.dsy:it. - Sicurezza - [LAB] TCPDUMP e WINDUMP

Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum

.dsy:it. Archive > Didattica > Corsi N - Z > Sicurezza

[LAB] TCPDUMP e WINDUMP
Clicca QUI per vedere il messaggio nel forum

Voodoo

Salve ragazzi,
prima di usare TCPDUMP,sto provando WinDump,dato che i comandi sono gli stessi.
Allora effettuo il seguente comando,per sniffare il traffico di rete sulla porta 80:

code:
>windump -XX -s 1500 -w Dump80 -i nomeInterfacciaRete port 80

1) se non specifico degli host alla fine,o una sottorete,di default analizza il traffico del mio host?
2)Ho notato che con -s 1500,si vedono perfettamente tutti gli header dei pacchetti,dove invece se lo tolgo vedo solo l'intestazione contenente i metodi GET,POST,ecc. Di preciso il numero cosa indica? La grandezza di dati dei pacchetti che voglio leggere? Ho notato che nel file Dump80 mi ritrovo le intere pagine HTML..
3)Un'altra cosa interessante è il vedere le password spedite con i metodi POST. Se si usano semplici caratteri alfabetici,le lettere si vedono chiaramente,insieme allo username. Se uso come qui sotto, caratteri d'altro tipo,compaiono,come in altre sezioni del file, simboli incomprensibili:la password qui sotto sarebbe vaf54(*),però riesco a leggere nitidamente solo lettere e numeri.

code:
CryptPswd=&password=vaf54%28%2B%29ù>âC=> ‚  ‚   ò9ÄF =I_

%28 potrebbe essere "("? E l'asterisco? Dove si trovano le codifiche dei caratteri? I simboli incomprensibili sarebbero quelli esadecimali (anche se caratteri come "Ä" non lasciano pensare a caratteri esadecimali)? C'è una maniera di dar loro un senso?
4)Ma è possibile evitare che qualcuno nella LAN,usando questo tool, intercetti le mie password?
Facendo a posteriori delle prove tentando di sniffare il traffico sulla porta 80 di un altro host nella mia LAN,non ho ottenuto alcun risultato,al contrario di quelli ottenuti quando navigavo io in rete. Riesce questo tool,facendolo girare sul mio host A,a "leggere" i pacchetti spediti da un altro host B nella LAN,quando B fa delle richieste a dei server Web?
5) Se tento di leggere il file con:

code:
windump -r Dump80
reading from file Dump80, link-type 538976257
windump: unknown data link type 538976257

Di preciso che errore sarebbe?

Grazie

sullivan

Ciao,

Originally posted by Voodoo
[B]Salve ragazzi,
prima di usare TCPDUMP,sto provando WinDump,dato che i comandi sono gli stessi.
Allora effettuo il seguente comando,per sniffare il traffico di rete sulla porta 80:
code:
>windump -XX -s 1500 -w Dump80 -i nomeInterfacciaRete port 80

In realta` WinDump dovrebbe rappresentare il porting di tcpdump, ma non e` detto che si comporti in modo identico a quest'ultimo, pertanto, consiglio di sforzarsi a fare le prove con tcpdump.

1) se non specifico degli host alla fine,o una sottorete,di default analizza il traffico del mio host?

No, riceve tutto (scremato da eventuali regole) il traffico che viene ricevuto sull'interfaccia specificata con il flag -i; nel caso non ci sia, dovrebbe prendere la prima UP non loopback

2)Ho notato che con -s 1500,si vedono perfettamente tutti gli header dei pacchetti,dove invece se lo tolgo vedo solo l'intestazione contenente i metodi GET,POST,ecc. Di preciso il numero cosa indica? La grandezza di dati dei pacchetti che voglio leggere? Ho notato che nel file Dump80 mi ritrovo le intere pagine HTML..

-s sta per "snaplen" ovvero la dimensione massima del frame catturato. Su reti ethernet, tale frame ha dimensione massima di 1500 byte di dati; si esclude quindi la dimensione dell'header ethernet (14 byte) e di eventuale padding e/o FCS (inserito in genere dall'hardware).

Ricordo che queste informazioni sono scritte nella man page; sarebbe utile abituarsi ad usarle :-)

3)Un'altra cosa interessante è il vedere le password spedite con i metodi POST. Se si usano semplici caratteri alfabetici,le lettere si vedono chiaramente,insieme allo username. Se uso come qui sotto, caratteri d'altro tipo,compaiono,come in altre sezioni del file, simboli incomprensibili:la password qui sotto sarebbe vaf54(*),però riesco a leggere nitidamente solo lettere e numeri.
code:
CryptPswd=&password=vaf54%28%2B%29ù>âC=> ‚  ‚   ò9ÄF =I_ 
%28 potrebbe essere "("? E l'asterisco? Dove si trovano le codifiche dei caratteri? I simboli incomprensibili sarebbero quelli esadecimali (anche se caratteri come "Ä" non lasciano pensare a caratteri esadecimali)? C'è una maniera di dar loro un senso?

%28 e` la codifica esadecimale del carattere ASCII '(', come %2A e` di '*' e %2B e` del '+'. La codifica dei caratteri ASCII stambabili a 7-bit (0-127) si puo` trovare con un semplice "man ascii" su sistemi Unix.

L'A con l'umlaut (Ä) non e` considerata carattere ASCII stampabile a 7-bit perche` la sua codifica e` 0xc4 (la vedresti come %c4) -> codifica ASCII a 8-bit. Esistono ovviamente altre codifiche (Unicode, ad es) necessarie per poter rappresentare altri insiemi di caratteri.

4)Ma è possibile evitare che qualcuno nella LAN,usando questo tool, intercetti le mie password?

Il discorso e` abbastanza lungo e la risposta che segue e` decisamente troppo sintetica perche` andrebbe fatto un discorso su reti LAN su hub, switch e relative considerazioni sugli attacchi possibili (spoofing, hijacking, ack storm, arp poisoning, etc)... cmq si, si puo` evitare cifrando i dati, sostanzialmente.

Facendo a posteriori delle prove tentando di sniffare il traffico sulla porta 80 di un altro host nella mia LAN,non ho ottenuto alcun risultato,al contrario di quelli ottenuti quando navigavo io in rete. Riesce questo tool,facendolo girare sul mio host A,a "leggere" i pacchetti spediti da un altro host B nella LAN,quando B fa delle richieste a dei server Web?

Mi riallaccio a quanto detto sopra; presuppongo che i due host appartengano alla stessa LAN e che siano collegati tramite switch; lo switch non replica il traffico a tutti gli host, ma solo a quelli "giusti" -> per fare quello che vuoi fare si puo` procedere in tanti modi e uno dei tanti prevede di portare a termine un attacco che prende il nome di ARP poisoning (perche` si va ad avvelenare la cache ARP degli host bersaglio di tale attacco). Maggiori delucidazioni, in genere, a ricevimento studenti e/o cercando in giro (scusate ma diventa decisamente complicato e lungo, a volte, rispondere ai forum -- cerco di lasciare delle parole chiave che, cmq, potrebbero aiutare a recuperare informazioni a riguardo).

5) Se tento di leggere il file con:
code:
windump -r Dump80
reading from file Dump80, link-type 538976257
windump: unknown data link type 538976257
Di preciso che errore sarebbe?

Che il tool non riesce a capire il tipo di data link (e.g. Ethernet, Token Ring, etc) su cui il traffico memorizzato nel file e` stato catturato.

bye,
Lorenzo

Voodoo

Mi scuso per le ovvietà e grzie per la risposta :)

sullivan

Ciao,

Originally posted by Voodoo
Mi scuso per le ovvietà e grzie per la risposta :)

nono, niente ovvieta`, ci mancherebbe... per alcune cose le pagine di manuale sono l'ideale, per altre no :-)

bye,
Lorenzo

gatto

Scusate ragazzi...sono uno studente di elettronica messo alle prese con TCPDUMP e WINDUMP.

Scusate se faccio domande profane.
Il fatto è che mi servono solo alcune cose su questi programmi e perderei forse settimane se mi devo mettere da solo a capire tutto.

Per la mia tesi il prof mi ha chiesto di generare un traffico di dati con uno di questi 2 programmi e sto quindi provando a capire come funzionano, windump in particolare.

Ho trovato questo forum e mi permetto di intromettermi :-)

Dove posso trovare innanzitutto un manuale di windump, avete qualche link?

Per analizzare un traffico di dati come faccio?
mi interessa sapere principalmente quanti pacchetti mi arrivano al secondo.
Può windump generare grafici?

Grazie mille in anticipo per qualsiasi risposta....davvero grazie

gatto

Originally posted by gatto
Scusate ragazzi...sono uno studente di elettronica messo alle prese con TCPDUMP e WINDUMP.

Scusate se faccio domande profane.
Il fatto è che mi servono solo alcune cose su questi programmi e perderei forse settimane se mi devo mettere da solo a capire tutto.

Per la mia tesi il prof mi ha chiesto di generare un traffico di dati con uno di questi 2 programmi e sto quindi provando a capire come funzionano, windump in particolare.

Ho trovato questo forum e mi permetto di intromettermi :-)

Dove posso trovare innanzitutto un manuale di windump, avete qualche link?

Per analizzare un traffico di dati come faccio?
mi interessa sapere principalmente quanti pacchetti mi arrivano al secondo.
Può windump generare grafici?

Grazie mille in anticipo per qualsiasi risposta....davvero grazie

Viry

Originally posted by gatto

Dove posso trovare innanzitutto un manuale di windump, avete qualche link?

http://www.winpcap.org/windump/docs/default.htm