[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: анализаторы для tcpdump




Хмутро.
А уж к у нас "хмутро" :)


С counter.rambler.ru, порта www (сиречь 80 - см. /etc/services) на
host.domain.ru, порт 2365. "P 1:122(121)" сходу не расшифрую. Установлен флаг
ACK, 365 - видимо, номер пакета, к которому оный флаг относится. Окно размера
58400. Установлен флаг DF (Don't Fragment).

Спасибо

УБ> arp who-has ai.domain.com tell gw.domain.ru

Пакет протокола ARP. gw.domain.ru запрашивает, кто в его сегменте имеет адрес
ai.domain.com.

УБ> arp reply ai.domain.com is-at 0:60:94:23:26:4f

Пакет протокола ARP. Ответ на предыдущее. Адрес ai.domain.com имеет машина с
Ethernet-адресом 0:60:94:23:26:4f.

Ну  это более-менее понятно

По-поводу предыдущего письма - ясно, что такие утилиты существуют - не ясно КПД у них какое?
Т.е. кто-нть подобными анализаторами пользовался? какого рода выводы можно сделать на основе
tcpdump и `apt-cache search tcpdumpё` - вот что было интересно

Единственное приминение tcpdump-у я нашел во время недавней волны MS-вирусов(все в курсе про DCOM?) -
удалось вычленить машинку в сети с бешенным траффиком на 135-ом порту

А man - там могучий!! Без пары литров и не разобраться



--
Ужинский Борис aka delta9 (mailto:delta9@bolotov-team.ru d9tetra@poseti.ru)



Reply to: