Тема: Следене на локалната мрежа (Прочетена 1679 пъти)

ivanatora · « -: Apr 21, 2004, 23:58 »

Как мога да разбера дали някоя от щайгите в локалната мрежа раздава интернет на друга щайга (Б), вързана директно за първата (А)? Пакетите към гетауея на мрежата все ще идват от А, тези от (Б) ще преминават през А и ще бъдат неуловими. Мога ли с tcpdump, да речем, да видя някаква разлика в пакетите идващи нормално от А и тези, които минават от Б през А? Как, и каква би била разликата?

kennedy · « **Отговор #1 -:** Apr 22, 2004, 08:00 »

TTL няма ли да свърши работа?

ivanatora · « **Отговор #2 -:** Apr 22, 2004, 11:00 »

А как ще е самата команда за tcpdump? Там съм гол и бос.. нещо от рода на "# tcpdump -vvv -i eth1 |grep 10.10.10 |grep TTL " ли ще е? Мрежата ни е 10.10.10.ХХХ

Uvigii · « **Отговор #3 -:** Apr 22, 2004, 13:21 »

1. За grep накрая: ttl или -i TTL. Мисля, че това е напълно достатъчно:

Цитат

tcpdump -i eth1 -v host 10.10.10.xxx

2. А какво ако е пуснал някакво прокси ? Може и да няма начин да разбереш ... но все пак
nmap -sS -vv -P0 10.10.10.xxx. Където 10.10.10.xxx е IP на заподозрения потребител

'>

« **Отговор #4 -:** Apr 23, 2004, 14:09 »

Shte obqsnite li malko po-nashiroko kakwo tochno shte se razbere s towa TTL. Nali time_to_live imate predwid?

Филип Бонев · « **Отговор #5 -:** Apr 23, 2004, 17:06 »

за TTL това е време на живот на пакет. При преминаване през някоя щайга TTL се намалява с 1.

Примерно на линукс като тръгва пакет е с TTL=64 и ако мине през рутер тогава, ще се намали с 1 и ще стане 63,
за Windows мисла че TTL=128 като излиза от машината.

И така, но има и начини да се заобиколи това примерно с iptables и някои патч върху kernel-а. Но да не задълбаваме.

Автор Тема: Следене на локалната мрежа (Прочетена 1679 пъти)