masterzp1 фев 2014 в 13:29

Фильтры захвата для сетевых анализаторов (tcpdump, Wireshark, Paketyzer)

18 мин

219K

Информационная безопасность *

Туториал

+62

Комментарии 20

Ingtar 1 фев 2014 в 14:25

Большое спасибо)

hardex 1 фев 2014 в 14:40

Кажется, уже поздно, но distance в английском языке никогда не употребляется как прилагательное. «Дистанционное» — remote.

masterzp 1 фев 2014 в 17:34

Вроде достаточно часто встречаемое прилагательное, даже википедия пользуется.
Но все может быть, тут не берусь утверждать однозначно)

zorgzerg 1 фев 2014 в 17:30

Внезапно WS обошел tcpdump… испытываю глубочайшее удивление

navion 1 фев 2014 в 17:43

Он первый в Гугле, поэтому даже на Винде его предпочитают netmon'у.

PTPtupit 1 фев 2014 в 18:11

так он гибче как анализатор… графики там строить можно, отчеты…

grossws 1 фев 2014 в 18:14

Возможно, автору стоило разделить опрос на две части: что используется для захвата, что для анализа.

У меня обычно для захвата (и в меньшей степени для анализа) используется tcpdump, который либо пишет в консоль, либо в файл, либо в pipe. А дальше wireshark для более подробного анализа на рабочей станции.

Ovsiannikov 1 фев 2014 в 18:55

Увы, это не работает, когда размер фала измеряется гигабайтами. wireshark — пытается всё засунуть в память :(

grossws 1 фев 2014 в 19:05

Обычно для этого и нужна фильтрация на уровне libpcap

grossws 1 фев 2014 в 20:09

Причем, никто не запрещает фильтровать записать большой и подробный дамп в pcap-формате, а потом фильтровать его tcpdump'ом для получения более компактных файлов, анализируемых wireshark'ом.

P. S. Кто-то сильно недовольный пробежался по всей ветке и, не пояснив свои минусы, слинял(

morkot 1 фев 2014 в 20:18

Ещё есть консольная утилита tshark от разработчиков wireshark.
P.S. восстановил статус кво.

Intercepter 24 фев 2014 в 15:15

неправда.

masterzp 1 фев 2014 в 20:21

Согласен. так было бы информативней

naszar 2 фев 2014 в 01:18

Поддержу. Часто там, где надо поймать траффик, гуя нет, а смотреть траффик хочется с комфортом. Еще есть cloudshark, избавляет, в некоторых случаях, от необходимости устанавливать wireshark.

mihmig 2 фев 2014 в 12:55

Пользуясь случаем спрошу:
Чем можно посмотреть протокол обмена MS SQL клиента и сервера (в случае, если доступа к серверу нет и встроенным средством мониторинга воспользоваться нет возможности)? Интересуют именно SQL-команды.
(нет, пароль не нужен — он известен и его может показать Cain&Abel)

masterzp 3 фев 2014 в 10:47

Я так понимаю все сильно зависит от того шифруются ли данные? Насколько мне известно MS SQL умеет шифровать. У вас происходит шифрование?

rdntw 3 фев 2014 в 10:41

мне бы было интересней посмотреть статистику кто именно пользуется анализаторами трафика.
администраторы/сетевые инженеры/ разработчики софта/ безопасники.
может кого-то упустил…

masterzp 3 фев 2014 в 10:56

Добавил) понятно, что например, программисты бывают разные, и далеко не всем нужны анализаторы, но тут можно детализировать до бесконечности, так что оставим пока так)

masterzp 4 фев 2014 в 17:53

А задачку так никто и не разобрал?)

pavelsh 17 фев 2014 в 21:14

Разобрал. Фильтр показывает tcp пакеты с/на порт 80, у которых payload не равен 0 (то есть несущих информацию)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий