Анализ tcpdump'ом

Разговоры ни о чём

Модератор: vadim64

Гость
проходил мимо

Анализ tcpdump'ом

Непрочитанное сообщение Гость » 2011-02-21 10:50:05

Добрый день.
Пытаюсь разобрать пакеты с помощью tcpdump'ом:

Код: Выделить всё

09:06:37.654430 IP 172.22.6.148.4739 > 172.12.10.12.25: S 1923109293:1923109293(0) win 65535 <mss 1460,nop,nop,sackOK>
09:06:37.654515 IP 172.12.10.12.25 > 172.22.6.148.4739: S 944429153:944429153(0) ack 1923109294 win 65535 <mss 1460,sackOK,eol>
09:06:37.654763 IP 172.22.6.148.4739 > 172.12.10.12.25: . ack 1 win 65535
09:06:37.658038 IP 172.12.10.12.25 > 172.22.6.148.4739: P 1:42(41) ack 1 win 65535
09:06:37.658773 IP 172.22.6.148.4739 > 172.12.10.12.25: P 1:15(14) ack 42 win 65494
09:06:37.659605 IP 172.12.10.12.25 > 172.22.6.148.4739: P 42:192(150) ack 15 win 65535
09:06:37.660321 IP 172.22.6.148.4739 > 172.12.10.12.25: F 15:15(0) ack 192 win 65344
09:06:37.660398 IP 172.12.10.12.25 > 172.22.6.148.4739: . ack 16 win 65535
09:06:37.660803 IP 172.12.10.12.25 > 172.22.6.148.4739: F 192:192(0) ack 16 win 65535
09:06:37.661050 IP 172.22.6.148.4739 > 172.12.10.12.25: . ack 193 win 65344
09:06:37.666675 IP 172.22.6.148.4741 > 172.12.10.12.25: S 921075364:921075364(0) win 65535 <mss 1460,nop,nop,sackOK>
09:06:37.666754 IP 172.12.10.12.25 > 172.22.6.148.4741: S 76668007:76668007(0) ack 921075365 win 65535 <mss 1460,sackOK,eol>
09:06:37.666992 IP 172.22.6.148.4741 > 172.12.10.12.25: . ack 1 win 65535
Вопрос:
1. 172.22.6.148.4739 - это ип адрес 172.22.6.148 который обращается по 4739 порту?
2. Что обозначают флаги S,P,F?
Спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: Анализ tcpdump'ом

Непрочитанное сообщение rmn » 2011-02-21 12:03:26

Гость писал(а): 1. 172.22.6.148.4739 - это ип адрес 172.22.6.148 который обращается по 4739 порту?
2. Что обозначают флаги S,P,F?
Спасибо.
1. нет. это порт на котором он ждет ответ. А обращается он на порт 25 хоста 172.12.10.12
2. запусти tcpdump с ключами v (чем больше ключей, тем подробней отчет) - увидишь расшифровку флагов

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Анализ tcpdump'ом

Непрочитанное сообщение manefesto » 2011-02-21 12:05:45

а вообще я бы погугли или маны почитал, когда сам не знаю, то лезу спрашивать, хотя иногда откровенно лень искать
я такой яростный шо аж пиздеЦ
Изображение

Гость
проходил мимо

Re: Анализ tcpdump'ом

Непрочитанное сообщение Гость » 2011-02-21 13:06:36

что бы понимать tcpdump
нужно понимать основы сетей
так что не с той стороны копаете
маны и гугл не поможет

Гость
проходил мимо

Re: Анализ tcpdump'ом

Непрочитанное сообщение Гость » 2011-02-21 14:04:24

rmn писал(а):1. нет. это порт на котором он ждет ответ. А обращается он на порт 25 хоста 172.12.10.12
2. запусти tcpdump с ключами v (чем больше ключей, тем подробней отчет) - увидишь расшифровку флагов

Код: Выделить всё

#tcpdump -npi fxp1 -vv host 172.22.6.148
12:52:29.232011 IP (tos 0x0, ttl 127, id 46607, offset 0, flags [DF], proto TCP (6), length 48) 172.22.6.148.5000 > 172.12.10.12.25: S, cksum 0x3f14 (correct), 1039370678:1039370678(0) win 65535 <mss 1460,nop,nop,sackOK>
12:52:29.232131 IP (tos 0x0, ttl 64, id 63893, offset 0, flags [DF], proto TCP (6), length 48) 172.12.10.12.25 > 172.22.6.148.5000: S, cksum 0x251e (correct), 612365926:612365926(0) ack 1039370679 win 65535 <mss 1460,sackOK,eol>
12:52:29.232373 IP (tos 0x0, ttl 127, id 46608, offset 0, flags [DF], proto TCP (6), length 40) 172.22.6.148.5000 > 172.12.10.12.25: ., cksum 0x50e1 (correct), 1:1(0) ack 1 win 65535
12:52:29.240302 IP (tos 0x0, ttl 64, id 63898, offset 0, flags [DF], proto TCP (6), length 81) 172.12.10.12.25 > 172.22.6.148.5000: P, cksum 0x89e2 (correct), 1:42(41) ack 1 win 65535
12:52:29.241141 IP (tos 0x0, ttl 127, id 46617, offset 0, flags [DF], proto TCP (6), length 54) 172.22.6.148.5000 > 172.12.10.12.25: P, cksum 0x83d7 (correct), 1:15(14) ack 42 win 65494
12:52:29.242042 IP (tos 0x0, ttl 64, id 63899, offset 0, flags [DF], proto TCP (6), length 190) 172.12.10.12.25 > 172.22.6.148.5000: P 42:192(150) ack 15 win 65535
12:52:29.242805 IP (tos 0x0, ttl 127, id 46622, offset 0, flags [DF], proto TCP (6), length 40) 172.22.6.148.5000 > 172.12.10.12.25: F, cksum 0x50d2 (correct), 15:15(0) ack 192 win 65344
12:52:29.242968 IP (tos 0x0, ttl 64, id 63900, offset 0, flags [DF], proto TCP (6), length 40) 172.12.10.12.25 > 172.22.6.148.5000: ., cksum 0x5013 (correct), 192:192(0) ack 16 win 65535
12:52:29.246567 IP (tos 0x0, ttl 64, id 63902, offset 0, flags [DF], proto TCP (6), length 40) 172.12.10.12.25 > 172.22.6.148.5000: F, cksum 0x5012 (correct), 192:192(0) ack 16 win 65535
12:52:29.246912 IP (tos 0x0, ttl 127, id 46623, offset 0, flags [DF], proto TCP (6), length 40) 172.22.6.148.5000 > 172.12.10.12.25: ., cksum 0x50d1 (correct), 16:16(0) ack 193 win 65344
12:52:29.249164 IP (tos 0x0, ttl 127, id 46626, offset 0, flags [DF], proto TCP (6), length 48) 172.22.6.148.1026 > 172.12.10.12.25: S, cksum 0xd307 (correct), 4161424177:4161424177(0) win 65535 <mss 1460,nop,nop,sackOK>
12:52:29.249353 IP (tos 0x0, ttl 64, id 63903, offset 0, flags [DF], proto TCP (6), length 48) 172.12.10.12.25 > 172.22.6.148.1026: S, cksum 0x59df (correct), 2788414436:2788414436(0) ack 4161424178 win 65535 <mss 1460,sackOK,eol>
12:52:29.249596 IP (tos 0x0, ttl 127, id 46627, offset 0, flags [DF], proto TCP (6), length 40) 172.22.6.148.1026 > 172.12.10.12.25: ., cksum 0x85a2 (correct), 1:1(0) ack 1 win 65535
12:52:29.253303 IP (tos 0x0, ttl 64, id 63907, offset 0, flags [DF], proto TCP (6), length 81) 172.12.10.12.25 > 172.22.6.148.1026: P, cksum 0xbea3 (correct), 1:42(41) ack 1 win 65535
12:52:29.254067 IP (tos 0x0, ttl 127, id 46636, offset 0, flags [DF], proto TCP (6), length 54) 172.22.6.148.1026 > 172.12.10.12.25: P, cksum 0xb898 (correct), 1:15(14) ack 42 win 65494
12:52:29.255434 IP (tos 0x0, ttl 64, id 63912, offset 0, flags [DF], proto TCP (6), length 190) 172.12.10.12.25 > 172.22.6.148.1026: P 42:192(150) ack 15 win 65535
12:52:29.256279 IP (tos 0x0, ttl 127, id 46641, offset 0, flags [DF], proto TCP (6), length 40) 172.22.6.148.1026 > 172.12.10.12.25: F, cksum 0x8593 (correct), 15:15(0) ack 192 win 65344
12:52:29.256356 IP (tos 0x0, ttl 64, id 63913, offset 0, flags [DF], proto TCP (6), length 40) 172.12.10.12.25 > 172.22.6.148.1026: ., cksum 0x84d4 (correct), 192:192(0) ack 16 win 65535
12:52:29.256775 IP (tos 0x0, ttl 64, id 63914, offset 0, flags [DF], proto TCP (6), length 40) 172.12.10.12.25 > 172.22.6.148.1026: F, cksum 0x84d3 (correct), 192:192(0) ack 16 win 65535
12:52:29.257019 IP (tos 0x0, ttl 127, id 46642, offset 0, flags [DF], proto TCP (6), length 40) 172.22.6.148.1026 > 172.12.10.12.25: ., cksum 0x8592 (correct), 16:16(0) ack 193 win 65344
12:52:29.271103 IP (tos 0x0, ttl 127, id 46645, offset 0, flags [DF], proto TCP (6), length 48) 172.22.6.148.1028 > 172.12.10.12.25: S, cksum 0x30b9 (correct), 3476428370:3476428370(0) win 65535 <mss 1460,nop,nop,sackOK>
12:52:29.271236 IP (tos 0x0, ttl 64, id 63922, offset 0, flags [DF], proto TCP (6), length 48) 172.12.10.12.25 > 172.22.6.148.1028: S, cksum 0xc809 (correct), 1186800354:1186800354(0) ack 3476428371 win 65535 <mss 1460,sackOK,eol>
12:52:29.271482 IP (tos 0x0, ttl 127, id 46646, offset 0, flags [DF], proto TCP (6), length 40) 172.22.6.148.1028 > 172.12.10.12.25: ., cksum 0xf3cc (correct), 1:1(0) ack 1 win 65535
Че та слишком много обращении с этого хоста по SMTP (десятки обращении в минуту).
Похоже на какой ты брутфорс.
Как угаманить это хост? и чего он добивается?
Спасибо.

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: Анализ tcpdump'ом

Непрочитанное сообщение rmn » 2011-02-21 14:22:16

видимо, там сидит вирь и рассылает спам

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Анализ tcpdump'ом

Непрочитанное сообщение ADRE » 2011-02-21 19:06:11

rmn писал(а):видимо, там сидит вирь и рассылает спам
ага к цыганке не ходи
//del