Мониторинг tcp пакетов

Опубликовано Vladimir в Втр, 10.02.2009 - 14:49

Чтобы сохранять ip пакеты

Запись windump:

windump -w logfile.log -i Adaptername -n -s packetsize -tt "host ipORsitename and ip[2:2] > 100"

-n не преобразовывать ip сайтов в имена

-tt - писать время

-s packetsize (kb) максимальный размер пакета 0 - без ограничений

ip[2:2] > 100 - размер пакета

Пример:

Создает батник, в котором формируем дамп в файле с указанием даты и времени запуска

Мониторится 2-й сетевой интерфейс

Все пакеты tcp

Кроме хостов 111.123.0.123, 123.0.11.132

set HR=%TIME:~0,2%
set HR0=%TIME:~0,1%
if "%HR0%"==" " set HR=0%TIME:~1,1%
set MIN=%TIME:~3,2%
set SEC=%TIME:~6,2%
set MYDATE=%DATE%-%HR%%MIN%%SEC%
windump -w "c:\logs\web.%MYDATE%.log" -i 2 -s 0 -n -tt "tcp port 80 and (not host (111.123.0.123 or 123.0.11.132))"

Анализ в Wireshark:

Open log

Displayfilter: http.content_type contains "text/html"

Line-based text data - Export selected packet bytes...

 

 

 

Комментарии

Опубликовано Vladimir в Чт, 09.04.2009 - 23:23.

Wireshark позволяет кроме

Wireshark позволяет кроме прочего загружать дампы, сделаные windump, фильтровать и просматривать разные слои (IP, UDP,TCP, HTTP)

Опубликовано Anonymous в Ср, 18.03.2009 - 01:33.

На выходе в файле куча лишних

На выходе в файле куча лишних символов
Чем можно просмотреть полученный дамп?

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <p> <br><b><i>
  • Строки и параграфы переносятся автоматически.

Подробнее о форматировании

КАПЧА
Этот тест необходим защиты от спама
4 + 2 =
Решите эту простую математическую задачу и введите результат. То есть для 1+3, введите 4.