tcpdump

[idontremember]

Як повісити tcpdump на конкретний віддалений порт?
Наприклад: tcpdump dst remotehost буде виводити всі пакети всіх портів. А як почепити, наприклад, на remotehost 21 порт?

Я колись щось таке витворяв, але здається конкретні порти я шукав у задампованому файлі  :-/

[pawel_chk]

НА віддалений хост ні як.. тспдамп СЛУХАЄ тількі локальні інтерфайси..(то б те що через них пройшло,пішло,проходить). Звичайно можна запустити тспдамп на віддаленому хості,а журнал писати куди завгодно..

[idontremember]

Дивно...   :-/

А які є програми, які дозволяють "себе туди повісити"?

---

Код: [Вибрати]

root@mhost:/home/xuser# tcpdump -w /home/123 -XX dst i.ua
tcpdump: /home/123: Permission denied

root@mhost:/home/xuser# tcpdump -w /root/123 -XX dst i.ua
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C0 packets captured
4 packets received by filter
0 packets dropped by kernel

root@mhost:/home/xuser# tcpdump -w /var/123 -XX dst i.ua
tcpdump: /var/123: Permission denied

root@mhost:/home/xuser# tcpdump -w /home/xuser/123 -XX dst i.ua
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C0 packets captured
4 packets received by filter
0 packets dropped by kernel
root@mhost:/home/xuser#
ЧОМУ так - туди пише - сюди не пише? Все запускалось із sudo su консольної сесії.

[pawel_chk]

Задачу троха конкретезуй...  Тільки маючи відповідні(потрібні) права до віддаленого хоста можна щось сніфити...
Чи як то собі уявляєш?  ДЛя прикладу я взнав адресу твого хоста,запустив в себе якусь програмуліну і вже маю данні з певного порта??? Так???


Дивись права на /var/123

[idontremember]

Дивись права на /var/123

А як з  /root/123 , /home/123 , /home/xuser/123  :-/
/var/123 - неіснує. А також воно не хоче писати в корінь (і не тільки в корінь)

Код: [Вибрати]

root@mhost:/home/xuser# tcpdump -w /dump -XX dst REMOTEHOST
tcpdump: /dump: Permission denied

root@mhost:/home/xuser# id
uid=0(root) gid=0(root) группы=0(root)

root@mhost:/home/xuser# tcpdump -w /root/dump -XX dst REMOTEHOST
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

^C0 packets captured
4 packets received by filter
0 packets dropped by kernel

root@mhost:/home/xuser# tcpdump -w /home/dump -XX dst REMOTEHOST
tcpdump: /home/dump: Permission denied

root@mhost:/home/xuser#
ЧОМУ!?!?!?
---

ДЛя прикладу я взнав адресу твого хоста,запустив в себе якусь програмуліну і вже маю данні з певного порта??? Так???

ТАК! Задача така: Є відаленний хост, потрібно прослухати трафік на 21 порту.

Код: [Вибрати]

root@mhost:/home/xuser# tcpdump -w /tmp/123 -XX dst REMOTEHOST
Та тільки в прикладі показаний трафік що проходить між мною та REMOTEHOST. А я хочу бачити ввесь трафік на 21 порт REMOTEHOST.
---
Потім:  

Код: [Вибрати]

root@mhost:/home/xuser# egrep -ia "user|pass" /tmp/123
66&Zr`�-E(�@@H�]��I�on7'b�߀8Pu@���wCC&Zr`�-E5�@@G��]��I�on7'b�߀8P▒u@��USER FTPFTP
�wRT8   66&Zr`�-E(�@@H�]��I�on7'o�߀_Pu@��
                                         �wRTmGG&Zr`�-E9�@@G��]��I�on7'o�߀_P▒u@��PASS FTF@FTFFTF
root@mhost:/home/xuser#

Чи може спробувати snort чи nc  :-/ Чи книжку (паперову) почитати...

[pawel_chk]

Ще раз повторюю ,щоб отримати ВЕСЬ трафік на порті від ремоутного хоста,тспдапм треба запускати на РЕМОУТНОМУ  хості. Все що ти робив вище ,то був трафік на ТВОЄМУ хості і ТВОЄМУ порті ВІД ремоутного хоста..

Давай розділемо роботу тспдампу і те що ти можеш\не можеш записати кудись там лог..

[idontremember]

Ще раз повторюю ,щоб отримати ВЕСЬ трафік на порті від ремоутного хоста,тспдапм треба запускати на РЕМОУТНОМУ  хості. Все що ти робив вище ,то був трафік на ТВОЄМУ хості і ТВОЄМУ порті ВІД ремоутного хоста..

То я зрозумів. Я це виділив вище. А як відслідкувати віддаленний порт? Можливо є  якісь інші методи?
---

Давай розділемо роботу тспдампу і те що ти можеш\не можеш записати кудись там лог..

То не я неможу - то тспдамп не хоче. Тому що просто touch імя_файлу - створює імя_файлу без проблем.
Ця "проблема" вилізла при використанні тспдамп - от тому я тут і пишу.

[kisil]

А ви доступ до того ремутного хоста маєте???
Для того, щоб вам прослухати порт віддаленого хоста, ви повинні або зламати цей хост і уже з нього слухати відповідний порт або ж зламати шлюз, через який цей хост конектиться до інтернету.

[idontremember]

А ви доступ до того ремутного хоста маєте???

та немаю.

[ANGR]

Ви можете слухати тільки той трафік, який надсилається через доступний Вам ПК. Умовно позначимо Ваш ПК як сервер A, ПК віддаленого сервера, до якого у Вас доступу немає - сервер B, ПК третьої особи, до якого у Вас доступу теж немає - сервер C. В даному випадку слухати трафік Ви можете лише між A і B, A і C. Слухати трафік між B і C не вийде, адже фізичного доступу до мережевих інтерфейсів у Вас нема.

Якщо Ви хочете відфільтрувати вивід дампу трафіка по IP і порту, то це можна зробити так:

tcpdump -X dst port 21 and dst host X.X.X.X

де 21 - порт віддаленого комютера, X.X.X.X - IP віддаленого компютера. Знову ж, цей трафік має бути направлений до Вас, тобто до сервера A.

[idontremember]

В даному випадку слухати трафік Ви можете лише між A і B, A і C. Слухати трафік між B і C не вийде, адже фізичного доступу до мережевих інтерфейсів у Вас нема.

Якщо Ви хочете відфільтрувати вивід дампу трафіка по IP і порту, то це можна зробити так:

tcpdump -X dst port 21 and dst host X.X.X.X

... цей трафік має бути направлений до Вас, тобто до сервера A.

тепер все зрозуміло.
---

але чому туди дамп пише, а сюди не пише? Вище я вже написав. А у вас як із цим?

[pawel_chk]

А ви доступ до того ремутного хоста маєте???

та немаю.

Я про це тобі ше в перших постах написав.. нема доступу - нема кохання