标签: sniffing
tcpdump:捕获几个 vlan 之一
我希望 tcpdump 捕获 VLAN 1000 或 VLAN 501。man pcap-filter说:
可以多次使用 vlan [vlan_id] 表达式来过滤 VLAN 层次结构。每次使用该表达式都会将过滤器偏移量增加 4。
当我做:
tcpdump -vv -i eth1 \( vlan 1000 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \)
我得到捕获的数据包。
但是当我这样做时:
tcpdump -vv -i eth1 \( vlan 1000 or vlan 501 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \)
我没有收到任何数据包——我推测是因为手册页中描述的“增加 4”行为。
如何一次捕获多个 VLAN 上的流量?
推荐指数
解决办法
查看次数
托管在 1.0.0.0/8 子网上的网站,在 Internet 上的某个地方?
背景
我试图用一个真实世界的例子来说明为什么有人不想在 1.0.0.0/8 子网上配置他们的内部网络。显然这是因为这没有被指定为私有地址空间。
截至 2010 年,ARIN 显然已将 1.0.0.0/8 分配给 APNIC(亚太 NIC),后者似乎已开始在该子网中分配地址,但并未在 1.1.0.0/16、1.0.0.0/16 和其他(因为这些地址被 Internet 上的不良网络配置所污染)。
我的问题
我的问题是:我想找到一个在此子网上响应的网站,并将其用作反例,向非技术用户展示其无法从 1.0.0.0/8 上配置的内部网络访问。除了编写一个程序来嗅探所有约 1600 万台主机,在端口 80 上寻找响应,有没有人知道我可以使用的目录,或者更好的是,有没有人知道在这个子网上配置的站点?
在这一点上,WHOIS 似乎对我来说太笼统了......
推荐指数
解决办法
查看次数
嗅探移动流量数据
我现在正在为我们的移动部门准备一个自动化测试实验室,主要由安卓设备组成。
对于第一阶段,我需要 HTTP 设备嗅探,我无法在设备上执行此操作,因为它们并非全部扎根,并且并非所有设备都是 4.0 及更高版本,因此它们可以使用基于 VPN 的解决方案。
我正在考虑一个将在设备 wifi“高级设置”中定义的代理,并且应该使用请求响应头 + 正文创建 .txt 文件(因为它没有特殊格式并且是纯文本应该对我来说很好用) .
如果需要,我将在稍后解决 HTTPS。
我的问题是哪个代理服务器可以最快地为此类操作设置和编写脚本?我想一次可以发出请求的设备不会超过 10-15 个,在我的设置中负载不会有太大问题,但确保每个设备都有自己的数据打印到文件中。
我知道squid 存在,tinyproxy 我知道apache 有一个proxy_mod 可以做到这一点,不确定它是否适合我的需要。服务器机器是 linux,所以没有提琴手会来帮助我。
推荐指数
解决办法
查看次数
tcpdump 文件大小 == 流量大小?
我创建了一个 tcpdump 文件:
tcpdump -i eth0 host xxx.208.xxx.59 -n -s 0 -vvv -w /tmp/dump.dmp
持续时间约为3小时。
此文件现在有 450 MB。我现在可以说 IP xxx.208.xxx.59 在 3 小时内产生了 450 MB 的流量吗?
推荐指数
解决办法
查看次数
如何使用 Wireshark 设置捕获本地 wifi 网络上的所有数据包 -
我正在尝试在家庭实验室环境中复制“wifi 咖啡馆”设置。我想演示其他无线设备可以查看 wifi 网络上未加密(非 HTTPS)的网络流量。我已经在有线网络上看到了这个动作(ala firesheep )。
我已正确配置 Wireshark 以在无线接口上进行捕获。我还可以使用监控模式查看和捕获 802.11 数据包,但看不到它们的内容。
我缺少哪些设置,或者我是否需要解码 WPA2 密码才能查看数据?
如果我需要密码,我就有它(假设这是我的实验室网络)。如果是这种情况,是否有软件可以在记录数据后对其进行解密?
@Leo 的上下文和更多信息更新:
当我开始这个过程时,我在 MacBook Air 上的 en0 接口(无线)上使用了混杂模式。我能够检测到从本地计算机到相关 URL 的网络流量,但是当从不同的设备查看相同的 URL 时,我无法看到该设备的流量。
这是有道理的,因为我正在监视本地接口,并且来自目标设备的流量没有流经 MacBook 上的接口。(这是有道理的,即使我处于混杂模式,流量也是在 AP(接入点)和目标无线客户端之间进行的。)
我也在“以太网”模式下进行监视。
然后我切换到该接口的监控模式(参见屏幕截图#3),我所能看到的只是无线电流量,而不是该无线电流量中的 IP。有警告称某些网卡在监视模式下会断开关联,这确实有道理。
但是,如果我可以看到无线电流量,我会期望看到所有无线电流量,从而包含所有IP,即使它已加密。因此,我认为,如果给出正确的无线密码(我再次拥有),我可能能够解密目标客户端和 AP 之间的无线电数据包。也许我对这里的数据流的理解遗漏了一些东西?...
推荐指数
解决办法
查看次数
我可以读取发送到/来自其他计算机的数据吗?
假设在计算机 A 上安装了嗅探程序。 假设我正在计算机 B 上查看 Youtube 视频。
嗅探程序能看到计算机 B 在做什么吗?
如果可能的话,女巫嗅探程序可以做到吗?如果有帮助,我会使用 Ubuntu。
推荐指数
解决办法
查看次数
是否可以捕获到远程 Web 服务器的流量
我注意到我的用户名和密码在 HTTP POST 请求中以纯文本形式发送到远程服务器。这是来自 Wireshark 的嗅探包装
POST /***URL*** HTTP/1.1
Host: ***DNS NAME***
Content-Length: 463
site2pstoretoken=***TOKEN***&ssousername=***MY USER NAME***&password=***MY PASSWORD***
本网站不使用 TSL 并暴露于外部 Internet 网络。
Q1:是否可以嗅探到该远程服务器的传入流量(并获取所有密码)?
Q2:我认为这是一个安全漏洞,我错了吗?
推荐指数
解决办法
查看次数
无法在 Wireshark 中解密 imaps 流量
我目前在 Wireshark 中解密 IMAPS 流量时遇到问题。我使用正确的 IP 地址、端口 993 和协议设置了 SSL 密钥imap。钥匙是正确的。
这就是我在 SSL 日志中看到的内容:
dissect_ssl enter frame #136 (already visited)
conversation = 0x7fdb633e83f8, ssl_session = (nil)
record: offset = 0, reported_length_remaining = 229
dissect_ssl3_record: content_type 23
association_find: TCP port 59182 found (nil)
association_find: TCP port 993 found 0x7fdb77125e80
另外,Wireshark 在TLSv1包中向我显示,现在应该有 IMAP 数据,但当我执行“遵循 SSL 流”时,我看不到任何内容。
SSL 包如下所示:
0000 00 00 ff ff 00 00 00 00 00 00 00 00 00 00 08 00 ........ ........
0010 …推荐指数
解决办法
查看次数
被动以太网抽头
我很难弄清楚为什么我不能使用自制的以太网分接头和铜缆捕获两个设备之间双向流动的数据包,看起来就像这样:
两个终端设备(例如 A 和 B)都连接到交换机。但是由于嗅探器(一台普通的笔记本电脑)只有一个以太网端口,我无法执行嗅探,就像在大多数情况下(例如使用 Network Tap 的 Wireshark 示例)一样,在嗅探器上接收来自 TX 和 RX 的流量带2个接口。
因此,为了“解决”这个问题,我只是将 2 个(tap)连接器端口插入交换机上的端口,最后将 1 个端口从交换机连接到嗅探器。我以为数据包只会被广播,但每次我将连接器插入交换机时,A 和 B 之间的连接都会中断(无法从 A ping 到 B,反之亦然)。我做了一个场景的说明:
当我执行此连接时,交换机遇到了什么样的问题?是否真的需要商用水龙头(具有 3 个端口的设备:A、B 和嗅探端口)?
有任何想法吗?
PS:我不想使用端口镜像或集线器。我想要一个被动点击。
推荐指数
解决办法
查看次数
标签 统计
sniffing ×9
networking ×2
tcpdump ×2
wireshark ×2
automation ×1
encryption ×1
internet ×1
linux ×1
monitoring ×1
promiscuous ×1
proxy ×1
remote ×1
security ×1
ssl ×1
subnet ×1
tap ×1
vlan ×1
wifi ×1