контроль трафика

 

TEvg

аксакал

админ. бан
Люди! Требуется прога которая бы видела что идет по FTP т.е. весь трафик, пересылаемые файлы, чтобы работала прозрачно.

И еще - я асевый пароль забыл, хотя аська автологиниться и работает. Но ежели чего накроется, то все. Надо бы пароль подсмотреть. Т.е. аналогичная прога нужна.
 

BrAB

аксакал
★☆
TEvg> Люди! Требуется прога которая бы видела что идет по FTP т.е. весь трафик, пересылаемые файлы, чтобы работала прозрачно.
TEvg> И еще - я асевый пароль забыл, хотя аська автологиниться и работает. Но ежели чего накроется, то все. Надо бы пароль подсмотреть. Т.е. аналогичная прога нужна.

ethereal, tcpdump.
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  

TEvg

аксакал

админ. бан
не пойму как работает ethereal. У меня он ничего не показывает.
 

BrAB

аксакал
★☆
TEvg> не пойму как работает ethereal. У меня он ничего не показывает.

перехватывает пакеты идущие через сетевой интерфей. запускаешь - и вперед
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  

TEvg

аксакал

админ. бан
ниче не показывает.
браб хоть бы скриншоты сделал бы.
 

BrAB

аксакал
★☆
TEvg> ниче не показывает.
TEvg> браб хоть бы скриншоты сделал бы.

ох... ну вот тебе
Прикреплённые файлы:
eth.JPG (скачать) [359,94 кбайт, 19 загрузок] [attach=45862]
 
 
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  

TEvg

аксакал

админ. бан
Браб, у меня даже прога отличается.
И к тому же она не работает.
Может пришлешь по почте правильную инсталяшку?
 

BrAB

аксакал
★☆
TEvg> Браб, у меня даже прога отличается.
TEvg> И к тому же она не работает.
TEvg> Может пришлешь по почте правильную инсталяшку?

женя, кошерные инсталяшки лежат (кто бы мог подумать) на Ethereal: A Network Protocol Analyzer (10 метров)
прислать я конечно могу - но нафига мне что-то присылать человеку, который со мной в аське принципиально отказывается общаться?
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  

TEvg

аксакал

админ. бан
>но нафига мне что-то присылать человеку, который со мной в аське принципиально отказывается общаться?

Сам достал, а теперь жалуется.
 

BrAB

аксакал
★☆
>>но нафига мне что-то присылать человеку, который со мной в аське принципиально отказывается общаться?
TEvg> Сам достал, а теперь жалуется.

хых. кто ж знал что у тебя уровень самоиронии такой низкий :)

вообще была прога ещё более удобная чем ethereal - но 1-я забыл как называется 2 - она под линукс
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  

BrAB

аксакал
★☆
>>но нафига мне что-то присылать человеку, который со мной в аське принципиально отказывается общаться?
TEvg> Сам достал, а теперь жалуется.

вообще линукс конечно в этом рулит. там man tcpdump - вплодь до просветления :D
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  

TEvg

аксакал

админ. бан
Скачал, поставил, не работает. Как настроить?
Прикреплённые файлы:
Ethereal.gif (скачать) [13,22 кбайт, 10 загрузок] [attach=46035]
 
 
 
+
-
edit
 

Mishka

модератор
★★☆
Ты на каком интерфейсе её запустил?
 
+
-
edit
 

Пытаясь понять рекурсию, следи за тем, чтобы она не поняла тебя первой...  

BrAB

аксакал
★☆
Abaddon> TCPDUMP (command-line sniffer/analyzer) for Windows

некошерно :) ethereal рулит.

Зю Ыю женя - поменяй интерфейс. Capture - interfaces
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  

TEvg

аксакал

админ. бан
В общем перехватывает трафик. Но только ограниченное число протоколов (см. окошко capture) типа TCP, UDP, IPX и т.д.

Мне надо:

1. перехватить ICQ
2. перехватить FTP
3. перехватить все для выбранной программы
4. перехватить все по выбранному адресу.

Как настроить программу?
Прикреплённые файлы:
3.gif (скачать) [24,71 кбайт, 12 загрузок] [attach=46228]
 
 
 
+
-
edit
 

Mishka

модератор
★★☆
Женя, help читать не пробовал? А для чего тебе перехват траффика? Это анализатор траффика, а вовсен не учёт его.

Смотри, вот перехват траффика по FTP (упрощённый) к моему web hosting — такая строка:

(port 20 or port 21) and host evstiounina.us

А на картинке она в фильтрах стоит.
Прикреплённые файлы:
ethereal0.JPG (скачать) [61,03 кбайт, 10 загрузок] [attach=46232]
 
 
 
+
-
edit
 

Mishka

модератор
★★☆
Для перехвата траффика выбранной программы — надо знать какие порты на каких протоколах она открывает. Чтобы узнать я пользуюсь программкой ActivePorts.

Если ICQ стандартный, то работает он — смотри на картинке — а строка будет примерно:
(port 47 and udp) or (tcp and host 205.189.9.148 and port 5190) or (tcp and port 80)
Но 80 порт — он по нему рекламу получает — можно и опустить.
Прикреплённые файлы:
ActivePorts.JPG (скачать) [172,91 кбайт, 7 загрузок] [attach=46233]
 
 
 
+
-
edit
 

Mishka

модератор
★★☆
Вот, из хелпа:
Filtering packets while capturing


Capture Filters are used to filter out uninteresting packets already at capture time. This is done to reduce the size of the resulting capture (file) and is especially useful on high traffic networks or for long term capturing.

Ethereal uses the pcap (libpcap/WinPcap) filter language for capture filters. This language is explained in the tcpdump man page (http://www.tcpdump.org).

Note: This capture filter language is different from the one used for the Ethereal display filters!




Some common examples


Example Ethernet: capture all traffic to and from the Ethernet address 08:00:08:15:ca:fe

ether host 08:00:08:15:ca:fe

Example IP: capture all traffic to and from the IP address 192.168.0.10

host 192.168.0.10

Example TCP: capture all traffic to and from the TCP port 80 (http) of all machines

tcp port 80

Examples combined: capture all traffic to and from 192.168.0.10 except http

host 192.168.0.10 and not tcp port 80

Beware: if you capture TCP/IP traffic with the primitives "host" or "port", you will not see the ARP traffic belonging to it!




Capture Filter Syntax


The following is a short description of the capture filter language syntax. For a further reference, have a look at: Manpage of TCPDUMP

A capture filter takes the form of a series of primitive expressions, connected by conjunctions (and/or) and optionally preceeded by not:

[not] primitive [and|or [not] primitive ...]

A primitive is simply one of the following:

[src|dst] host <host>

This primitive allows you to filter on a host IP address or name. You can optionally preceed the primitive with the keyword src|dst to specify that you are only interested in source or destination addresses. If these are not present, packets where the specified address appears as either the source or the destination address will be selected.

ether [src|dst] host <ehost>

This primitive allows you to filter on Ethernet host addresses. You can optionally include the keyword src|dst between the keywords ether and host to specify that you are only interested in source or destination addresses. If these are not present, packets where the specified address appears in either the source or destination address will be selected.

gateway host <host>

This primitive allows you to filter on packets that used host as a gateway. That is, where the Ethernet source or destination was host but neither the source nor destination IP address was host.

[src|dst] net <net> [{mask <mask>}|{len <len>}]

This primitive allows you to filter on network numbers. You can optionally preceed this primitive with the keyword src|dst to specify that you are only interested in a source or destination network. If neither of these are present, packets will be selected that have the specified network in either the source or destination address. In addition, you can specify either the netmask or the CIDR (Classless Inter-Domain Routing) prefix for the network if they are different from your own.

[tcp|udp] [src|dst] port <port>

This primitive allows you to filter on TCP and UDP port numbers. You can optionally preceed this primitive with the keywords src|dst and tcp|udp which allow you to specify that you are only interested in source or destination ports and TCP or UDP packets respectively. The keywords tcp|udp must appear before src|dst.
If these are not specified, packets will be selected for both the TCP and UDP protocols and when the specified address appears in either the source or destination port field.

less|greater <length>

This primitive allows you to filter on packets whose length was less than or equal to the specified length, or greater than or equal to the specified length, respectively.

ip|ether proto <protocol>

This primitive allows you to filter on the specified protocol at either the Ethernet layer or the IP layer.

ether|ip broadcast|multicast

This primitive allows you to filter on either Ethernet or IP broadcasts or multicasts.

<expr> relop <expr>

This primitive allows you to create complex filter expressions that select bytes or ranges of bytes in packets. Please see the tcpdump man pages for more details.
 
 

TEvg

аксакал

админ. бан
Mishka> Женя, help читать не пробовал? А для чего тебе перехват траффика? Это анализатор траффика, а вовсен не учёт его.

Для его анализа. У меня прога по FTP-файлы отправляет и пишет в логах ОК. А на том конце ругаются и обвиняют в глюках софтины у нас.

Надо разобраться.

Mishka> Смотри, вот перехват траффика по FTP (упрощённый) к моему web hosting — такая строка:
Mishka> (port 20 or port 21) and host evstiounina.us
Mishka> А на картинке она в фильтрах стоит.

Т.е. эту строчку "(port 20 or port 21) and host evstiounina.us" ручками прописать и все?
 
+
-
edit
 

Mishka

модератор
★★☆
TEvg> Для его анализа. У меня прога по FTP-файлы отправляет и пишет в логах ОК. А на том конце ругаются и обвиняют в глюках софтины у нас.
TEvg> Надо разобраться.

А зачем аську мониторить. А на том конце BIN командочку для FTP не забыли выдать? Да и вообще, при передаче программ я рекомендую использовать, скажем, RAR — тогда архив легко проверить на целостность.

TEvg> Т.е. эту строчку "(port 20 or port 21) and host evstiounina.us" ручками прописать и все?

Ну там же фильтр — подстраивай его и всё. На самом деле ты можешь перехватить весь траффик, а потом, при анализе использовать фильтры. Для этого на интерфейсе не надо ставить фильтр. А схавать все данные, сохранить в файл, а потом резвись как хочешь.
 

TEvg

аксакал

админ. бан
просто написал в фильтре "port 20 or port 21"

часть с хостом на us опустил т.к. это видимо америка которая нам не нужна.
 

TEvg

аксакал

админ. бан
аську мониторить надо поскольку я пароль забыл.
но она автологиниться и заходит. А пароль не говорит гадина.
 

TEvg

аксакал

админ. бан
Мишке и Брабу большущее спасибо.
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru