Ваш личный шпион - tcpdump

[NoLimit]

Мне нравится использовать сниффер пакетов таких как tcpdump, потому что это греет мне душу . Пассивное прослушивание сети, перехват пакетов данных, в конце концов!, но применимо к пакетам TCP/IP, а не голосовым передачам. Несомненно, это, мои пакеты на моих же системах, но тем не менее идеи витают в воздухе. Еще более приятно осознавать, что у меня есть способность контролировать приходящий и уходящий трафик, и знать точно, что происходит в сети в настоящий момент.

Например, надо быть Фомой не верящим, как все мудрые системные администраторы, ведь есть возможность использовать tcpdump, чтобы проверить, работает ли кодирование. Вот то, на что в разрезе похож незашифрованный сеанс почты POP. Это - сокращенный пример, показывающий только начальному установлению связи TCP с тремя путями. Вы также можете сделать это самостоятельно, запуская tcpdump, когда проверяете почту. Ctrl+C завершит работу:

# tcpdump port 110

15:04:49.050227 windbag.34348 > venus.domain.com.pop3: S 2974284112:2974284112(0) win 5840 (DF)
15:04:49.190076 venus.domain.com.pop3 > windbag.34348: S 2862911212:2862911212(0) ack 2974284113 win 5840 (DF)
15:04:49.190168 windbag.34348 > venus.domain.com.pop3: . ack 1 win 5840 (DF)


Рассмотрим установленную связь подробно. Я уделю время, чтобы объяснить полученный результат.

15:04:49.050227 это текущее время, в соответствующем формате hh:mm:ss:fraction.

windbag.34348 > является обозначением породившего сигнал хоста и порта.

venus.domain.com.pop3: хост и порт адресата(см./etc/services).

S - первая часть установления связи TCP с тремя путями (SYN, SYN, ACK).

2974284112:2974284112 последовательность или диапазон байтов. Начальный порядковый номер (идентификатор объекта) сгенерирован случайно. Тогда порядковые номера для остальной части байтов при подключении увеличиваются на 1 от идентификатора объекта. Так как на данном этапе обмена информацией не происходит, то оба числа остаются прежними.

win 5840 является размером окна, или числом байтов пространства буфера, которое главный компьютер имеет в наличии для того, чтобы получить данные.

mss 1460 - максимальный размер сегмента, или максимальный размер датаграммы IP, который может быть обработан, не используя фрагментацию. Обе стороны подключения должны договориться о значении; если же они являются различными, используется наименьшее значение.

Средства sackOK – средства "признания по выбору", т.е. позволяют получателю распознавать пакеты из последовательности. Первоначально, пакеты могли только быть распознаны в последовательности. Так, если третий пакет из тысячи полученных пакетов пропал без вести, главный компьютер мог бы только подтвердить получение первых двух пакетов, и отправитель должен будет снова послать все пакеты от номера три до тысячного пакета. Средства sackOK позволяет только третьему пакету, которого и недостает, быть снова посланным.

timestamp 995173 0 мера времени возврата. Есть два поля: Timestamp Value(«Значение Timestamp ») и Timestamp Echo Reply («Эхо Timestamp»). На первом обмене Timestamp Echo Reply установлен в 0. Когда второй хост получает тот пакет, он передает timestamp от поля Timestamp Value старого пакета до поля Timestamp Echo Reply нового пакета. Тогда генерируется новое значение для поля Timestamp Value. Таким образом поле Timestamp Value содержит последний timestamp, в то время как поле Timestamp Echo Reply содержит предыдущий timestamp.

nop, или "нет операции," не является только дополнительной. Опции TCP должны быть множителями 4 байтов, поэтому nop используется, чтобы дополнить маленькие поля.

wscale 0> является изящной, но нудной работой, чтобы обойти оригинальное ограничение размера окна 65 535 байтов, потому что поле размера окна только 16 битов длиной. wscale предусматривает полный гигабайт буфера. Обе стороны подключения должны поддерживать эту опцию и быть согласными на ее использование; иначе размер окна не изменяется.

(DF) средства "не фрагментируются(don't fragment)"


Вот выборка остальной части дампа, показывающая передачу данных:

15:04:49.548954 windbag.34348 > venus.domain.com.pop3: P 46:52(6) ack 181 win 5840 (DF)
15:04:49.653945 venus.domain.com.pop3 > windbag.34348: P 181:238(57) ack 52 win 5840 (DF)


P флаг означает "push", или данные об отправке.

И теперь Вы видите пример последовательности/диапазона байтов, когда данные посылают: 181:238(57); т.е. 57 пакетов в этом конкретном сеансе обмена
.
Кодирование в подтверждение

Теперь давайте возвратимся к нашей начальной задаче - проверке пакетов, т.е. убедимся в том, что они вошли в наш почтовый сервер с должным образом шифрования данных. Вот довольно быстрый путь:

# tcpdump port 995
tcpdump: listening on eth0
16:10:05.054198 windbag.34465 > venus.euao.com.pop3s: S 2698160498:2698160498(0) win 5840 (DF)
16:10:05.171235 venus.domain.com.pop3s > windbag.34465: S 2694170013:2694170013(0) ack 2698160499 win 5840 (DF)
16:10:05.171319 windbag.34465 > venus.domain.com.pop3s: . ack 1 win 5840 (DF)


Это лог протокола pop3s, а не pop3. Мы можем копнуть еще глубже и попытаться рассмотреть вход в систему детально:

# tcpdump -X port 995


X опций отображают пакет в хорошо читаемом ASCII коде, как это показано в отрывке:

E...R(@.5..fE8..
................
P...`.......J...
F..A....yY.I.D..
=2....'i..E.....J.


Достаточно читабельно, чтобы убедиться, что любой шпионящий на нашем подключении не может фиксировать входы в систему и пароли. Этот же отрывок явно показывает логин и пароль в явном текстовом виде на входе в систему, но уже по протоколу pop3:

# tcpdump -X port 110
E8.....n.....V%.
P...T...USER.car
[Ссылки могут видеть только зарегистрированные пользователи.]..
32:46(14) ack 70 win 5840 (DF)
E..6..@[email protected]....
E8.....n...".V&.
P...n...PASS.mgY6Rf9W..


....Без комментариев...


Концентраторы (Hubs) – Трепачи

Если Ваша локальная сеть подключена при помощи концентраторов, которые является так сказать двадцатым веком, Вы можете вдохнуть трафик для любого хоста в сети не отрывая зад от стула. Любой компьютер в локальной сети может просто назвать себя главный (хостом), который Вы пожелаете наблюдать:

# tcpdump dst host workstation5


Или укажите IP-адрес хоста. Tcpdump автоматически установит вашу сетевую карту в прослушивающий режим, но вы не увидите этого через Ifconfig. Вы сможете увидеть это в dmesg или /var/log/messages. Откройте два оконных терминала. В одном, выполните tail -f /var/log/messages. В другом, выполните tcpdump, затем остановите его. Будет выведена подобная информация:

Nov 22 20:43:30 windbag kernel: eth0: Promiscuous mode enabled.
Nov 22 20:43:30 windbag kernel: device eth0 entered promiscuous mode
Nov 22 20:44:07 windbag kernel: eth0: Promiscuous mode enabled.
Nov 22 20:44:07 windbag kernel: device eth0 left promiscuous mode


Помехи в работе Коммутаторов(Switches)

Если Ваша локальная сеть оборудована коммутаторами, а не концентраторами, Вы не сможете сделать этого. Вы должны сначала поместить коммутатор в режим SPAN (Switch Port Analyzer). Это также называют "зеркальным копированием порта". Независимо от того, что Вы называете его, он поместит коммутатор в широковещательный режим точно так же как концентратор, с одним главным различием: весь трафик локальной сети направлен через порт сниффера, и только Вы, «богоподобная» администрация, можете видеть пакеты. Дешевые коммутаторы SOHO не могут сделать этого; это - особенность дорогостоящих продуктов от Cisco и Extreme.

Продолжение на следующей неделе, где будут изучены некоторые изящные сетевые диагностические уловки с tcpdump, такие как обнаружение признаков подрывной деятельности, диагностирования сетевых проблем, и вывод результатов работы tcpdump в двоичные файлы, подходящие для того, чтобы анализировать их утилитами такими как Ethereal и Snort.

Рекомендуем к прочтению
rfc 793 - описывает протокол управления передачей данных (tcp) в детально.
rfc 1180 - является превосходной обучающей статьей.

[Ссылки могут видеть только зарегистрированные пользователи.]