Инструменты безопасности с открытым исходным кодом


Заголовки пакетов TCP/IP - часть 3


Обычно только один или два из этих флагов установлены (биты заданы как единица), но, как мы видели в лекции 4, ничто не мешает отправить пакет со всеми битами взведенными (сканирование XMAS) или выключенными (сканирование NULL), чтобы попытаться запутать удаленную систему.

Следом располагается контрольная сумма TCP и указатель срочности. Затем идет строка со всеми TCP-опциями пакета, такими как дополнительные контрольные суммы, метки времени и т.д. Эта строка дополняется до 32 бит нулями, если опции не заполняют ее целиком. Наконец, следует полезная нагрузка - данные пакета. Может показаться, что на отправку одного пакета уходит слишком много накладных административных расходов (примерно 48 байт для каждого пакета), но это на самом деле обеспечивает относительно устойчивое соединение в сети, которая не всегда обладает сквозной надежностью (как Интернет). В действительности, чтобы избежать дополнительных расходов TCP, некоторые протоколы, не требующие соединения, используют UDP - протокол без установления соединений с меньшими накладными расходами.

В стандартном сеансе Tcpdump с обычным уровнем подробности вывода вы увидите метку времени, за которой следует порядковый номер TCP. Затем выдаются IP-части, включая исходный и целевой адреса, разделенные знаком > (больше), означающим, что пакет идет отсюда туда. В конце располагается информационное поле, которое показывает, что делает пакет. Можно использовать опции -v или -vv, чтобы получить от Tcpdump более подробные данные о заголовке (см. следующий раздел).

Обычно вы будете запускать Tcpdump с некоторыми установленными опциями или фильтрами, чтобы уменьшить и сфокусировать вывод. Общий вид инструкции запуска Tcpdump таков:

Tcpdump опции выражения

Замените опции и выражения одной или несколькими допустимыми переменными. Опции Tcpdump перечислены в табл. 6.2.

Таблица 6.2. Опции Tcpdump

ОпцияОписание
-aПытается преобразовать адреса в имена. Это создает дополнительную нагрузку на систему и может привести к потере пакетов
-c числоОстанавливает Tcpdump после обработки заданного числа пакетов
-C размер_файлаОграничивает размер выходных файлов заданным числом байт
-dВыдает процедуру сопоставления пакетов с образцом в удобочитаемом виде и затем останавливается
-ddВыдает процедуру сопоставления пакетов с образцом в виде фрагмента программы на языке Си
-dddВыдает процедуру сопоставления пакетов с образцом в виде десятичных чисел
-eВ каждой строке выдачи печатает заголовок канального уровня (в сетях Ethernet это MAC-адрес)
-E алгоритм:секретИспользует встроенную в Tcpdump возможность расшифровывать на лету пакеты, зашифрованные по протоколу IPsec ESP. Разумеется, чтобы использовать эту опцию, вы должны располагать разделяемым секретным ключом. В число возможных значений параметра "алгоритм" входят des-cbc, 3des-cdc, blowfish-cbc, r3c-cbc, приведенный 128-cbc. Кроме того, оно может быть пустым. По умолчанию используется des-cbc. Значением параметра "секрет" должен служить секретный ключ ESP в текстовом виде. Дополнительную информацию об IPsec можно найти в лекции 9
-F файлИспользует файл (а не сеть) для ввода данных. Это удобно для анализа событий "постфактум".
-i интерфейсЧитает из заданного интерфейса, когда на анализирующей машине имеется несколько сетевых интерфейсов. По умолчанию Tcpdump использует действующий интерфейс с наименьшим номером. В системах Linux можно использовать также параметр any для перехвата пакетов из всех сетевых интерфейсов
-nНе преобразовывает адреса в имена
-NНе печатает в именах хостов имя домена вышележащего уровня. Это полезно, если вам необходимо представить обезличенную версию вывода и вы не хотите раскрывать, чья это сеть
-pНе переводит интерфейс в режим прослушивания. Используется только при исследовании трафика, направленного в анализирующий компьютер
-qПечатает быстрый вывод. Печатается меньше протокольной информации, поэтому строки оказываются короче
-T типЗаставляет интерпретировать пакеты, выбранные заданным в выражении фильтром, в соответствии с указанным типом
-tНе печатает метку времени в каждой строке
-ttПечатает неформатированную метку времени в каждой строке
-tttПечатает интервал времени между пакетами
-ttttПечатает в каждой строке дату, а затем метку времени в подразумеваемом формате
-vИспользует чуть более подробный вывод, включающий время жизни, идентификатор, общую длину и поля опций каждого пакета
-vvПредоставляет более детальный вывод. Пакеты NFS и SMB полностью декодируются
-vvvПредоставляет еще более подробный вывод. Это может существенно замедлить работу анализатора
-w имя_файлаЗаписывает пакеты в указанный файл вместо вывода их на экран. Таким образом результаты "вынюхивания" без участия человека можно сохранить и проанализировать их позже. Например, если в вашей сети происходят какие-то странные вещи, вы можете запустить Tcpdump на ночь, чтобы перехватить весь необычный трафик. Не забудьте написать хороший фильтр, иначе полученный наутро файл может оказаться слишком большим
-xВыводит каждый пакет (без заголовка канального уровня) в шестнадцатеричном виде.
-XВыводит содержимое пакетов и в шестнадцатеричном, и в текстовом видах




Начало  Назад  Вперед



Книжный магазин