問題タブ [tcpdump]

Wireshark でフィルターを適用して、PC に着信するパケットのみを表示しました。フィルタリング/表示されたパケットを .csv ファイルに保存すると、実際にはすべてのパケット (フィルタリングされていない) が保存されます。表示/フィルタリングされたパケットのみを保存するにはどうすればよいですか?

ターミナルで次のコマンドを書くと、完全に機能します

スクリプトに入れると、「unexpected "(" in line ...」のようなエラーが表示されます.ssh経由でサーバーで作業していて、アクセスできないため、正確なエラー行はありませんサーバーは BSD で実行する必要がありますが、現在どのシェルが使用されているかわかりません. 多数の pcap.gz ファイルに対してこのコマンドを実行する必要があるため、このような行をスクリプトに入れる必要があります.

状況は次のとおりです。私のシナリオでは、A、B、Cの3台のコンピューターがあります。

コンピューターAはコンピューターBにデータを送信します。コンピューターBはこれらのパケットをpcapでキャプチャし、ヘッダーを追加し、チェックサムをやり直して、コンピューターCへの別のイーサネットインターフェイスから注入します。したがって、基本的にAはCに送信しますが、Cの観点からはデータはコンピューターBから来ています。

私の問題はこれです：キャプチャされたパケットの分析に関するTCPDUMPのチュートリアルに従って、オフセットを計算し、タイプキャストを使用してイーサネット、IP、およびtcpヘッダー構造を取得する方法を学びました。その方法を以下に示します。

キャプチャしたパケットを挿入してコンピュータBからコンピュータCに送信したいので、送信元/宛先情報の一部を変更し、完了したらチェックサムを再計算する必要があります。ただし、私の問題は、このデータがイーサネットヘッダー、IPヘッダー、およびTCPヘッダーの構造に分割されているため、使用できるに戻すにはどうすればu_charよいpcap_injectですか？

ここで何らかの連結を行うことは可能ですか？

TCPDUMP を使用して収集された収集されたパケット ダンプを使用して、接続を集約しています。私のコードはRubyです。コードは 4 タプル (SrcIP、SrcPort、DstIP、DstPort) を使用して接続を区別します。接続が同じマシン間で、同じ IP と同じポートを持つ場合、接続は次の方法で区別されます。1. 接続間の時間が 2 時間以上の場合、それは新しい接続です 2. FIN または RST がすでに確認されている場合、新しいパケットは新しい接続からのものです 3. SYN の数が 2 時間以上の場合two (各方向に 1 つ) の場合、接続は新しい接続です。

私が対処できない状況は次のとおりです。同じ 2 つのホスト (同じ 4 タプルを持つ) 間の新しい接続が 2 時間以内に発生し、TCPDUMP が以前の RST または FIN パケットをドロップし、両方から 2 つ以上の SYN パケットもドロップした場合接続。その場合、私が設定した上記の条件はどれも機能しません。そして、残っている唯一の情報セットは、パケットの新しいセットの時間、Seq Nos、Ack Nos、およびデータ サイズです。この情報を使用するだけで、接続が新しいものか古いものかを判断できますか?

シーケンス番号にパターンがあるかどうか、または SeqNo と AckNo の間にパターンがあるかどうかを確認しようとしましたが、明確なものはないようです。

tcpdump を使用してすべての SSL パケットを除外する必要があります。最初のパケットだけが ssl として認識されることがわかっています。最初のパケットと照合してから、残りの SSL ストリームを除外することはできますか?

以下は、キャプチャされたパケットの tcpdump 16 進出力です。

使用したコマンドは ..

これら...は、指定された 16 進文字に対応するそれぞれの ASCII 文字であれば何でもかまいません。中央の六角部分を抽出する必要があります。

次の形式で出力する必要があります。これについて何か提案してください。

私はこれを試しましたが、それは間違っているようです..

また、何かを試してみましcut -bたが、それは奇妙な出力を出しています。

可能であれば、 awkNRとNF. 私はawkを初めて使用するので、それらについてあまり知りません。

私はこれを試し、それら...を出力として取得しました。

出力:

awk を使用して、最後の列を除くすべての列を印刷する方法はありますか (つまり、上記で指定したものを除くすべてを印刷することです)。

2 つの異なるポートで同時に tcpdump トラフィックをキャプチャしたいと考えています。

私はこれを試しました..

それは機能しましたが、問題は最初にポート 21 でトラフィックを待機し、中断されるとポート 22 を待機することです。

また、ポート 21 のトラフィックがキャプチャされるまで、ポート 22 のトラフィックがキャプチャされないという別の問題もあります。

ポート 21 または 22 の場合、パケットが到着する順序に関係なく、パケットをキャプチャする必要があることを意味するオーダー フリー ソリューションが必要です。

これについて私を助けてください!!!

編集 ：

申し訳ありませんが、実行しようとしている実際のコマンドがこれになる前に指定しませんでした..

と

今、私は50と51の両方を同時に使用する必要があります..

初めてのポスター、長年の読者。正直なところ、投稿するのはかなり怖いです。

学校のクラス用に TCPDump トレース アナライザーを作成しています。非常に単純で、Unix TCPDump アプリケーションからの 16 進形式のトレースを分析します。通常、pcap 出力に対して TCPDump を実行して、次のようにプログラム入力を取得します。

IP オプションと TCP オプションを除いて、必要なほぼすべての機能を備えています。簡単に実装できる IP オプションのサブセット用に書かれた非常に多くのコードがありますが、実際の、不自然な/構築されたトレースを反映する意味のあるテスト データを取得する方法については、ちょっとわかりません。テストしたいオプションを含むパケットを手動で作成してみましたが、それはかなりうまく機能しますが、必ずしも私たちまたは将来のユーザーが実際に入力する可能性があるものを反映しているわけではありません.

実際のテストデータを取得する方法について、誰かが提案できますか?

私たちが検討している IP オプションは、オプション終了、オプションなし、厳格なソース ルート、緩いソース ルート、レコード ルート、セキュリティ、拡張セキュリティ、およびタイムスタンプです。

検討している TCP オプションは、オプション終了、オプションなし、MSS、WSCALE、SACK 許可、SACK、TSOPT です。

これまでのところ、私が行った Google 検索のほとんどは、実りのない結果になっています。前もって感謝します。

特定の種類のパケットを分析するためのプログラムを書いています。tcpdump形式のテストパケットを含むダンプファイルを取得しました。このダンプをインターフェイスの1つに送信する方法はありますか？tcpdumpはそれ自体でこれを実行できると思いました（残念ながらそうではありません）。私が何とかしたことは、wiresharkを介してパケットを確認することだけです（これは明らかに進むべき道ではありません）。

libpcap関数を使用することもできますがpcap_open_offline()、残念ながら、pcap_loop()これは機能しないようでpcap_open_offline()、コードを書き直すのpcap_next()は非常に面倒です。インターフェイスにパケットを送信できるプログラムはありますか？

イーサネット、IP、およびレイヤー 4 (私の場合は TCP) ヘッダーのみを含む pcap ファイルを生成する自動化された方法 (tcpdump またはヘルパー アプリを介して) はありますか?結果のpcap？ヘッダーのサイズはさまざまな場合が多いため、ペイロード データをまったくキャッチしないキャプチャ サイズを選択することは不可能であることがわかりました。