Dsy Network www | forum | my | didattica | howto | wiki | el goog | stats | blog | dona | rappresentanti
Homepage
 Register   Calendar   Members  Faq   Search  Logout 
.dsy:it. : Powered by vBulletin version 2.3.1 .dsy:it. > Didattica > Corsi N - Z > Sicurezza > [LAB] TCPDUMP e WINDUMP
  Last Thread   Next Thread
Author
Thread    Expand all | Contract all    Post New Thread    Post A Reply
Collapse
Voodoo
.grande:maestro.

User info:
Registered: Jan 2004
Posts: 1009 (0.13 al dì)
Location: Pisa
Corso: com. dig.
Anno: dottore :)
Time Online: 6 Days, 23:28:00: [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged
 TCPDUMP e WINDUMP

Salve ragazzi,
prima di usare TCPDUMP,sto provando WinDump,dato che i comandi sono gli stessi.
Allora effettuo il seguente comando,per sniffare il traffico di rete sulla porta 80:

code:

>windump -XX -s 1500 -w Dump80 -i nomeInterfacciaRete port 80


1) se non specifico degli host alla fine,o una sottorete,di default analizza il traffico del mio host?
2)Ho notato che con -s 1500,si vedono perfettamente tutti gli header dei pacchetti,dove invece se lo tolgo vedo solo l'intestazione contenente i metodi GET,POST,ecc. Di preciso il numero cosa indica? La grandezza di dati dei pacchetti che voglio leggere? Ho notato che nel file Dump80 mi ritrovo le intere pagine HTML..
3)Un'altra cosa interessante è il vedere le password spedite con i metodi POST. Se si usano semplici caratteri alfabetici,le lettere si vedono chiaramente,insieme allo username. Se uso come qui sotto, caratteri d'altro tipo,compaiono,come in altre sezioni del file, simboli incomprensibili:la password qui sotto sarebbe vaf54(*),però riesco a leggere nitidamente solo lettere e numeri. 
code:

CryptPswd=&password=vaf54%28%2B%29ù>âC=> ‚  ‚   ò9ÄF =I_

%28 potrebbe essere "("? E l'asterisco? Dove si trovano le codifiche dei caratteri? I simboli incomprensibili sarebbero quelli esadecimali (anche se caratteri come "Ä" non lasciano pensare a caratteri esadecimali)? C'è una maniera di dar loro un senso?
4)Ma è possibile evitare che qualcuno nella LAN,usando questo tool, intercetti le mie password?
Facendo a posteriori delle prove tentando di sniffare il traffico sulla porta 80 di un altro host nella mia LAN,non ho ottenuto alcun risultato,al contrario di quelli ottenuti quando navigavo io in rete. Riesce questo tool,facendolo girare sul mio host A,a "leggere" i pacchetti spediti da un altro host B nella LAN,quando B fa delle richieste a dei server Web?
5) Se tento di leggere il file con:
code:

windump -r Dump80
reading from file Dump80, link-type 538976257
windump: unknown data link type 538976257

Di preciso che errore sarebbe?

Grazie

__________________
GET DROPBOX
# il grado di lentezza è direttamente proporzionale all'intensità della memoria;il grado di velocità è direttamente proporzionale all'intensità dell'oblio (Kundera) #
BLOG: Byte Strike
ChRiS :ciao:

Last edited by Voodoo on 02-02-2006 at 22:32
02-02-2006 18:25
Click Here to See the Profile for Voodoo Click here to Send Voodoo a Private Message Visit Voodoo's homepage! Find more posts by Voodoo Add Voodoo to your buddy list Printer Friendly version Email this Article to a friend Reply w/Quote
Collapse
sullivan
.precettore.

User info:
Registered: Oct 2004
Posts: 86 (0.01 al dì)
Location:
Corso:
Anno:
Time Online: 9:13:18 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged
 Re: TCPDUMP e WINDUMP

Ciao,

Originally posted by Voodoo
[B]Salve ragazzi,
prima di usare TCPDUMP,sto provando WinDump,dato che i comandi sono gli stessi.
Allora effettuo il seguente comando,per sniffare il traffico di rete sulla porta 80:
code:

>windump -XX -s 1500 -w Dump80 -i nomeInterfacciaRete port 80



In realta` WinDump dovrebbe rappresentare il porting di tcpdump, ma non e` detto che si comporti in modo identico a quest'ultimo, pertanto, consiglio di sforzarsi a fare le prove con tcpdump.


1) se non specifico degli host alla fine,o una sottorete,di default analizza il traffico del mio host?

No, riceve tutto (scremato da eventuali regole) il traffico che viene ricevuto sull'interfaccia specificata con il flag -i; nel caso non ci sia, dovrebbe prendere la prima UP non loopback

2)Ho notato che con -s 1500,si vedono perfettamente tutti gli header dei pacchetti,dove invece se lo tolgo vedo solo l'intestazione contenente i metodi GET,POST,ecc. Di preciso il numero cosa indica? La grandezza di dati dei pacchetti che voglio leggere? Ho notato che nel file Dump80 mi ritrovo le intere pagine HTML..

-s sta per "snaplen" ovvero la dimensione massima del frame catturato. Su reti ethernet, tale frame ha dimensione massima di 1500 byte di dati; si esclude quindi la dimensione dell'header ethernet (14 byte) e di eventuale padding e/o FCS (inserito in genere dall'hardware).

Ricordo che queste informazioni sono scritte nella man page; sarebbe utile abituarsi ad usarle :-)

3)Un'altra cosa interessante è il vedere le password spedite con i metodi POST. Se si usano semplici caratteri alfabetici,le lettere si vedono chiaramente,insieme allo username. Se uso come qui sotto, caratteri d'altro tipo,compaiono,come in altre sezioni del file, simboli incomprensibili:la password qui sotto sarebbe vaf54(*),però riesco a leggere nitidamente solo lettere e numeri. 
code:

CryptPswd=&password=vaf54%28%2B%29ù>âC=> ‚  ‚   ò9ÄF =I_

%28 potrebbe essere "("? E l'asterisco? Dove si trovano le codifiche dei caratteri? I simboli incomprensibili sarebbero quelli esadecimali (anche se caratteri come "Ä" non lasciano pensare a caratteri esadecimali)? C'è una maniera di dar loro un senso?

%28 e` la codifica esadecimale del carattere ASCII '(', come %2A e` di '*' e %2B e` del '+'. La codifica dei caratteri ASCII stambabili a 7-bit (0-127) si puo` trovare con un semplice "man ascii" su sistemi Unix.

L'A con l'umlaut (Ä) non e` considerata carattere ASCII stampabile a 7-bit perche` la sua codifica e` 0xc4 (la vedresti come %c4) -> codifica ASCII a 8-bit. Esistono ovviamente altre codifiche (Unicode, ad es) necessarie per poter rappresentare altri insiemi di caratteri.

4)Ma è possibile evitare che qualcuno nella LAN,usando questo tool, intercetti le mie password?

Il discorso e` abbastanza lungo e la risposta che segue e` decisamente troppo sintetica perche` andrebbe fatto un discorso su reti LAN su hub, switch e relative considerazioni sugli attacchi possibili (spoofing, hijacking, ack storm, arp poisoning, etc)... cmq si, si puo` evitare cifrando i dati, sostanzialmente.

Facendo a posteriori delle prove tentando di sniffare il traffico sulla porta 80 di un altro host nella mia LAN,non ho ottenuto alcun risultato,al contrario di quelli ottenuti quando navigavo io in rete. Riesce questo tool,facendolo girare sul mio host A,a "leggere" i pacchetti spediti da un altro host B nella LAN,quando B fa delle richieste a dei server Web?

Mi riallaccio a quanto detto sopra; presuppongo che i due host appartengano alla stessa LAN e che siano collegati tramite switch; lo switch non replica il traffico a tutti gli host, ma solo a quelli "giusti" -> per fare quello che vuoi fare si puo` procedere in tanti modi e uno dei tanti prevede di portare a termine un attacco che prende il nome di ARP poisoning (perche` si va ad avvelenare la cache ARP degli host bersaglio di tale attacco). Maggiori delucidazioni, in genere, a ricevimento studenti e/o cercando in giro (scusate ma diventa decisamente complicato e lungo, a volte, rispondere ai forum -- cerco di lasciare delle parole chiave che, cmq, potrebbero aiutare a recuperare informazioni a riguardo).

5) Se tento di leggere il file con:
code:

windump -r Dump80
reading from file Dump80, link-type 538976257
windump: unknown data link type 538976257

Di preciso che errore sarebbe?

Che il tool non riesce a capire il tipo di data link (e.g. Ethernet, Token Ring, etc) su cui il traffico memorizzato nel file e` stato catturato.

bye,
Lorenzo
13-02-2006 10:58
Click Here to See the Profile for sullivan Click here to Send sullivan a Private Message Find more posts by sullivan Add sullivan to your buddy list Printer Friendly version Email this Article to a friend Reply w/Quote
Collapse
Voodoo
.grande:maestro.

User info:
Registered: Jan 2004
Posts: 1009 (0.13 al dì)
Location: Pisa
Corso: com. dig.
Anno: dottore :)
Time Online: 6 Days, 23:28:00: [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Mi scuso per le ovvietà e grzie per la risposta :)

__________________
GET DROPBOX
# il grado di lentezza è direttamente proporzionale all'intensità della memoria;il grado di velocità è direttamente proporzionale all'intensità dell'oblio (Kundera) #
BLOG: Byte Strike
ChRiS :ciao:
13-02-2006 11:08
Click Here to See the Profile for Voodoo Click here to Send Voodoo a Private Message Visit Voodoo's homepage! Find more posts by Voodoo Add Voodoo to your buddy list Printer Friendly version Email this Article to a friend Reply w/Quote
Collapse
sullivan
.precettore.

User info:
Registered: Oct 2004
Posts: 86 (0.01 al dì)
Location:
Corso:
Anno:
Time Online: 9:13:18 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Ciao,

Originally posted by Voodoo
Mi scuso per le ovvietà e grzie per la risposta :)


nono, niente ovvieta`, ci mancherebbe... per alcune cose le pagine di manuale sono l'ideale, per altre no :-)

bye,
Lorenzo
13-02-2006 12:08
Click Here to See the Profile for sullivan Click here to Send sullivan a Private Message Find more posts by sullivan Add sullivan to your buddy list Printer Friendly version Email this Article to a friend Reply w/Quote
Collapse
gatto
.novellino.

User info:
Registered: Apr 2007
Posts: 2 (0.00 al dì)
Location:
Corso:
Anno:
Time Online: 0:08:14 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged
 Informazioni

Scusate ragazzi...sono uno studente di elettronica messo alle prese con TCPDUMP e WINDUMP.

Scusate se faccio domande profane.
Il fatto è che mi servono solo alcune cose su questi programmi e perderei forse settimane se mi devo mettere da solo a capire tutto.

Per la mia tesi il prof mi ha chiesto di generare un traffico di dati con uno di questi 2 programmi e sto quindi provando a capire come funzionano, windump in particolare.

Ho trovato questo forum e mi permetto di intromettermi :-)

Dove posso trovare innanzitutto un manuale di windump, avete qualche link?

Per analizzare un traffico di dati come faccio?
mi interessa sapere principalmente quanti pacchetti mi arrivano al secondo.
Può windump generare grafici?

Grazie mille in anticipo per qualsiasi risposta....davvero grazie
15-05-2007 11:33
Click Here to See the Profile for gatto Click here to Send gatto a Private Message Find more posts by gatto Add gatto to your buddy list Printer Friendly version Email this Article to a friend Reply w/Quote
Collapse
gatto
.novellino.

User info:
Registered: Apr 2007
Posts: 2 (0.00 al dì)
Location:
Corso:
Anno:
Time Online: 0:08:14 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged
 Re: Informazioni

Originally posted by gatto
Scusate ragazzi...sono uno studente di elettronica messo alle prese con TCPDUMP e WINDUMP.

Scusate se faccio domande profane.
Il fatto è che mi servono solo alcune cose su questi programmi e perderei forse settimane se mi devo mettere da solo a capire tutto.

Per la mia tesi il prof mi ha chiesto di generare un traffico di dati con uno di questi 2 programmi e sto quindi provando a capire come funzionano, windump in particolare.

Ho trovato questo forum e mi permetto di intromettermi :-)

Dove posso trovare innanzitutto un manuale di windump, avete qualche link?

Per analizzare un traffico di dati come faccio?
mi interessa sapere principalmente quanti pacchetti mi arrivano al secondo.
Può windump generare grafici?

Grazie mille in anticipo per qualsiasi risposta....davvero grazie

15-05-2007 11:34
Click Here to See the Profile for gatto Click here to Send gatto a Private Message Find more posts by gatto Add gatto to your buddy list Printer Friendly version Email this Article to a friend Reply w/Quote
Collapse
Viry
dsy moderator

User info:
Registered: Oct 2002
Posts: 2429 (0.29 al dì)
Location: Milano
Corso: Ticom
Anno: primo
Time Online: 43 Days, 3:27:12 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged
 Re: Informazioni

Originally posted by gatto

Dove posso trovare innanzitutto un manuale di windump, avete qualche link?


http://www.winpcap.org/windump/docs/default.htm

__________________
When once you have tasted flight, you will walk the earth, forever more, with your eyes turned skyward. For there you have been, and there you long to return.

“Dovere, tempo, destino, tutto tende a separarci e, di fatto, ci separa. Ma il sentimento non conosce frontiere e mi unisce a te come se avessi sempre la mia mano sulla tua"
04-06-2007 17:37
Click Here to See the Profile for Viry Click here to Send Viry a Private Message Find more posts by Viry Add Viry to your buddy list Printer Friendly version Email this Article to a friend Reply w/Quote
All times are GMT. The time now is 07:05.    Post New Thread    Post A Reply
  Last Thread   Next Thread
Show Printable Version | Email this Page | Subscribe to this Thread | Add to Bookmarks

Forum Jump:
Rate This Thread:

Forum Rules:
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts 		HTML code is OFF
vB code is ON
Smilies are ON
[IMG] code is ON
 

Powered by: vBulletin v2.3.1 - Copyright ©2000 - 2002, Jelsoft Enterprises Limited
Mantained by dsy crew (email) | Collabora con noi | Segnalaci un bug | Archive | Regolamento | Licenze | Thanks | Syndacate
Pagina generata in 0.072 seconds (69.04% PHP - 30.96% MySQL) con 26 query.