TCPDUMP i niewielkie wskazówki odno

[jmarcin_1984]

Tak się składa, że potrzebny mi w pracy skaner sieciowy tcpdump i przeczytałem, że aby uruchomić ten program to:

Aby móc skorzystać z tcpdumpa, musisz mieć po pierwsze kernel skompilowany z opcją BPF (Berkeley Packet Filter) czyli w konfiguracji kernela musi znaleźć się linijka:

options BPF

Po drugie, musisz mieć urządzenie /dev/bpf* i dostęp do niego.

Wie może ktoś, jak to ugryźć bo jakoś nie bardzo wiem, ani googlowanie nie daje wielkich rezultatów. Będę wdzięczny za wszelkie wskazówki.

[Rad]

Zainstaluj tcpdumpa z repo - na dystrybucyjnym jądrze działa z palca. W ogóle ten opis to do FBSD chyba jest, tam trzeba było dodawać jakieś opcje do kernela.

[jmarcin_1984]

Z instalacją nie miałem problemów, poszło z repozytorium i gra gitara. Ale widzę, że coś ten tcpdump dobrze nie działa. Włączam interfejs w tryb promisc, no i powiedzmy przykładowo daje coś takiego:

Kod: Zaznacz cały

tcpdump -i eth0 src jakieś IP lokalne + inne opcje 

no i niestety nic nie pokazuje się na mojej konsoli?
A może chodzi o to, że siec oparta jest na ruterze, bo właśnie przeczytałem, że taki sniffing możliwy jest tylko na sieci opartej na hubie albo przełączniku. Jak myślicie, czy może trzeba jakiś dodatkowy skrypt uruchomić aby widzieć cały ruch sieciowy na moim interfejsie?

[Rad]

W ruterze jest hub albo przełącznik, u ciebie raczej przełącznik. Tcpdumpa raczej wykorzystuje się do innych celów (w przypadku przełącznika trzeba wykonać pewne czynności dodatkowe, nie wystarczy włączyć sniffer). Jeżeli chcesz sniffować sobie LAN to spróbuj skorzystać np. z ettercapa - łatwo się go obsługuje, poza tym w internecie pewnie znajdziesz jakieś howto.

[jmarcin_1984]

tcpdump to skaner sieciowy i dziala podobnie jak ettercap ...nie chce sniffowac lanu, poprostu chce widziec ktore hosty sa wlaczone w danej chwili, jaki ruch generuja, ogolnie czy caly Lan dobrze działa ...Rad a mozesz napisac jakie czynnosci trzeba wkonac na przelaczniku aby tcpdump ruszyl i pokazywal to co ja chce bede wdzieczny

[winnetou]

Dziękuje...

[Rad]

tcpdump to skaner sieciowy i dziala podobnie jak ettercap ...nie chce sniffowac lanu, poprostu chce widziec ktore hosty sa wlaczone w danej chwili, jaki ruch generuja, ogolnie czy caly Lan dobrze działa ...Rad a mozesz napisac jakie czynnosci trzeba wkonac na przelaczniku aby tcpdump ruszyl i pokazywal to co ja chce bede wdzieczny

Nie wiem co musisz na przełączniku zrobić (możesz nim w ogóle zarządzać, by tam coś robić? ). Na jakimś hoście w lanie zanim odpalisz tcpdumpa musisz wykonać arp spoofing (poisoning) (pokracznie to trochę napisałem ), w internecie znajdziesz instrukcje. W ettercapie masz taką opcję w menu i od razu możesz zacząć podsłuchiwać, dlatego sugerowałem ci, żebyś z niego skorzystał.

[judin]

Odświeżam temat.

Mam tylko pytanie, które dręczy mnie już kilka lat. Mam nadzieję, że w końcu uzyskam tu odpowiedź, jak sobie z tym radzić.

Dla przykładu jak zapuszczam sobie na swoim ruterku:

Kod: Zaznacz cały

tcpdump -i eth1 -X

to dla dwóch użytkowników (ja i żona), na ekranie powłoki jest taki młynek i pakiety zapierniczają, że nie wyobrażam sobie przeczytać jakieś hasło czy tekst, dzięki czemu będę wiedział co i kto wysyła. Jak można sobie z tym radzić?

[darkwater]

Wiedzieć czego się szuka, choćby w przybliżeniu. To nie film aby tak sobie oglądać "na żywo".
Filtrować wyświetlane informacje, pod kątem szukanych informacji i/lub zrzucać je do pliku w celu późniejszej analizy.

Kod: Zaznacz cały

man tcpdump