Repository 32bit  Forum
Repository 64bit  Wiki

Tcpdump, ngrep, analisi output

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Tcpdump, ngrep, analisi output

Messaggioda Pandorix » lun feb 20, 2006 15:18

Ciao ragazzi, sapreste dirmi come analizzare gli output di programmi tipo tcpdump, ethereal, ngrep e simili? Per analizzare, intendo poterli leggere semplicemente, chiaramente, del genere "indirizzo ip ha mandato file.x a indirizzo ip2, indirizzo ip3 ha aperto http://www.xxx.xx" ecc...
Pandorix
Linux 2.0
Linux 2.0
 
Messaggi: 148
Iscritto il: ven mar 25, 2005 0:00

Messaggioda krisis » lun feb 20, 2006 15:37

Una specie di "net admin 4 dummies" ?
Avatar utente
krisis
Linux 3.x
Linux 3.x
 
Messaggi: 1120
Iscritto il: mar gen 25, 2005 0:00
Località: Roma
Distribuzione: debian

Messaggioda Pandorix » lun feb 20, 2006 16:01

krisis ha scritto:Una specie di "net admin 4 dummies" ?


potrebbe essere un'idea, ma preferirei un programmino che in automatico facesse le traduzioni :-)
Pandorix
Linux 2.0
Linux 2.0
 
Messaggi: 148
Iscritto il: ven mar 25, 2005 0:00

Messaggioda kobaiachi » lun feb 20, 2006 16:08

o qualcuno scrive un interfaccia che metta i risultati come dici tu .......oppure ti studi la materia .

in effetti l'output di quei programmi è chiarissimo solo che bisogna saperlo interpretare tutto qui .
è come se volessi interpretare l'andamento di una funzione senza conoscere i principi base dell'analisi ...........
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda bebbo » lun feb 20, 2006 16:15

io preferisco usare 'iptraf' non è proprio quello che cerchi... ma ti dice un pò di info con un print un pò più unamoide di tcpdump :)
Avatar utente
bebbo
Linux 1.0
Linux 1.0
 
Messaggi: 31
Iscritto il: gio feb 16, 2006 0:32
Località: Roma

Messaggioda masalapianta » lun feb 20, 2006 16:22

ethereal ha dissector per i protocolli piu' diffusi, basta usare la funzione "follow tcp stream" e lui ti fa vedere tutto il dialogo client/server a layer7 evidenziando con colori differenti la roba del server e quella del client; certo devi conoscere il protocollo in questione, ma mi pare anche il minimo se vuoi metterti a fare analisi del traffico di rete.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda Pandorix » lun feb 20, 2006 16:22

kobaiachi ha scritto:o qualcuno scrive un interfaccia che metta i risultati come dici tu .......oppure ti studi la materia .

in effetti l'output di quei programmi è chiarissimo solo che bisogna saperlo interpretare tutto qui .
è come se volessi interpretare l'andamento di una funzione senza conoscere i principi base dell'analisi ...........


E se volessi imparare ad interpretarlo, dove potrei trovare documenti esplicativi?
Pandorix
Linux 2.0
Linux 2.0
 
Messaggi: 148
Iscritto il: ven mar 25, 2005 0:00

Messaggioda Pandorix » lun feb 20, 2006 16:54

masalapianta ha scritto:ethereal ha dissector per i protocolli piu' diffusi, basta usare la funzione "follow tcp stream" e lui ti fa vedere tutto il dialogo client/server a layer7 evidenziando con colori differenti la roba del server e quella del client; certo devi conoscere il protocollo in questione, ma mi pare anche il minimo se vuoi metterti a fare analisi del traffico di rete.


dove lo trovo dissector?
Pandorix
Linux 2.0
Linux 2.0
 
Messaggi: 148
Iscritto il: ven mar 25, 2005 0:00

Messaggioda kobaiachi » lun feb 20, 2006 17:16

potresti iniziare dagli RFC cerchi con san google arp rfc ,ip rfc ,tcp rfc ,stp rfc ,rtsp rfc ,dns rfc, ftp rfc etc.....
comunque c'è un altro thread di pochi giorni fa in cui si discuteva appunto di come scegliere i testi su cui studiare le reti .
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda masalapianta » lun feb 20, 2006 17:30

Pandorix ha scritto:
masalapianta ha scritto:ethereal ha dissector per i protocolli piu' diffusi, basta usare la funzione "follow tcp stream" e lui ti fa vedere tutto il dialogo client/server a layer7 evidenziando con colori differenti la roba del server e quella del client; certo devi conoscere il protocollo in questione, ma mi pare anche il minimo se vuoi metterti a fare analisi del traffico di rete.

dove lo trovo dissector?

sono compresi in ethereal
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Yahoo [Bot] e 1 ospite