tcpdump - filtrering beroende på serverns adress

Trädvy Permalänk
Medlem
Registrerad
Jun 2004

tcpdump - filtrering beroende på serverns adress

Blir inte riktigt klok på det här ärligt talat. Vad är kommandot ifall jag vill filtrera fram paket beroende på serverns adress?

Förstår att det här är en stor noob-fråga och borde vara lätt att hitta, ändå gör jag inte det.

Trädvy Permalänk
Medlem
Registrerad
Apr 2014

@TrIff: Du kan använda dig av filtrering på host för att se trafik som går till och från en dator.

Exempelvis:

tcpdump -ni eth0 host 192.168.1.55

-- Citera mig om ni vill få återkoppling --

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Mar 2008

Denna verkar bra: http://rationallyparanoid.com/articles/tcpdump.html
Massa fina exempel med host, src host o.s.v.
Sen kan du såklart chaina ihop filter också, t.ex. " "host 1.2.3.4 and port 80" or "host 2.3.4.5 and port 443" "

Trädvy Permalänk
Medlem
Registrerad
Jun 2004

Tack!

Jag försöker nu fånga paket från websidor jag besöker. Det jag vill göra är att logga in på en sida som gör http istället för https (fotosidan.se i det här fallet) och fånga in användarnamn och lösenord i ett paket och skriva det till fil.

Har försökt lite allt möjligt, problemet är att när jag kör sudo tcpdump -i eth0 port 80 så fångar den inte några paket överhuvudtaget fast jag surfar omkring.

Det jag tror att jag ska göra är detta:

sudo tcpdump -i eth0 -s 1518 -A -w capture.pcap port 80

Problemet är ju som sagt att jag fångar INGENTING i port 80. Varför?

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Mar 2008
Skrivet av TrIff:

Det jag tror att jag ska göra är detta:
sudo tcpdump -i eth0 -s 1518 -A -w capture.pcap port 80

Antagligen så surfar du inte via eth0. Kör du wifi heter det t.ex. wlan0 eller liknande. Hara du fler än en nätverksport kan de heta eth0, eth1 o.s.v.
Kontrollera vilket nätverksinterface du använder via ifconfig, eller kör helt enkelt "sudo tcpdump -i any" för att dumpa alla interface.

*edit*
Jag fick lov att kolla att det stämmer och fotosidan kör alltså inte SSL ens vid sin inloggning. Pinsamt!

Trädvy Permalänk
Medlem
Registrerad
Jun 2004

@Kamouflage: om jag kör tcpdump -D får jag upp

1. eth0
2. usbmon1
3. any
4. lo

Jag kör ju trådlöst så det är lite konstigt att eth0 finns med där?

Kör jag tcpdump -i any port 80 fångar den inte heller ett enda paket.

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Mar 2008
Skrivet av TrIff:

Jag kör ju trådlöst så det är lite konstigt att eth0 finns med där?

Kör jag tcpdump -i any port 80 fångar den inte heller ett enda paket.

Kör du wifi via nån usb-dongel så bör det nog vara usbmon1? Men 'any' är ju mer safe.

Om du bara kör sudo tcpdump -i any, får du några träffar då?
Om du kör sudo tcpdump -i any port 80 ?

Får du inget på den första är jag lite lost, antar att du inte ser interfacet du faktiskt kör trafiken på av någon anledning. Testa köra som root om det skulle skilja mot att köra sudo?

Får du på den första men inget på den andra så lär du surfa på något annat än port 80..

Trädvy Permalänk
Medlem
Registrerad
Jun 2004

@Kamouflage: Ursäkta, men jag är korkad. Jag kör ubuntu på virtuell server och surfar på min egen dator. Känner mig stendum för tillfället.

Men, om jag vill fånga http trafik men sitter på en virtuell server, ska jag sätta min egen IP som destination då eller?

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Mar 2008
Skrivet av TrIff:

@Kamouflage: Ursäkta, men jag är korkad. Jag kör ubuntu på virtuell server och surfar på min egen dator. Känner mig stendum för tillfället.

Men, om jag vill fånga http trafik men sitter på en virtuell server, ska jag sätta min egen IP som destination då eller?

Enkelt för dig att kolla. Kör t.ex. "tcpdump -i any port 80" och kolla på resultatet.
Vilka ip-adresser är inblandade och vilken är source respektive destination?

Vill du fånga http-trafik så är det rimligare att du filtrerar på port istället för IP. Filtrerar du på din egna ip får du ju all trafik, oavsett om det är http eller ej.