masterzp Feb 1 2014 at 17:29

Фильтры захвата для сетевых анализаторов (tcpdump, Wireshark, Paketyzer)

18 min

201K

Information Security*

Tutorial

+63

Comments 20

Ingtar Feb 1 2014 at 18:25

Большое спасибо)

hardex Feb 1 2014 at 18:40

Кажется, уже поздно, но distance в английском языке никогда не употребляется как прилагательное. «Дистанционное» — remote.

masterzp Feb 1 2014 at 21:34

Вроде достаточно часто встречаемое прилагательное, даже википедия пользуется.
Но все может быть, тут не берусь утверждать однозначно)

zorgzerg Feb 1 2014 at 21:30

Внезапно WS обошел tcpdump… испытываю глубочайшее удивление

navion Feb 1 2014 at 21:43

Он первый в Гугле, поэтому даже на Винде его предпочитают netmon'у.

PTPtupit Feb 1 2014 at 22:11

так он гибче как анализатор… графики там строить можно, отчеты…

grossws Feb 1 2014 at 22:14

Возможно, автору стоило разделить опрос на две части: что используется для захвата, что для анализа.

У меня обычно для захвата (и в меньшей степени для анализа) используется tcpdump, который либо пишет в консоль, либо в файл, либо в pipe. А дальше wireshark для более подробного анализа на рабочей станции.

Ovsiannikov Feb 1 2014 at 22:55

Увы, это не работает, когда размер фала измеряется гигабайтами. wireshark — пытается всё засунуть в память :(

grossws Feb 1 2014 at 23:05

Обычно для этого и нужна фильтрация на уровне libpcap

grossws Feb 2 2014 at 00:09

Причем, никто не запрещает фильтровать записать большой и подробный дамп в pcap-формате, а потом фильтровать его tcpdump'ом для получения более компактных файлов, анализируемых wireshark'ом.

P. S. Кто-то сильно недовольный пробежался по всей ветке и, не пояснив свои минусы, слинял(

morkot Feb 2 2014 at 00:18

Ещё есть консольная утилита tshark от разработчиков wireshark.
P.S. восстановил статус кво.

Intercepter Feb 24 2014 at 19:15

неправда.

masterzp Feb 2 2014 at 00:21

Согласен. так было бы информативней

naszar Feb 2 2014 at 05:18

Поддержу. Часто там, где надо поймать траффик, гуя нет, а смотреть траффик хочется с комфортом. Еще есть cloudshark, избавляет, в некоторых случаях, от необходимости устанавливать wireshark.

mihmig Feb 2 2014 at 16:55

Пользуясь случаем спрошу:
Чем можно посмотреть протокол обмена MS SQL клиента и сервера (в случае, если доступа к серверу нет и встроенным средством мониторинга воспользоваться нет возможности)? Интересуют именно SQL-команды.
(нет, пароль не нужен — он известен и его может показать Cain&Abel)

masterzp Feb 3 2014 at 14:47

Я так понимаю все сильно зависит от того шифруются ли данные? Насколько мне известно MS SQL умеет шифровать. У вас происходит шифрование?

rdntw Feb 3 2014 at 14:41

мне бы было интересней посмотреть статистику кто именно пользуется анализаторами трафика.
администраторы/сетевые инженеры/ разработчики софта/ безопасники.
может кого-то упустил…

masterzp Feb 3 2014 at 14:56

Добавил) понятно, что например, программисты бывают разные, и далеко не всем нужны анализаторы, но тут можно детализировать до бесконечности, так что оставим пока так)

masterzp Feb 4 2014 at 21:53

А задачку так никто и не разобрал?)

pavelsh Feb 18 2014 at 01:14

Разобрал. Фильтр показывает tcp пакеты с/на порт 80, у которых payload не равен 0 (то есть несущих информацию)

Show the best of all time