masterzp 1 фев 2014 в 17:29

Фильтры захвата для сетевых анализаторов (tcpdump, Wireshark, Paketyzer)

18 мин

208K

Информационная безопасность*

Туториал

+63

Комментарии 20

Ingtar 1 фев 2014 в 18:25

Большое спасибо)

hardex 1 фев 2014 в 18:40

Кажется, уже поздно, но distance в английском языке никогда не употребляется как прилагательное. «Дистанционное» — remote.

masterzp 1 фев 2014 в 21:34

Вроде достаточно часто встречаемое прилагательное, даже википедия пользуется.
Но все может быть, тут не берусь утверждать однозначно)

zorgzerg 1 фев 2014 в 21:30

Внезапно WS обошел tcpdump… испытываю глубочайшее удивление

navion 1 фев 2014 в 21:43

Он первый в Гугле, поэтому даже на Винде его предпочитают netmon'у.

PTPtupit 1 фев 2014 в 22:11

так он гибче как анализатор… графики там строить можно, отчеты…

grossws 1 фев 2014 в 22:14

Возможно, автору стоило разделить опрос на две части: что используется для захвата, что для анализа.

У меня обычно для захвата (и в меньшей степени для анализа) используется tcpdump, который либо пишет в консоль, либо в файл, либо в pipe. А дальше wireshark для более подробного анализа на рабочей станции.

Ovsiannikov 1 фев 2014 в 22:55

Увы, это не работает, когда размер фала измеряется гигабайтами. wireshark — пытается всё засунуть в память :(

grossws 1 фев 2014 в 23:05

Обычно для этого и нужна фильтрация на уровне libpcap

grossws 2 фев 2014 в 00:09

Причем, никто не запрещает фильтровать записать большой и подробный дамп в pcap-формате, а потом фильтровать его tcpdump'ом для получения более компактных файлов, анализируемых wireshark'ом.

P. S. Кто-то сильно недовольный пробежался по всей ветке и, не пояснив свои минусы, слинял(

morkot 2 фев 2014 в 00:18

Ещё есть консольная утилита tshark от разработчиков wireshark.
P.S. восстановил статус кво.

Intercepter 24 фев 2014 в 19:15

неправда.

masterzp 2 фев 2014 в 00:21

Согласен. так было бы информативней

naszar 2 фев 2014 в 05:18

Поддержу. Часто там, где надо поймать траффик, гуя нет, а смотреть траффик хочется с комфортом. Еще есть cloudshark, избавляет, в некоторых случаях, от необходимости устанавливать wireshark.

mihmig 2 фев 2014 в 16:55

Пользуясь случаем спрошу:
Чем можно посмотреть протокол обмена MS SQL клиента и сервера (в случае, если доступа к серверу нет и встроенным средством мониторинга воспользоваться нет возможности)? Интересуют именно SQL-команды.
(нет, пароль не нужен — он известен и его может показать Cain&Abel)

masterzp 3 фев 2014 в 14:47

Я так понимаю все сильно зависит от того шифруются ли данные? Насколько мне известно MS SQL умеет шифровать. У вас происходит шифрование?

rdntw 3 фев 2014 в 14:41

мне бы было интересней посмотреть статистику кто именно пользуется анализаторами трафика.
администраторы/сетевые инженеры/ разработчики софта/ безопасники.
может кого-то упустил…

masterzp 3 фев 2014 в 14:56

Добавил) понятно, что например, программисты бывают разные, и далеко не всем нужны анализаторы, но тут можно детализировать до бесконечности, так что оставим пока так)

masterzp 4 фев 2014 в 21:53

А задачку так никто и не разобрал?)

pavelsh 18 фев 2014 в 01:14

Разобрал. Фильтр показывает tcp пакеты с/на порт 80, у которых payload не равен 0 (то есть несущих информацию)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий