Re: lug-bg: honeypots -> snoop - network packet analysis
- Subject: Re: lug-bg: honeypots -> snoop - network packet analysis
- From: George Danchev <danchev@xxxxxxxxx>
- Date: Sun, 17 Aug 2003 23:28:18 +0300
On Sunday 17 August 2003 21:29, Nickola Kolev wrote:
> Здрасти, Георги,
>
> On Sun, 17 Aug 2003 19:36:18 +0300
> George Danchev <danchev@xxxxxxxxx> wrote:
>
> [ много кръц, макар че е интересно ]
>
> : показва инфо за всички Layers по OSI като тази (без физическия де;-).
> : Хайде да кажем на приложния слой горе долу е ясно как ще се дъмпи хедъра
> : на пакета (HTTP някъф да речем), обаче как се добират с user space app
> : до хедърите на слоевете които са реализирани в ядрото (явно се репортват
> : някъде?) Въпроса е някой може ли да предложи нещо подобно обаче като
> : една утилка. (иначе сядам да пиша ... шегувам се;-)
>
> Мммм, поне на мен ethereal - www.ethereal.com ми върши прекрасна работа.
> Едва ли го чуваш за първи път, но той може да върши всичко това. Ако не те
> устройва, провери за ettercap, но пък на тая утилка ме мързи да й търся
> сайта.
Мда така е Никола ползвам ethereal, наистина е много пълен инструмент, т.е.
позавършен (е и tcpdump де;-). Обаче, имам чувството (не съм сигурен де;-),
че това snoop показва за всеки пакет всяко поле от заглавната част на
различните протоколи от различните слоете (от L2-L7, 5, 6 и 7 са обединени
де). За ethereal доколкото го познавам (докато някой не ме поправи де) не
мога да видя разбираемо полетата на заглавната част на Ether (Token-Ring)
(L2), ако е Ether версията, както е дадено в дока за snoop..., не отбира от
AppleTalk и decnet (L3) (snoop показва), а за IPv4 не намирам изглед на
6-битовото DSCP поле, което трябва да е в рамките TOS (незнам дали това snoop
го изплюва де). Освен това пак на IP има поле protocol (напр. 6 е за TCP)
(http://www.iana.org/assignments/protocol-numbers), обозначаващ този над него
(на L4) пак не го наблюдавам с ethereal (или поне аз не го виждам стойността
на полето protocol). Освен това опционалното IP поле Options (No options)
(http://www.iana.org/assignments/ip-parameters)
За IPv6 специфичните полета вече незнам. Не показва всички полета на TCP или
друго от L4. Въобще не е нужно аз да знам полетата за всеки протокол на даден
слой, добре е util-а да плюе всичко ... ако може де, пък аз ще се сетя ;-)
Май някой Solaris фен трябва да обади заслужава ли си snoop да се види или не,
и как ако не искам на Solaris, а на някой free os...
--
pub 4096R/0E4BD0AB 2003-03-18 <keyserver.bu.edu>
1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|