Articles of tcpdump

Sudo – Búsqueda DNS (tcpdump)

Me di count de que cuando sudo SomeCommand se cuelga un poco. Empecé a tratar de descubrir qué estaba pasando. Encontré una cosa muy extraña: cuando tcpdump -i wlan0 y luego hago sudo , obtengo esto: IP Jebediah-PC.35662 > gateway.domain: 58284+ A? Jebediah-PC. IP Jebediah-PC.35662 > gateway.domain: 62298+ AAAA? Jebediah-PC. IP Jebediah-PC.45253 > gateway.domain: 22831+ […]

Kill tcpdump process generado por ssh cuando ssh muere

Estamos haciendo una captura remota de tcpdump en Unix, siempre que se mata el ssh (cualquier interrupción, es decir, por ctrl c o cualquier otro) necesitamos que el tcpdump en el otro extremo sea detenido / asesinado. Probamos la mayoría de las opciones enumeradas para matar un process generado por SSH cuando se mata a […]

Comando para conocer el IP de conmutador de networking

Estoy usando el siguiente Switch de networking: HPE ProCurve J8697A Switch 5406zl Software Revision K.14.34 Me recomiendan ejecutar el siguiente command para conocer mi IP de switch de networking: tcpdump -i net0 ether proto 0x88cc -v -c 5 Muestra el siguiente resultado pero no se ejecuta completamente y se queda atascado allí: dropped privs to […]

Eliminar pausas mayores que x del file pcap

Capturé tráfico udp en un file pcap. Al reproducir con tcpreplay-edit , me gustaría acortar todas las pausas (donde no hay tráfico udp) a x seconds máximo. tcpreplay-edit solo tiene un multiplicador de velocidad global. ¿Hay alguna forma automatizada para hacer esto? Idealmente sin recurrir a guis como wireshark , pero cualquier solución es bienvenida.

cómo capturar y ver el contenido del package con tcpdump

Estoy tratando de HTTP tráfico al puerto 8007 en un file y luego verlos más tarde. # tcpdump -i eth0 -s0 -n -w /tmp/capture port 8007 & # tcpdump -r /tmp/capture -A | grep '10.2.1.50' Esperaba ver packages de datos en ASCII, pero eso no sucede. Lo que obtengo es algo así como: 23:03:16.819935 IP […]

tcpdump -i cualquiera y modo promiscuo

Desde la página man para tcpdump 4.1.1 (sí, sé que es anterior) -i Listen on interface. If unspecified, tcpdump searches the system interface list for the lowest numbenetworking, configunetworking up interface (excluding loopback). Ties are broken by choosing > the earliest match. On Linux systems with 2.2 or later kernels, an interface argument of “any'' […]

date y hora como nombre de file de volcado

Estoy usando Gulp para capturar packages a 100Mbps en una carpeta. Pero me gustaría nombrar los files en el formatting trabajo _ <'% Y_% m_% d_% H_% M_% S'>. Pcap, pero da los files job.pcap0, job.pcap2 etc. El script que uso es: sudo ./gulp -f "dst net 24.10.10 or dst net 224.11.11" -i eth1 -r […]

el significado de la salida tcpdump para request / respuesta a DNS

siguiente es parte de la salida de tcpdump: 18:34:15.429373 IP (tos 0x0, ttl 64, id 56078, offset 0, flags [DF], proto UDP (17), length 92) 172.31.8.42.47412 > 172.31.0.2.53: 3383+ [1au] A? www.yahoo.com. (64) 18:34:15.431788 IP (tos 0x0, ttl 64, id 36898, offset 0, flags [none], proto UDP (17), length 129) 172.31.0.2.53 > 172.31.8.42.47412: 3383 3/0/1 […]

¿Cómo modificar la salida de tcpdump para que sea legible?

Tengo un command tcpdump: tcpdump -i wlan0 dst port 80 and ! dst 192.168.1.201 and ! src 192.168.1.201 -vvv -s0 -w proba.txt Lo que da el siguiente resultado: root@SERVER:/tmp# egrep "GET|Host:" proba.txt | awk 'BEGIN {FS=" "}{print $2}' emaffia.hu / google.hu / www.google.hu emaffia.hu /textinputassistant/tia.png www.google.hu /logos/2011/pierre_de_fermat-2011-hp.jpg www.google.hu /gb/images/b_8d5afc09.png ssl.gstatic.com /favicon.ico www.google.hu / hwsw.hu /js/mootools-1.2.5.1-more.js […]

Agregar la ip al filter de tcpdump

Yo uso este command tcpdump para HTTP GET filtrando: tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' ¿Cómo se puede agregar una dirección IP a este filter?