Обычно только один или два
Обычно только один или два из этих флагов установлены (биты заданы как единица), но, как мы видели в лекции 4, ничто не мешает отправить пакет со всеми битами взведенными (сканирование XMAS) или выключенными (сканирование NULL), чтобы попытаться запутать удаленную систему.
Следом располагается контрольная сумма TCP и указатель срочности. Затем идет строка со всеми TCP-опциями пакета, такими как дополнительные контрольные суммы, метки времени и т.д. Эта строка дополняется до 32 бит нулями, если опции не заполняют ее целиком. Наконец, следует полезная нагрузка - данные пакета. Может показаться, что на отправку одного пакета уходит слишком много накладных административных расходов (примерно 48 байт для каждого пакета), но это на самом деле обеспечивает относительно устойчивое соединение в сети, которая не всегда обладает сквозной надежностью (как Интернет). В действительности, чтобы избежать дополнительных расходов TCP, некоторые протоколы, не требующие соединения, используют UDP - протокол без установления соединений с меньшими накладными расходами.
В стандартном сеансе Tcpdump с обычным уровнем подробности вывода вы увидите метку времени, за которой следует порядковый номер TCP. Затем выдаются IP-части, включая исходный и целевой адреса, разделенные знаком > (больше), означающим, что пакет идет отсюда туда. В конце располагается информационное поле, которое показывает, что делает пакет. Можно использовать опции -v или -vv, чтобы получить от Tcpdump более подробные данные о заголовке (см. следующий раздел).
Обычно вы будете запускать Tcpdump с некоторыми установленными опциями или фильтрами, чтобы уменьшить и сфокусировать вывод. Общий вид инструкции запуска Tcpdump таков:
Tcpdump опции выражения
Замените опции и выражения одной или несколькими допустимыми переменными. Опции Tcpdump перечислены в табл. 6.2.
| -a | Пытается преобразовать адреса в имена. Это создает дополнительную нагрузку на систему и может привести к потере пакетов |
| -c число | Останавливает Tcpdump после обработки заданного числа пакетов |
| -C размер_файла | Ограничивает размер выходных файлов заданным числом байт |
| -d | Выдает процедуру сопоставления пакетов с образцом в удобочитаемом виде и затем останавливается |
| -dd | Выдает процедуру сопоставления пакетов с образцом в виде фрагмента программы на языке Си |
| -ddd | Выдает процедуру сопоставления пакетов с образцом в виде десятичных чисел |
| -e | В каждой строке выдачи печатает заголовок канального уровня (в сетях Ethernet это MAC-адрес) |
| -E алгоритм:секрет | Использует встроенную в Tcpdump возможность расшифровывать на лету пакеты, зашифрованные по протоколу IPsec ESP. Разумеется, чтобы использовать эту опцию, вы должны располагать разделяемым секретным ключом. В число возможных значений параметра "алгоритм" входят des-cbc, 3des-cdc, blowfish-cbc, r3c-cbc, приведенный 128-cbc. Кроме того, оно может быть пустым. По умолчанию используется des-cbc. Значением параметра "секрет" должен служить секретный ключ ESP в текстовом виде. Дополнительную информацию об IPsec можно найти в лекции 9 |
| -F файл | Использует файл (а не сеть) для ввода данных. Это удобно для анализа событий "постфактум". |
| -i интерфейс | Читает из заданного интерфейса, когда на анализирующей машине имеется несколько сетевых интерфейсов. По умолчанию Tcpdump использует действующий интерфейс с наименьшим номером. В системах Linux можно использовать также параметр any для перехвата пакетов из всех сетевых интерфейсов |
| -n | Не преобразовывает адреса в имена |
| -N | Не печатает в именах хостов имя домена вышележащего уровня. Это полезно, если вам необходимо представить обезличенную версию вывода и вы не хотите раскрывать, чья это сеть |
| -p | Не переводит интерфейс в режим прослушивания. Используется только при исследовании трафика, направленного в анализирующий компьютер |
| -q | Печатает быстрый вывод. Печатается меньше протокольной информации, поэтому строки оказываются короче |
| -T тип | Заставляет интерпретировать пакеты, выбранные заданным в выражении фильтром, в соответствии с указанным типом |
| -t | Не печатает метку времени в каждой строке |
| -tt | Печатает неформатированную метку времени в каждой строке |
| -ttt | Печатает интервал времени между пакетами |
| -tttt | Печатает в каждой строке дату, а затем метку времени в подразумеваемом формате |
| -v | Использует чуть более подробный вывод, включающий время жизни, идентификатор, общую длину и поля опций каждого пакета |
| -vv | Предоставляет более детальный вывод. Пакеты NFS и SMB полностью декодируются |
| -vvv | Предоставляет еще более подробный вывод. Это может существенно замедлить работу анализатора |
| -w имя_файла | Записывает пакеты в указанный файл вместо вывода их на экран. Таким образом результаты "вынюхивания" без участия человека можно сохранить и проанализировать их позже. Например, если в вашей сети происходят какие-то странные вещи, вы можете запустить Tcpdump на ночь, чтобы перехватить весь необычный трафик. Не забудьте написать хороший фильтр, иначе полученный наутро файл может оказаться слишком большим |
| -x | Выводит каждый пакет (без заголовка канального уровня) в шестнадцатеричном виде. |
| -X | Выводит содержимое пакетов и в шестнадцатеричном, и в текстовом видах |
Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий