Записи Друзья Комментарии
Kyzmenko Pavel
Аватар Kyzmenko_Pavel

 -Поиск по дневнику

Поиск сообщений в Kyzmenko_Pavel

 -Подписка по e-mail

 

 -Интересы

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 10.02.2007
Записей:
Комментариев:
Написано: 228


Анализ сетевого трафика с помощью Tcpdump

Пятница, 05 Сентября 2008 г. 10:51 + в цитатник
Опции захвата трафика.

В простейшем случае достаточно указать интерфейс для анализа трафика:

tcpdump –i INTERFACE

Можно отключить преобразования IP адресов в доменные имена:

tcpdump -n
Ограничение числа перехватываемых пакетов:

tcpdump –c PACKET_COUNT

Запись в файл:

tcpdump -w FILE_NAME

Чтение из файла:

tcpdump -r FILE_NAME

Отметим, что для воспроизведения записанного файла в сеть можно использовать отдельную утилиту tcpreplay (не входящую в комплект tcpdump):

tcpreplay FILE_NAME

Вывод данных канального уровня (например, mac адреса и прочее):

tcpdump -e

Вывод дополнительной информации (например, TTL, опции IP):

tcpdump -v

Увеличение размера захватываемых пакетов (больше 68 байт по умолчанию):

tcpdump -s SNAP_LEN

Опции фильтрации трафика.

Можно осуществлять фильтрацию на канальном уровне. Для выделения Ethernet фреймов используются следующие конструкции:

tcpdump ether { src | dst | host } MAC_ADDRESS
tcpdump ether { broadcast | multicast }

Примеры:

# tcpdump -n -i vlan0 ether src 0:2:b3:d8:d8:2c
# tcpdump -n -e -i vlan0 ether broadcast

Просмотр фреймов 802.1Q можно осуществить следующими способами (на интерфейсе с виланами):

tcpdump –i INTERFACE vlan

Примеры:

# tcpdump -n -e -i fxp0 vlan
# tcpdump -n -e -i fxp0 vlan 100
# tcpdump -n -e -i fxp0 ether proto 0x8100

Фильтрация по IP протоколу:

tcpdump { arp | rarp | ip | tcp | udp | icmp | wlan | multicast | broadcast }

Примеры:

# tcpdump -n -i fxp0 ip
# tcpdump -n -i fxp0 tcp
# tcpdump -n -i fxp0 udp

Фильтрация по IP адресам:

tcpdump { src | dst } { net | host | port }

Примеры:

# tcpdump -n -i fxp0 src 195.12.66.1
# tcpdump -n -i fxp0 dst 195.12.66.65
# tcpdump -n -i fxp0 host 195.12.66.1
# tcpdump -n -i fxp0 port 25
# tcpdump -n -i fxp0 dst 195.12.66.1 and port 53

Фильтрация по размеру пакетов:

tcpdump { less | greater } PACKET_SIZE

Существуют расширенные возможности по фильтрации пакетов TCP с флагами. Заголовок TCP пакета состоит из 20 октетов. Поле битов управления (флагов) TCP содержится в октете номер 13. Соответственно под флаги отводятся следующие битовые позиции в 13 байте (по возрастанию степени 2): FIN, SYN, RST, PSH, ACK, URG, ECE, CWR.

Таким образом, например, для пакетов только с флагом SYN октет номер 13 заголовка TCP должен содержать значение 2. И соответствующий фильтр будет выглядеть так:

# tcpdump -n -i em0 'tcp[13] == 2'

Для перехвата пакетов только с флагами SYN и ACK (значения битовых позиций 2 и 16) можно использовать следующую конструкцию:

# tcpdump -n -i em0 'tcp[13] == 18'

Кроме того, можно использовать опцию tcpflags.

Пакеты с любым флагом:

# tcpdump -n -i em0 'tcp[tcpflags] != 0'

Пакеты, включающие SYN:

# tcpdump -n -i em0 'tcp[tcpflags] & tcp-syn != 0'

Для того, чтобы анализировать передаваемые данные по протоколу TCP, можно использовать tcpflow:

# tcpflow -c -i ep0 host 195.12.69.199 and port 80


 Полезные рецепты.

Получение рейтинга наиболее активных участников сетевого взаимодействия (top talkers):

# tcpdump -tn -c 10000 -i fxp0 tcp or udp | awk -F "." '{print $1"."$2"."$3"."$4}' | \ sort | uniq -c | sort -nr | awk '$1 > 100'

Выявление аномалий TCP путем вычисления отношения числа исходящих пакетов с SYN флагом к числу входящих с SYN+ACK:

SYN_ONLY_FROM_ISP=`tcpdump -n -l -r $1 'src net 192.168.0.0/24' and \ 'dst net not 192.168.0.0/24' and 'tcp[13] == 2' | wc | awk '{print $1}'`

SYN_ACK_TO_ISP=`tcpdump -n -l -r $1 'src net not 192.168.0.0/24' and \ 'dst net 192.168.0.0/24' and 'tcp[13] == 18' | wc | awk '{print $1
[\more]
Рубрики:  Linux/Unix
Метки:  
Нравится

Аноним   обратиться по имени Пятница, 11 Марта 2011 г. 12:46 (ссылка)
huuuja: Конвертация трафика через подставные страницы | Способы заработка http://tinyurl.com/64vqu38
huuuja: Конвертация трафика через подставные страницы | Способы заработка http://tinyurl.com/64vqu38
huuuja: принимает только RU трафик, конвертация 80$ за 1000 посетителей. http://tinyurl.com/64vqu38
huuuja: принимает только RU трафик, конвертация 80$ за 1000 посетителей. http://tinyurl.com/64vqu38
huuuja: Заработок на конвертации RU адалт трафика http://tinyurl.com/64vqu38
huuuja: Заработок на конвертации RU адалт трафика http://tinyurl.com/64vqu38
huuuja: Конвертация Ru трафика. - Форум о поисковых системах http://tinyurl.com/64vqu38
huuuja: Конвертация Ru трафика. - Форум о поисковых системах http://tinyurl.com/64vqu38
huuuja: по поводу повышения конвертации трафика, мы ищем новые способы решения этой проблемы http://tinyurl.com/64vqu38
huuuja: по поводу повышения конвертации трафика, мы ищем новые способы решения этой проблемы http://tinyurl.com/64vqu38
huuuja: Заработок на уходящих посетителях – конвертируем исходящий трафик http://tinyurl.com/64vqu38
huuuja: Заработок на уходящих посетителях – конвертируем исходящий трафик http://tinyurl.com/64vqu38
huuuja: Практикум заработка на адалте http://tinyurl.com/64vqu38
huuuja: Практикум заработка на адалте http://tinyurl.com/64vqu38
huuuja: о конвертации тизерного adult трафика на партнерских программах по подпискам http://tinyurl.com/64vqu38
huuuja: о конвертации тизерного adult трафика на партнерских программах по подпискам http://tinyurl.com/64vqu38
huuuja: Адалт Видео для взрослых, вебкамеры, подписки. Опции просмотра http://tinyurl.com/64vqu38
huuuja: Адалт Видео для взрослых, вебкамеры, подписки. Опции просмотра http://tinyurl.com/64vqu38
huuuja: Партнерская программа по конвертации adult трафика - Справочник http://tinyurl.com/64vqu38
huuuja: Партнерская программа по конвертации adult трафика - Справочник http://tinyurl.com/64vqu38
huuuja: Приватное решение для конвертации adult трафика http://tinyurl.com/64vqu38
huuuja: Приватное решение для конвертации adult трафика http://tinyurl.com/64vqu38
huuuja: Добываем и конвертируем мусорный адалт трафик http://tinyurl.com/64vqu38
huuuja: Добываем и конвертируем мусорный адалт трафик http://tinyurl.com/64vqu38
huuuja: http://diablo-info.pp.net.ua/forum/13-59-1
huuuja: http://diablo-info.pp.net.ua/forum/13-59-1
huuuja: Конвертация адалт трафика -... программы, блоги, фарма трафик... http://tinyurl.com/64vqu38
huuuja: Конвертация адалт трафика -... программы, блоги, фарма трафик... http://tinyurl.com/64vqu38
huuuja: специализированный спонсор, с хорошей конвертацией adult-трафика; широкий выбор промо-материалов http://tinyurl.com/64vqu38
huuuja: специализированный спонсор, с хорошей конвертацией adult-трафика; широкий выбор промо-материалов http://tinyurl.com/64vqu38
huuuja: Стриптиз на рабочем столе. Партнерка. | Не seo блог http://tinyurl.com/64vqu38
huuuja: Стриптиз на рабочем столе. Партнерка. | Не seo блог http://tinyurl.com/64vqu38
huuuja: Партнерские программы по теме Адалт http://tinyurl.com/64vqu38
huuuja: Партнерские программы по теме Адалт http://tinyurl.com/64vqu38
huuuja: Заработай - Заработок на конвертации RU адалт трафика http://tinyurl.com/64vqu38
huuuja: Заработай - Заработок на конвертации RU адалт трафика http://tinyurl.com/64vqu38
huuuja: Конвертация тизерного adult трафика http://tinyurl.com/64vqu38
huuuja: Конвертация тизерного adult трафика http://tinyurl.com/64vqu38
huuuja: выгодная конвертация московского и питерского трафика http://tinyurl.com/64vqu38
huuuja: выгодная конвертация московского и питерского трафика http://tinyurl.com/64vqu38

pohuist: Палю тему,Превратим трафик и загрузки в деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,Превратим трафик и загрузки в деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,Как с помощью партнерских программ превратить трафик в деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,Как с помощью партнерских программ превратить трафик в деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,Какой трафик является качественным http://tinyurl.com/64vqu38
pohuist: Палю тему,Какой трафик является качественным http://tinyurl.com/64vqu38
pohuist: Палю тему,партнёрская программа, превращаем трафик в деньги...http://tinyurl.com/64vqu38
pohuist: Палю тему,партнёрская программа, превращаем трафик в деньги...http://tinyurl.com/64vqu38
pohuist: Палю тему,Несколько способов превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,Несколько способов превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,7 Способов превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,7 Способов превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,1000 Способов превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,1000 Способов превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,100 Способов превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,100 Способов превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,превратить трафик сайта в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,10 способов превратить трафик в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,10 способов превратить трафик в живые деньги http://tinyurl.com/64vqu38
pohuist: Палю тему,Конвентируем трафик по подпискам. http://tinyurl.com/64vqu38
pohuist: Палю тему,Конвентируем трафик по подпискам. http://tinyurl.com/64vqu38
pohuist: Палю тему,Конвертация трафика с заглушки http://tinyurl.com/64vqu38
pohuist: Палю тему,Конвертация трафика с заглушки http://tinyurl.com/64vqu38
pohuist: Палю тему,Зарабатываем деньги сливая трафик http://tinyurl.com/64vqu38
pohuist: Палю тему,Зарабатываем деньги сливая трафик http://tinyurl.com/64vqu38
pohuist: Палю тему,Партнерская программа конвертации дэйтинг и адалт трафика http://tinyurl.com/64vqu38
pohuist: Палю тему,Партнерская программа конвертации дэйтинг и адалт трафика http://tinyurl.com/64vqu38
pohuist: Палю тему,конвертация мр3 http://tinyurl.com/64vqu38
pohuist: Палю тему,конвертация мр3 http://tinyurl.com/64vqu38
pohuist: Палю тему,Дорвеи: создание – конвертация трафика http://tinyurl.com/64vqu38
pohuist: Палю тему,Дорвеи: создание – конвертация трафика http://tinyurl.com/64vqu38
pohuist: Палю тему,Инвайты партнеров - Конвертация RU-трафика http://tinyurl.com/64vqu38
pohuist: Палю тему,Инвайты партнеров - Конвертация RU-трафика http://tinyurl.com/64vqu38
pohuist: Палю тему,Как работать с медиа трафиком, источники и конвертация медиа трафика http://tinyurl.com/64vqu38
pohuist: Палю тему,Как работать с медиа трафиком, источники и конвертация медиа трафика http://tinyurl.com/64vqu38
pohuist: Палю тему,Конвертация российского траффа http://tinyurl.com/64vqu38
pohuist: Палю тему,Конвертация российского траффа http://tinyurl.com/64vqu38
pohuist: Палю тему,зарабатывай на архивах http://tinyurl.com/64vqu38
pohuist: Палю тему,зарабатывай на архивах http://tinyurl.com/64vqu38
Ответить С цитатой В цитатник    |    Не показывать комментарий
Аноним   обратиться по имени Воскресенье, 12 Июня 2011 г. 12:18 (ссылка)
Для всего трафа с ВК, социалок и не только.

http://hyves.ucoz.ru/dir
Ответить С цитатой В цитатник    |    Не показывать комментарий
Комментировать К дневнику Страницы: [1] [Новые]
 

Добавить комментарий:
Текст комментария: смайлики

Проверка орфографии: (найти ошибки)

Прикрепить картинку:

 Переводить URL в ссылку
 Подписаться на комментарии
 Подписать картинку


О проекте