Корисний "ХАК"

Давайте рассмотрим одну строку из примера вывода:

20:58:26.765637 IP 10.0.0.50.80 > 10.0.0.1.53181: Flags [F.], seq 1, ack 2, win 453, options [nop,nop,TS val 3822939 ecr 249100129], length 0

Каждая строка включает:

Метка времени Unix (20: 58: 26.765637)
протокол (IP)
имя или IP-адрес исходного хоста и номер порта (10.0.0.50.80)
имя хоста или IP-адрес назначения и номер порта (10.0.0.1.53181)
Флаги TCP (Flags [F.]). Указывают на состояние соединения и могут содержать более одного значения:

S — SYN. Первый шаг в установлении соединения
F — FIN. Прекращение соединения
— ACK. Пакет подтверждения принят успешно
P — PUSH. Указывает получателю обрабатывать пакеты вместо их буферизации
R — RST. Связь прервалась
Порядковый номер данных в пакете. (seq 1)
Номер подтверждения. (ack 2)
Размер окна (win 453). Количество байтов, доступных в приемном буфере. Далее следуют параметры TCP
Длина полезной нагрузки данных. (length 0)

Більше »

Сеть напоминает кровеносную систему, а движущиеся по ней пакеты сродни тромбоцитам, лейкоцитам и прочим клеткам крови. Однако не все, что плавает в крови, несет пользу. Периодически в кровь проникает зараза, которая стремится навредить или даже убить весь организм. Чтобы обнаружить и вовремя устранить заболевание, необходимо сдавать кровь на анализы. С аналогичной целью следует анализировать «сетевую кровь». Стандартным инструментом для такого анализа в *nix является утилита tcpdump.
Виртуозное владение опциями командной строки

Утилита tcpdump представляет собой сетевой анализатор пакетов, разработанный Lawrence Berkeley National Laboratory. Если tcpdump запустить без каких-либо параметров, она будет перехватывать все сетевые пакеты и выводить о них информацию. С помощью параметра ‘-i’ можно указать сетевой интерфейс, с которого следует принимать данные:

# tcpdump -i eth2

Більше »

Введение

Зачем нужно анализировать трафик? Знание того, как происходит взаимодействие между компьютерами позволяет более быстро обнаружить и решить возможные проблемы, возникшие в работе сети. Приведу простейший пример: один из компьютеров локальной сети перестает отвечать на запросы. Что могло произойти? Были ли он взломан или это ошибки системного администратора? Если в сети присутствует хорошая система управления логами, то можно много информации узнать из этих файлов. Но что если в них нет ничего подозрительного или, что еще хуже, они были скомпрометированы злоумышленником? Тогда на помощь приходит tcpdump. Эта программа, как скрытая камера, которая показывает, что происходит в данный момент в сети. Благодаря ей вы можете создать специальные фильтры, которые будут отображать только нужный вам трафик.

Конечно tcpdump не единственная программа, умеющая анализировать трафик, существует множество подобных программ, например ethereal. Это очень хорошее средство, быстро развивающееся и, несмотря на казалось бы раннюю версию, (последняя на момент написании статьи версия была 0.10.10) является очень надежной и глубоко продуманной программой. Один только список поддерживаемых протоколов перевалил за 500 (последняя версия, насколько я знаю поддерживает 673 протокола www.ethereal.com/introduction.html )! Почему я использовал именно tcpdump, а не эту программу? Во-первых я привык работать с tcpdump, для использования же ethereal необходимо наличие X-сервера, а я больше люблю работать в консоли. Во-вторых, отчеты ethereal трудно отобразить в печатном виде. И все же я планирую подробно рассказать об этой замечательной программе в одной из своих следующих статей.

Создать подобный цикл статей меня заставило почти полное отсутствие в интернете подробного и понятного описания программы tcpdump, а также того, что с помощью нее можно сделать. Понятно, что тема анализа протоколов TCP/IP очень обширна, описать все возможные виды трафика невозможно, да и не нужно, поэтому я постараюсь описать только самое интересное, и, на мой взгляд, необходимое.
Більше »