni filtrlash imkonini beradi. Mumkin bo'lgan protokollar: efir,fddi,ip,arp,rarp,decnet,lat,ska,moprc,mopdl,tcp va udp... Bular. "ether src foo", "arp net 128.3", "tcp port 21". Agar kvalifikator bo'lmasa, paketlar filtrlanmaydi. ("fddi" aslida "eter" ning taxallusidir, chunki ko'p hollarda FDDI paketlari manba va maqsad chekilgan manzillarini o'z ichiga oladi va ko'pincha Ethernet paket turlarini o'z ichiga oladi. FDDI sarlavhalarida filtrlar ro'yxatida bo'lmagan boshqa maydonlar ham mavjud.) Yuqoridagilarga qo'shimcha ravishda, ba'zi maxsus primitivlarda shablonlar yo'q, bular: shlyuz,efirga uzatish,Kamroq,kattaroq va arifmetik ifodalar. Bu haqda keyinroq. Ko'pgina murakkab filtr iboralari so'zlardan foydalanadi va,yoki va emas ibtidoiylarni birlashtirish uchun. Masalan, "host foo va ftp porti emas, ftp-ma'lumotlar porti emas". Kirish qulayligi uchun ba'zi saralashlar o'tkazib yuborilishi mumkin. Masalan, "tcp dst port ftp yoki ftp-ma'lumotlar yoki domen" "tcp dst port ftp yoki tcp dst port ftp-data yoki tcp dst port domeni" bilan bir xil. Quyidagi iboralarga ruxsat beriladi: dst xost mezbon to'g'ri, agar paketning IP manzil maydoni bo'lsa mezbon, manzil yoki xost nomi bo'lishi mumkin. src xost mezbon to'g'ri, agar paketning IP manba maydoni bo'lsa mezbon. mezbon mezbon to'g'ri, agar paketning manbasi yoki manzili bo'lsa mezbon... Prefikslardan ham foydalanish mumkin: ip,arp, yoki rarp Qanaqasiga: IP xostmezbon bu ekvivalent efir proto\ ipva mezbonmezbon... Agar mezbon- bir nechta IP manzilli nom, har bir manzil muvofiqligi tekshiriladi. efir dst ehost Agar maqsad Ethernet manzili bo'lsa, to'g'ri ehost.Ehost- har qanday ism / etc / efir yoki raqam (qarang. efirlar(3N). efir src ehost jo'natuvchining Ethernet manzili bo'lsa rost ehost. efir xosti ehost agar qabul qiluvchi yoki jo'natuvchining Ethernet manzillari - ehost. shlyuz mezbon rost bo'lsa mezbon- shlyuz. Bular. Yuboruvchi yoki qabul qiluvchining Ethernet manzili - mezbon, lekin na jo‘natuvchining IP, na qabul qiluvchining IP manzili mezbon.Xost nom bo'lishi mumkin, shuningdek, / etc / xostlar va / etc / efirlarida joylashgan bo'lishi mumkin. (Bu ga teng efir xostiehostva mezbon emasmezbon uchun istalgan nom yoki raqam bilan ishlatilishi mumkin xost / ehost.) dst net to'r agar qabul qiluvchining IP manzili bo'lsa rost - to'r.Net- / etc / tarmoqlardan yoki tarmoq manzilidan har qanday kirish. src net to'r agar jo'natuvchining IP manzili bo'lsa rost - to'r. to'r to'r Qabul qiluvchi yoki jo'natuvchining IP-da tarmoq manzili bo'lsa, bu to'g'ri - to'r. to'r to'rniqobniqob Agar IP manzil bir xil bo'lsa, to'g'ri to'r mos keladigan tarmoq niqobi bilan. Bilan birga belgilanishi mumkin src yoki dst. to'r to'r/len agar IP bo'lsa to'g'ri to'r, pastki tarmoq niqobi - len bit shaklida (CIDR formatida). Bilan birga belgilanishi mumkin src yoki dst. dst porti port to'g'ri, agar paket ip / tcp yoki ip / udp bo'lsa va maqsad porti bo'lsa - port.port raqam bo'lishi mumkin yoki / etc / xizmatlarda mavjud bo'lishi mumkin (qarang tcp(4P) va udp(4P)). Agar nom ikki yoki undan ortiq port uchun ishlatilsa, ikkala port raqamlari ham, protokollar ham tekshiriladi. Agar noto'g'ri port raqami yoki nomi ishlatilsa, u holda faqat port raqamlari tekshiriladi (ya'ni. dst port 513 tcp chop etadi / login va udp / kim trafik, va port domeni tcp / domen va udp / domenni chiqaradi). src porti port agar jo'natuvchining porti bo'lsa rost port. port port agar manba yoki maqsad port bo'lsa rost port... Ba'zi iboralar birlashtirilishi mumkin, masalan: tcp src portiport- faqat portli tcp paketlar - port. Kamroq uzunligi to'g'ri, agar paket uzunligi dan kichik yoki teng bo'lsa uzunligi ga teng len<= uzunligi. kattaroq uzunligi to'g'ri, agar paket uzunligi dan katta yoki teng bo'lsa uzunligi ga teng len> =uzunligi. ip proto protokol to'g'ri, agar paket protokolli IP paket bo'lsa protokol.Protokol raqam yoki nomlardan biriga ega bo‘lishi mumkin icmp,igrp,udp,nd, yoki tcp. agar paket Ethernet tarqatish paketi bo'lsa, efir efiri to'g'ri bo'ladi. Ifoda efir ixtiyoriy. agar paket IP eshittirish paketi bo'lsa, ip translyatsiyasi haqiqatdir. Ether multicast to'g'ri, agar paket Ethernet multicast paketi bo'lsa. Ifoda efir ixtiyoriy. Bu stenografiya " efir & 1! = 0". IP multicast to'g'ri, agar paket IP multicast paketi bo'lsa. efir proto protokol to'g'ri, agar paket Ethernet turi bo'lsa. Protokol raqam yoki nom bo'lishi mumkin: ip,arp, yoki rarp. decnet src mezbon agar qabul qiluvchining DECNET manzili bo'lsa, rost mezbon, bu "10.123" " yoki DECNET xost nomi kabi manzil bo'lishi mumkin. (DECNET xost nomi faqat Ultrix tizimlarida qo'llab-quvvatlanadi). decnet dst mezbon Qabul qiluvchining DECNET manzili bo'lsa, to'g'ri mezbon. decnet xost mezbon Qabul qiluvchi yoki jo'natuvchining DECNET manzili bo'lsa, to'g'ri mezbon. proto [ expr: hajmi] Quyidagi protokollardan birini proto efir, fddi, ip, arp, rarp, tcp, udp yokiicmp, va ushbu operatsiya uchun protokol darajasini ko'rsatadi. Ushbu protokol qatlami uchun bayt ofseti dan olingan expr.Hajmi- ixtiyoriy, berilgan ofsetda kerakli bayt sonini ko'rsatadi, 1,2 yoki 4 bo'lishi mumkin, sukut bo'yicha 1. tcpdump dan foydalanishga misollar Barcha kiruvchi va chiquvchi paketlarni chiqarish quyosh botishi:tcpdump xost quyosh botishi O'rtasidagi trafik yetkazib berish helios va ikkitadan biri issiq yoki ace:tcpdump host helios va \ (issiq yoki ace \) O'rtasidagi barcha amaliyotlarni chiqarish ace va boshqa xostlar bundan mustasno helios:tcpdump ip xost ace va helios emas Berklidagi mahalliy mashina va mashina o'rtasidagi trafikni tortish: tcpdump aniq ucb-eter Shlyuz orqali ftp trafigini chiqarish snup:tcpdump "shlyuzni o'chirish va (port ftp yoki ftp-ma'lumotlar)" Mahalliy tarmoqdagi mashinalarga tegishli bo'lmagan trafikni ko'rsatish (agar sizning mashinangiz boshqa tarmoqqa shlyuz bo'lsa, tcpdump mahalliy tarmog'ingizdagi trafikni ko'rsata olmaydi). tcpdump ip va net emasmahalliy tarmoq Mahalliy tarmoqqa tegishli bo'lmagan eski va to'xtatilgan paketlarni (SYN va FIN paketlarini) chiqarish. tcpdump "tcp & 3! = 0 va src va dst net emasmahalliy tarmoq" Shlyuz orqali uzatiladigan 576 baytdan ortiq IP-paketlarni chiqarish snup:tcpdump "shlyuzni o'chirish va ip> 576" Ethernet translyatsiyasi yoki multicast orqali yuborilmaydigan IP eshittirish yoki multicast paketlarni chiqarish: tcpdump "eter & 1 = 0 va ip> = 224" Echo so'rovlari/javoblari bo'lmagan barcha ICMP paketlarini chiqarish (ya'ni, ping-paketlar emas): tcpdump "icmp! = 8 va icmp! = 0" Elis D. Saemon tomonidan Men sevganim... Uzoq vaqt oldin ... NetXRay mening ko'rish sohamga kirgan birinchi hidlovchi edi. Keyin, 1997 yilda ushbu ingliz tilidagi dastur Windows-ga yo'naltirilgan tarmoqchilar doiralarida shov-shuvga sabab bo'ldi. Yillar o'tdi, lekin NetXRay ning eski versiyasi (3.0.1) hali ham xizmatda, mening kundalik ishimda. ish stantsiyasi... Bugungi kunda mahsulot Sniffer Basic deb o'zgartirildi, ba'zi yangi xususiyatlar qo'shildi, biroq, boshqa tomondan, asosiy funksionallik 3.0.1 dan beri o'zgarishsiz qoldi. Bu NetXRay 3.0.1 ning gazetada tasvirlanishining birinchi sababi. Ikkinchi sabab ... (qaroqchilarga qarshi politsiyaga qarab) juda qimmat mahsulot (£ 1,643, ya'ni sterling) va sinov cheklovlari juda jiddiy. Shunday qilib, boshlaylik. Paket turli funktsiyalar to'plamidan iborat bo'lib, uni sniffer emas, balki tarmoq analizatori deb atash mumkin. Barcha funktsiyalar (modullar) "Asboblar" menyusida guruhlangan, turli xil sozlamalar ham mavjud. Keling, ulardan boshlaylik. Siz joriy prob o'tkazilayotgan adapterni tanlashingiz mumkin. Adapter NDIS 3.0 / 3.1 standartini qo'llab-quvvatlashi kerak. Diqqat, xato! Agar siz NetXRay-ni adapterga "noto'g'ri" o'rnatgan bo'lsangiz yoki u tarmoq sathida dekodlay olmaydigan paketlarni (masalan, egri bo'laklangan paketlarni yuboradigan ekspluatatsiyalardan trafik) dekodlash bosqichida (protokol tahlili) ni qo'lga kiritsangiz. ) dastur mahkam osilgan ... Siz bir vaqtning o'zida bir nechta interfeyslarni sinab ko'rishingiz mumkin, ular uchun dasturning bir nechta gipostazlari (problar) yaratilgan. Mavjud bo'lganlarning barcha sozlamalari yangi probga ko'chirilishi mumkin. Variantlar ichida siz quyidagi narsalarni sozlashingiz mumkin: tashqi ko'rinish ish stoli, turli protokollar uchun standart port raqamlari (3 variant - tarmoq ilovalari nostandart portlarda ishlayotgan hollarda juda foydali), hodisa boshlanishiga munosabat, har xil turdagi statistika uchun chegara qiymatlari va boshqalar. Xo'sh, endi paketning funktsional modullariga o'tamiz. Download 101.96 Kb. Do'stlaringiz bilan baham: 
|