дамп tcpdump'а

0

0

Чем распарсить полный дамп tcpdump'a?
К примеру я скаяал картирку с сайта, как её получить из дампа?

Ссылка

←	iptables и прикреплённые файлы в теле писем

IPTABLES 3

→

wireshark запускай

borisych ★★★★★
(01.10.08 16:17:00 MSD)

Ответ на: комментарий от borisych 01.10.08 16:17:00 MSD

->wireshark запускай
акак в tcpdump'e весь пакет увидить?

anonymous
(02.10.08 14:51:45 MSD)

Ответ на: комментарий от anonymous 02.10.08 14:51:45 MSD

1) tcpdump -w tcpdump.pcap
wireshark tcpdump.pcap

2) tcpdump -A ...
3) tcpdump -XX
4) man tcpdump

Slavaz ★★★★★
(02.10.08 16:10:35 MSD)

Ответ на: комментарий от Slavaz 02.10.08 16:10:35 MSD

ну если я делаю вот так
tcpdump -AvvvXXi eth1 port 80
то у меня видны только заголовки пакетов http
я хочу понять как можно достать данные из pcap, ман курил, пока не понял(

anonymous
(02.10.08 16:49:49 MSD)

tcpflow на файл tcpdump'a натравите...

anonymous
(02.10.08 17:13:17 MSD)

Ответ на: комментарий от anonymous 02.10.08 17:13:17 MSD

->tcpflow на файл tcpdump'a натравите...
натравил, только wireshark, данных нет

anonymous
(02.10.08 17:30:24 MSD)

Ответ на: комментарий от anonymous 02.10.08 16:49:49 MSD

>то у меня видны только заголовки пакетов http

вообще я заметил последнее время, что если запускать tcpdump -w file то содержимое пакетов он просирает, почему так, я не изучал, tethereal обладает тем же функционалом, но пакеты не просирает

borisych ★★★★★
(02.10.08 21:09:11 MSD)

Ответ на: комментарий от borisych 02.10.08 21:09:11 MSD

надо добавлять
-s 0

~~sdio~~ ★★★★★
(02.10.08 22:25:19 MSD)

Ссылка

Ответ на: комментарий от anonymous 02.10.08 17:30:24 MSD

Пока носом не ткнешь никак?

На смотри!

$ sudo tcpdump -i ppp0 -s 0 -w lor.tcpdump host linux.org.ru

В др. консоле:
$ wget http://www.linux.org.ru/favicon.ico
$ ls -l favicon.ico
-rw-r--r-- 1 sergey sergey 894 2008-10-02 21:34 favicon.ico

Смотрим на wireshark:
http://picasaweb.google.com/sdio4lor/Ooo#5252629214696340498

$ ls -l favicon_capture.ico favicon.ico 
-rw-r--r-- 1 sergey sergey 894 2008-10-02 21:39 favicon_capture.ico
-rw-r--r-- 1 sergey sergey 894 2008-10-02 21:34 favicon.ico

$ cmp favicon_capture.ico favicon.ico ; echo $?
0

~~sdio~~ ★★★★★
(02.10.08 22:48:33 MSD)

Ссылка

Ответ на: комментарий от anonymous 02.10.08 16:49:49 MSD

>я хочу понять как можно достать данные из pcap, ман курил, пока не понял(

Дак может вам исходники tcpdump'а смотреть надо, а не созданый им файл?

mky ★★★★★
(02.10.08 22:59:58 MSD)

Ответ на: комментарий от mky 02.10.08 22:59:58 MSD

->Дак может вам исходники tcpdump'а смотреть надо, а не созданый им файл?
да, спссибо тем кто откликнулся оказалось там прото ограничение по колличеству считываемых байт.
А как выхватить не только заголоки, но и данные?

        data = (char *) (pkt + header_offset + size_ip + size_tcp);
        size_data = (header->caplen - (header_offset + size_ip + size_tcp));
        if (size_data <= 0) return;
        if (strncmp(data, "GET", strlen("GET")) == NULL || strncmp(data, "HEAD", strlen("HEAD")) == NULL) {
                req = 1;
        } else if (strncmp(data, "HTTP/", strlen("HTTP/")) == NULL) {
               rsp = 1;

anonymous
(04.10.08 12:34:08 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	iptables и прикреплённые файлы в теле писем

Admin

IPTABLES 3

→

Похожие темы