tcpdump yorumlama

Başlatan kzltp66, 21 Eylül 2012 - 13:43:58

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

Yazdır
Aşağı git Sayfa1
Kullanıcı Eylemleri

kzltp66

21 Eylül 2012 - 13:43:58
Arkadaşlar tcpdump hakkında az çok bilgi ögrendim ama şu yakalanan paketleri yorumlayamıyorum.Yardımcı olursanız sevinirim

cagriemer

#1
21 Eylül 2012 - 14:04:11
tcpdump ciktisini yorumlamak icin tcp, ip, http, arp gibi protokolleri, basitce de olsa nasil calistiklarini ve genel port numaralarini ogrenmelisiniz. Fakat cok kabaca ozetlemek gerekirse once DNS sunucumuzun fiziksel adresini cozumleriz. Ardindan DNS sunucumuza gitmek istedigimiz yerin IP adresini istedigimizi bildiririz. Oradan bize bir cevap doner. Biz bu donen cevaptaki adrese baglantiya gecmek istedigimizi bildiririz, o bize baglantiya gecmek istedigini anliyorum der, biz de peki o zaman baglandim deriz. Sonra istedigim bilgi su deriz, o da bize o bilgiyi yollar. Biz o bilgiyi aldigimizi teyit ederiz. Temel olarak tcpdump ciktisi bu siralamayi izler. Protokollerin nasil calistigini ogrendikce cok daha rahat anlarsiniz.

kzltp66

#2
21 Eylül 2012 - 14:50:13 Son düzenlenme: 22 Eylül 2012 - 00:06:02 if
arp hariç az çok bilgim var ama örneğin;

Kod Seç
#tcpdump -i wlan0 komutundan sonra yakalanan paketleri az çok yorumluyorumda bazılarında değişik karakterler oluyor onlarda sıkıntı çekiyorum

heartsmagic

#3
22 Eylül 2012 - 03:57:15
Aradığın şey şu olabilir mi?
Kod Seç
-A     Print each packet (minus its link level header) in ASCII.  Handy for capturing web pages.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?

Böylece yalan, dünyanın düzenine dönüştürülüyor.

arpia

#4
22 Eylül 2012 - 10:27:20
Merhaba @kzltp66,
@cagriemer size çok güzel bir harita çıkarmış, ve söylemesi gerekeni söylemiş :) @cagriemer kimsin sen? :P

Fikrimce az, çok bilgim var kısmına ARP'yi de kısa zamanda eklemenizi öneririm. Zira bir "ARP Poisoning" gördüğünüz de bir anlam teşkil etmeyecektir.

kzltp66

#5
22 Eylül 2012 - 14:42:36
benim ingilizceyi biraz ilerletmem lazım

brooqs

#6
02 Aralık 2012 - 22:02:18 Son düzenlenme: 03 Aralık 2012 - 00:50:05 if
Alıntı yapılan: kzltp66 - 21 Eylül 2012 - 13:43:58
Arkadaşlar tcpdump hakkında az çok bilgi ögrendim ama şu yakalanan paketleri yorumlayamıyorum.Yardımcı olursanız sevinirim

Selam tcpdump ı filtre etmeden kullanmak epey bir zor olacaktır senin için.  Mesela kendimden örnek vereyim. Genelde tcpdump için network trafiğindeki sıkıntıları bulurken kullanırım. tcpdump ı aşağıdaki şekillerde pipe tan sonra grep kullanarak filtre etmen işlerini daha da kolaylaştıracaktır. Aşağıya bir kaç örnek yazıyorum umarım faydalı olur.
Kod Seç

tcpdump -n -i eth0 host 192.168.1.45 -v |grep ICMP

Yukarıdaki örnekte eth0 interfaceindeki 192.168.1.45 nolu ip adresinden gelen ping paketlerini görebilirsin. Eğer paketlerde sadece echo request geliyor ise muhtemelen ping attığın cihaz sana cevap olarak paketleri gönderemiyordur. Muhtemel farklı network sorunudur.
Kod Seç

tcpdump -n -i eth0 host 192.168.1.45 and port 80

Yukarıdaki komutta 1.45 ip adresinin sadece 80 nolu portunu dinler. Bu dinleme sırasında sağlıklı bir trafik varsa S, P, ve F flaglarını görebilmen gerekir. Daha fazla detaya girersem çıkamam birdaha ama kısaca anlatmak gerekirse.

S syn flagı paketin içeriğinde bağlantı bilgileri bulunur. Eğer bu paketi karşı taraf almışsa aldığına dair bilgi gönderir bu durumdada ACK durumu oluşur. ardından P flagı veri transferini başlatır. Paket aktarımı bittiğinde F fin flagı ile veri alış veririşi son bulur.

İyi geceler.
Linux is an adventure!!!
Yazdır
Yukarı git Sayfa1
Kullanıcı Eylemleri