[LAB] TCPDUMP e WINDUMP
Posted by Voodoo on 02-02-2006 18:25
Salve ragazzi,
prima di usare TCPDUMP,sto provando WinDump,dato che i comandi sono gli stessi.
Allora effettuo il seguente comando,per sniffare il traffico di rete sulla porta 80:
1) se non specifico degli host alla fine,o una sottorete,di default analizza il traffico del mio host?
2)Ho notato che con -s 1500,si vedono perfettamente tutti gli header dei pacchetti,dove invece se lo tolgo vedo solo l'intestazione contenente i metodi GET,POST,ecc. Di preciso il numero cosa indica? La grandezza di dati dei pacchetti che voglio leggere? Ho notato che nel file Dump80 mi ritrovo le intere pagine HTML..
3)Un'altra cosa interessante è il vedere le password spedite con i metodi POST. Se si usano semplici caratteri alfabetici,le lettere si vedono chiaramente,insieme allo username. Se uso come qui sotto, caratteri d'altro tipo,compaiono,come in altre sezioni del file, simboli incomprensibili:la password qui sotto sarebbe vaf54(*),però riesco a leggere nitidamente solo lettere e numeri.
%28 potrebbe essere "("? E l'asterisco? Dove si trovano le codifiche dei caratteri? I simboli incomprensibili sarebbero quelli esadecimali (anche se caratteri come "Ä" non lasciano pensare a caratteri esadecimali)? C'è una maniera di dar loro un senso?
4)Ma è possibile evitare che qualcuno nella LAN,usando questo tool, intercetti le mie password?
Facendo a posteriori delle prove tentando di sniffare il traffico sulla porta 80 di un altro host nella mia LAN,non ho ottenuto alcun risultato,al contrario di quelli ottenuti quando navigavo io in rete. Riesce questo tool,facendolo girare sul mio host A,a "leggere" i pacchetti spediti da un altro host B nella LAN,quando B fa delle richieste a dei server Web?
5) Se tento di leggere il file con:
code:
windump -r Dump80
reading from file Dump80, link-type 538976257
windump: unknown data link type 538976257
[LAB] TCPDUMP e WINDUMP