Articles of tcpdump

Kill tcpdump process generado por ssh cuando ssh muere

Estamos haciendo una captura remota de tcpdump en Unix, siempre que se mata el ssh (cualquier interrupción, es decir, por ctrl c o cualquier otro) necesitamos que el tcpdump en el otro extremo sea detenido / asesinado. Probamos la mayoría de las opciones enumeradas para matar un process generado por SSH cuando se mata a […]

Comando para conocer el IP de conmutador de networking

Estoy usando el siguiente Switch de networking: HPE ProCurve J8697A Switch 5406zl Software Revision K.14.34 Me recomiendan ejecutar el siguiente command para conocer mi IP de switch de networking: tcpdump -i net0 ether proto 0x88cc -v -c 5 Muestra el siguiente resultado pero no se ejecuta completamente y se queda atascado allí: dropped privs to […]

Eliminar pausas mayores que x del file pcap

Capturé tráfico udp en un file pcap. Al reproducir con tcpreplay-edit , me gustaría acortar todas las pausas (donde no hay tráfico udp) a x seconds máximo. tcpreplay-edit solo tiene un multiplicador de velocidad global. ¿Hay alguna forma automatizada para hacer esto? Idealmente sin recurrir a guis como wireshark , pero cualquier solución es bienvenida.

cómo capturar y ver el contenido del package con tcpdump

Estoy tratando de HTTP tráfico al puerto 8007 en un file y luego verlos más tarde. # tcpdump -i eth0 -s0 -n -w /tmp/capture port 8007 & # tcpdump -r /tmp/capture -A | grep '10.2.1.50' Esperaba ver packages de datos en ASCII, pero eso no sucede. Lo que obtengo es algo así como: 23:03:16.819935 IP […]

tcpdump -i cualquiera y modo promiscuo

Desde la página man para tcpdump 4.1.1 (sí, sé que es anterior) -i Listen on interface. If unspecified, tcpdump searches the system interface list for the lowest numbenetworking, configunetworking up interface (excluding loopback). Ties are broken by choosing > the earliest match. On Linux systems with 2.2 or later kernels, an interface argument of “any'' […]

date y hora como nombre de file de volcado

Estoy usando Gulp para capturar packages a 100Mbps en una carpeta. Pero me gustaría nombrar los files en el formatting trabajo _ <'% Y_% m_% d_% H_% M_% S'>. Pcap, pero da los files job.pcap0, job.pcap2 etc. El script que uso es: sudo ./gulp -f "dst net 24.10.10 or dst net 224.11.11" -i eth1 -r […]

el significado de la salida tcpdump para request / respuesta a DNS

siguiente es parte de la salida de tcpdump: 18:34:15.429373 IP (tos 0x0, ttl 64, id 56078, offset 0, flags [DF], proto UDP (17), length 92) 172.31.8.42.47412 > 172.31.0.2.53: 3383+ [1au] A? www.yahoo.com. (64) 18:34:15.431788 IP (tos 0x0, ttl 64, id 36898, offset 0, flags [none], proto UDP (17), length 129) 172.31.0.2.53 > 172.31.8.42.47412: 3383 3/0/1 […]

¿Cómo modificar la salida de tcpdump para que sea legible?

Tengo un command tcpdump: tcpdump -i wlan0 dst port 80 and ! dst 192.168.1.201 and ! src 192.168.1.201 -vvv -s0 -w proba.txt Lo que da el siguiente resultado: root@SERVER:/tmp# egrep "GET|Host:" proba.txt | awk 'BEGIN {FS=" "}{print $2}' emaffia.hu / google.hu / www.google.hu emaffia.hu /textinputassistant/tia.png www.google.hu /logos/2011/pierre_de_fermat-2011-hp.jpg www.google.hu /gb/images/b_8d5afc09.png ssl.gstatic.com /favicon.ico www.google.hu / hwsw.hu /js/mootools-1.2.5.1-more.js […]

Agregar la ip al filter de tcpdump

Yo uso este command tcpdump para HTTP GET filtrando: tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' ¿Cómo se puede agregar una dirección IP a este filter?

¿Cómo capturar el tráfico de proxy SQUID a través de tcpdump con información real?

Estoy usando squid como proxy en una configuration pequeña que tiene una NIC interna y una NIC externa. Ahora, al usar tcp, puedo capturar el tráfico en cualquier lado, pero hay un problema que estoy enfrentando. Si capturo el tráfico de una NIC externa, solo da IP de la NIC externa como IP del cliente […]