рег. выражение для tcpdump

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Ivanoff
рядовой
Сообщения: 48
Зарегистрирован: 2008-08-13 8:55:45
Контактная информация:

рег. выражение для tcpdump

Непрочитанное сообщение Ivanoff » 2008-09-10 12:45:36

помогите правильно отфильтровать пакетики tcpdump'ом :) Вообщем хочу посмотреть весь процесс общения клиента 192.168.1.6(ip получает статически через dhcp) и dchp сервера. Юзаю tcpdump вот так:

Код: Выделить всё

tcpdump -i le0 -n -nn '( port 67 ) or ( port 68 )'
Получается отловить некоторые пакеты, но чего то мне кажется не все ловятся :( насколько корректно это рег. выражение? и еще вопрос :) а нельзя ли подсмотреть что находится внутри этих пакетиков, например когда клиенту приходит подтверждение типа все ок можешь юзать ip ему в месте с этой информацией передаются некоторые др. параметры например адрес тфтп сервера и путь?

p.s. man tcpdump читал но моего знания фиглиша к сожалению не хватает :( помогите плз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение schizoid » 2008-09-10 14:14:16

добавить -vvv не пробовал?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Ivanoff
рядовой
Сообщения: 48
Зарегистрирован: 2008-08-13 8:55:45
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение Ivanoff » 2008-09-10 14:22:20

schizoid писал(а):добавить -vvv не пробовал?
Пробовал, но все же не нахожу next-server или root-patch в пакетах...

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение manefesto » 2008-09-10 14:29:27

попробуй через гуёвую морду.
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение schizoid » 2008-09-10 14:30:07

а в логах ДШСП нету чтоли?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Ivanoff
рядовой
Сообщения: 48
Зарегистрирован: 2008-08-13 8:55:45
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение Ivanoff » 2008-09-10 14:36:42

manefesto писал(а):попробуй через гуёвую морду.
на серве нет Хов
schizoid писал(а):а в логах ДШСП нету чтоли?
Мне надо изучить протокол, для этого сырые пакеты бы увидеть... не уверен что они есть в логах ;)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение zingel » 2008-09-10 14:46:56

чего конкретно хочешь увидеть в выводе? уровень OSI какой?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Ivanoff
рядовой
Сообщения: 48
Зарегистрирован: 2008-08-13 8:55:45
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение Ivanoff » 2008-09-10 14:53:03

zingel писал(а):чего конкретно хочешь увидеть в выводе? уровень OSI какой?
Ну вот если читать RFC там формат DCHP сообщения:

Код: Выделить всё

op         1 байт                     (тип сообщения)
htype    1 байт                      (тип адреса оборудования)
...
options переменный             (Поле дополнительных параметров)
это и надо увидеть, уровень OSI ;) приложения наверное, dchp серв приложение ведь :)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение zingel » 2008-09-10 14:54:09

-nn -tt
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Ivanoff
рядовой
Сообщения: 48
Зарегистрирован: 2008-08-13 8:55:45
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение Ivanoff » 2008-09-10 15:00:29

zingel писал(а):-nn -tt

Код: Выделить всё

[root@localhost /usr/home/kot]# tcpdump -i le0  -tt -n -nn  ' ( dst port 67 ) or ( dst port 68 )'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on le0, link-type EN10MB (Ethernet), capture size 96 bytes
1221047858.912821 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:00:6e:2c, length 548
1221047858.915540 IP 192.168.1.10.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 452
1221047859.957017 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:00:6e:2c, length 548
1221047859.958933 IP 192.168.1.10.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 452
-tt Выводит не форматированный временной штамп в каждой строке дампа
Время мну не интересно...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение zingel » 2008-09-10 15:01:07

-xx -vvv
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Ivanoff
рядовой
Сообщения: 48
Зарегистрирован: 2008-08-13 8:55:45
Контактная информация:

Re: рег. выражение для tcpdump

Непрочитанное сообщение Ivanoff » 2008-09-10 15:03:16

zingel писал(а):-xx -vvv
Спасибо то что надо! :)