[HaBo]

EL

Anzeige

Hallo Leute,

ich wollte mal fragen ob sich von Euch da einer auskennt. Und zwar muesste es doch technisch moeglich sein ganze streams wie z.B eine komplette mp3, avi, mpeg mitzusniffen.

Kleine Dinge wie Passwoerter oder html sites gehen ja mit tcpxtract oder ettercap sehr nett. Dann hab ich mal tcpflow probiert. Der erkennt aber alles nur als data und weiss auch nicht genau welche art datei es ist.
Kennt von Euch einer noch andere Tools (*NIX) bzw. weiss jemand ob man den dump von tcpdump extrahieren kann?

sw33tlull4by

Wie waere es mit

grep mypattern dumpfile

falls du aber die Packetinhalte haben willst, die kannst du mit tcpdump nicht sehen.
dafuer braeuchtest du schon wireshark.

KlausSchiefer

Du kannst das dumpfile zb mit Ethereal lesen. Wenn du aber riesige Files hast und nur bestimmtes
daraus möchtest kannst du die tcpdump eigenen Funktionen nutzen:

tcpdump -r EINGABEDATEI -w AUSGABEDATEI host 1.2.3.4

oder

tcpdump -r EINGABEDATEI -w AUSGABEDATEI host 1.2.3.4 and port 23

usw.

Lies unbedingt die manpage, tcpdump ist sehr mächtig


man tcpdump

man tcpdump

fetzer

Das Problem ist, dass der Anfang erkannt werden muss. Z.b. gibt es bei vielen Formaten eine bestimmte Anfangssequenz. Die Betonung liegt hierbei auf Anfang. Willst du aus einem willkürlichen Datenstrom eine Datei herausfiltern kannst du meines Wissens nicht sagen, wo der Anfang dieser Datei liegt, denn hierbei könnte genau diese Sequenz auch einen ganz anderen Sinn haben. Ich hoffe du verstehst, was ich meine.

Bei bestimmten Datenströmen, z.b. einem Strom, indem nur eine MP3-Datei übertragen wird, kannst du die Dateien unter *nix mit "file $datei" bestimmen, nachdem du den Inhalt des Datenstroms in $datei gespeichert hast. Empfehlen würde ich dir dich einfach mal in die Funktionsweise von file einzuarbeiten.

[edit]
Klick-Bunti-User *abstempel*
[/edit]

EL

hi again,
die mans von tcpdump/file kenn ich eigentlich schon...glaub eigentlich nicht das ich da was ueberlesen hab.
tcpdump kann man wie oben schoen gezeigt in SRC/DEST/PORT filtern...aber mehr auch nicht. Es ist (meineswissens) nicht moeglich tcpdump zum kompletten rueckentwickeln von daten zu verwenden. So hab ich das auch in anderen foren gelesen.
deshalb wurde tcpflow entwickelt...

file erkennt den stream halt als data...programmiertechnisch sicher excellent, aber noch nicht ganz das was ich brauche....tcpxtract kommt bis jetzt meinen wuenschen eines LAN sniffers mit abstand am weitesten! der kann die bebannten typen wie z.b avi,mpeg,flv erkennen. Das Problem ist halt das der voll buggy ist!
Kann also noch nicht wirklich ganze files sniffen...

Mit wireshark mach ich halt nur die primitiv Sachen wie HTTP,FTP src/dest sniffen... das mit der anfangssequenz hoert sich sehr gut an!

Ich hoffe dass ihr schon versteht was ich meine, mal ein Beispiel:
Unsere Firma hat 30 Mitarbeiter, ca. (+-) 10 arbeiter per subnet, ich sniffe den verdaechtigen switch (verdaechtig wegen pornografischem materials) und will die kompletten avi/mpeg/mp3 dateien (welche ja schliesslich komplett, also mit anfangs/endsequenz ueber meine netzwerkkarte laufen) mitsniffen ....
unter windoof (sorry musste sein) weiss ich halt das es fuer $ Programme gibts die das koennen, aber unter *nix kenn ich, ausser den erwaehnten nichts wirklich treffendes....

Und bitte jetzt keine klugscheisser antworten von wegen firewall policies aendern
also bitte nur jemand der weiss was er redet....

KlausSchiefer

Ändere deine Firewall Policies

Wenn dein primäres Ziel das Netz ist, ist das der Weg (Admin).


Wenn das primäre Ziel ist Kollegen zu ärgern, anzuschwärzen oder zu bespitzeln, dann der andere (besser bezahlter Admin).

In diesem Falle wärst du ein Höchst unehrenhaftes Mitglied unserer Zunft, ehrlich.