форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Результат tcpdump -w file"
Сообщение от Andrei on 11-Дек-02, 09:45  (MSK)
Вопрос такой: Как перевести в первичный удобочитаемый вид результат работы tcpdump -w file ? а то глядеть raw формат пакетов не шибко удобно.. Может есть прога, которая откидывает заголовки пакетов и т.д. и в результате получается вполне нормальный текст ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Результат tcpdump -w file"
Сообщение от LinaS on 11-Дек-02, 10:00  (MSK)
>Вопрос такой: >Как перевести в первичный удобочитаемый вид результат работы tcpdump -w file ? > >а то глядеть raw формат пакетов не шибко удобно.. >Может есть прога, которая откидывает заголовки пакетов и т.д. и в результате >получается вполне нормальный текст ? например, так tcpdump -r raw_format_file > txt_format_file
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Результат tcpdump -w file"
	Сообщение от Andrei on 11-Дек-02, 10:38  (MSK)
	>например, так >tcpdump -r raw_format_file > txt_format_file Не точно сформулировал вопрос: Нужно, чтобы вырезались всякие заголовки и т.д.. А с -r он выведет тоже самое, только из файла.. вот типа как бы по tcpdump -X -r file почти то, но тоже фигурируют лишние коды от протокола. А хочу получить именно то, что вводил с клавы... например, если смотреть 80 порт, то чтобы в результате получил имеено то, что выдал сервер, типа по telnet www.domain.com 80 вот...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Результат tcpdump -w file"
	Сообщение от LinaS on 11-Дек-02, 10:51  (MSK)
	>>например, так >>tcpdump -r raw_format_file > txt_format_file > >Не точно сформулировал вопрос: >Нужно, чтобы вырезались всякие заголовки и т.д.. >А с -r он выведет тоже самое, только из файла.. >вот типа как бы по tcpdump -X -r file >почти то, но тоже фигурируют лишние коды от протокола. >А хочу получить именно то, что вводил с клавы... >например, если смотреть 80 порт, то чтобы в результате получил имеено то, >что выдал сервер, типа по telnet www.domain.com 80 >вот... не очень понятно... есть файл dump.txt с такими строками: (это если с опцией -n) 10:01:57.617896 A.B.C.D.80 > E.F.G.H.1392: . ack 416 win 57919 <nop,nop,timestamp 489650918 513563570> (DF) из этой строки ясно, что E.F.G.H лез на 80 порт A.B.C.D если без опции -n, то будут такие строки: 10:01:57.617896 www.server.ru.http > E.F.G.H.1392: . ack 416 win 57919 <nop,nop,timestamp 489650918 513563570> (DF) из чего ясно что юзер E.F.G.H ходил на www.server.ru по http протоколу а вот телнетом он ходил, бразером или еще чем - это ??? что надо то в конечном итоге?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Результат tcpdump -w file"
	Сообщение от LinaS on 11-Дек-02, 11:00  (MSK)
	>>>например, так >>>tcpdump -r raw_format_file > txt_format_file >> >>Не точно сформулировал вопрос: >>Нужно, чтобы вырезались всякие заголовки и т.д.. >>А с -r он выведет тоже самое, только из файла.. >>вот типа как бы по tcpdump -X -r file >>почти то, но тоже фигурируют лишние коды от протокола. >>А хочу получить именно то, что вводил с клавы... >>например, если смотреть 80 порт, то чтобы в результате получил имеено то, >>что выдал сервер, типа по telnet www.domain.com 80 >>вот... > >не очень понятно... >есть файл dump.txt с такими строками: (это если с опцией -n) > >10:01:57.617896 A.B.C.D.80 > E.F.G.H.1392: . ack 416 win 57919 <nop,nop,timestamp 489650918 513563570> (DF) > >из этой строки ясно, что E.F.G.H лез на 80 порт A.B.C.D > >если без опции -n, то будут такие строки: > >10:01:57.617896 www.server.ru.http > E.F.G.H.1392: . ack 416 win 57919 <nop,nop,timestamp 489650918 513563570> (DF) > >из чего ясно что юзер E.F.G.H ходил на www.server.ru по http протоколу > > >а вот телнетом он ходил, бразером или еще чем - это ??? > > >что надо то в конечном итоге? по идее, можно рассматривать файл (в текстовом формате) от tcpdump как файл с полями, разделенными пробелами.. тогда командочкой cut -f field_number -d " " можно повытаскивать только ту инфу, которая тебе нужна или на перле, там это проще :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Результат tcpdump -w file"
	Сообщение от lavr on 11-Дек-02, 11:16  (MSK)
	>>>>например, так >>>>tcpdump -r raw_format_file > txt_format_file >>> >>>Не точно сформулировал вопрос: >>>Нужно, чтобы вырезались всякие заголовки и т.д.. >>>А с -r он выведет тоже самое, только из файла.. >>>вот типа как бы по tcpdump -X -r file >>>почти то, но тоже фигурируют лишние коды от протокола. >>>А хочу получить именно то, что вводил с клавы... >>>например, если смотреть 80 порт, то чтобы в результате получил имеено то, >>>что выдал сервер, типа по telnet www.domain.com 80 >>>вот... >> >>не очень понятно... >>есть файл dump.txt с такими строками: (это если с опцией -n) >> >>10:01:57.617896 A.B.C.D.80 > E.F.G.H.1392: . ack 416 win 57919 <nop,nop,timestamp 489650918 513563570> (DF) >> >>из этой строки ясно, что E.F.G.H лез на 80 порт A.B.C.D >> >>если без опции -n, то будут такие строки: >> >>10:01:57.617896 www.server.ru.http > E.F.G.H.1392: . ack 416 win 57919 <nop,nop,timestamp 489650918 513563570> (DF) >> >>из чего ясно что юзер E.F.G.H ходил на www.server.ru по http протоколу >> >> >>а вот телнетом он ходил, бразером или еще чем - это ??? >> >> >>что надо то в конечном итоге? > >по идее, можно рассматривать файл (в текстовом формате) от tcpdump как файл >с полями, разделенными пробелами.. >тогда командочкой cut -f field_number -d " " можно повытаскивать только ту >инфу, которая тебе нужна > >или на перле, там это проще :) мб все гораздо проще? ну не хочет человек разбирать дамп, в этом случае пусть поставит и настроит какой-нить из снифферов и наслаждается конкретными уже отпарсированными строками.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Результат tcpdump -w file"
	Сообщение от LinaS on 11-Дек-02, 11:28  (MSK)
	>мб все гораздо проще? >ну не хочет человек разбирать дамп, в этом случае пусть поставит и >настроит какой-нить из снифферов и наслаждается конкретными уже отпарсированными строками. мб тогда можно глянуть в сторону nstreams /usr/ports/net/nstreams работает с tcpdump'овым файлом выдает например следующее: %nstreams tcp.txt http traffic between A.B.C.D and E.F.G.H http traffic between I.J.K.L and M.N.O.P и тыды...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Результат tcpdump -w file"
	Сообщение от Andrei on 11-Дек-02, 11:38  (MSK)
	Не.. в результате имеем голимый файл - те данные - которые непосредственно летают через сетку..(ес-но не все ASCII) а я в результате хочу получить да, отпарсированные строки... Но не через сниффер како-нить, а имеено полученные от tcpdump Ну есть может прога, которая парсирует эти данные, откидывает все служебные поля и выдает мне имеено те данные, которые содержались в полях данных ? Могу конечно и так их увидеть на глаз, но нужно более усилий приложить...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Результат tcpdump -w file"
	Сообщение от LinaS on 11-Дек-02, 15:01  (MSK)
	>Не.. в результате имеем голимый файл - те данные - которые непосредственно >летают через сетку..(ес-но не все ASCII) >а я в результате хочу получить да, отпарсированные строки... >Но не через сниффер како-нить, а имеено полученные от tcpdump >Ну есть может прога, которая парсирует эти данные, откидывает все служебные поля >и выдает мне имеено те данные, которые содержались в полях данных >? >Могу конечно и так их увидеть на глаз, но нужно более усилий >приложить... все, до меня кажется дошло, что ты хочешь root@mail# tcpdump -n -X -i fxp | grep "0x" выдает поток сплошных данных без служебной инфы если с адресами и портами (из служебной только они): root@mail# tcpdump -n -X -t -q -i fxp ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Результат tcpdump -w file"
	Сообщение от Andrei on 11-Дек-02, 16:12  (MSK)
	Гм.. не то.. Ну как бы объяснить ? Ну вот.. запускаю tcpdump -w /dump.txt dst port 80 Значит, все сливается в RAW-формате в файл /dump.txt Его можно посмотреть по tcpdump -X -r /dump.txt 0x0010   d46e e131 040f 0017 0082 7463 00d2 9754        .n.1......tc...T 0x0020   5018 208a 05c9 0000 0d0a 080a 06ab             P............. типа что-то такого будет... А мне нужно только данные... они находятся где-то со смещением 24.. (кажется) Так вот.. а мне нужно, чтобы в результате применения какого-скрипта, мене выдались фактически те данныеЮ которые посылались... типа: GET / HTTP/1.1 (Вырез дампа я не оттуда сделал...)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.