lehce OT-sniffer na bsd

Petr Rehor prehor at gmail.com
Thu Jun 29 10:29:55 CEST 2006

Previous message: lehce OT-sniffer na bsd
Next message: lehce OT-sniffer na bsd
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 6/29/06, Jaroslav Votruba <jaroslav.votruba at keytec.cz> wrote:
> potřeboval bych poradit s následující věcí:
> Na sítový tiskárny mi čas od času něco pošle nějakej exáč a tiskárna na
> každej list vydrukne pár znaků,ale těch stránek je asi 500:-((.
> Přes HUB jsem nasadil jedno BSD a sniffoval jsem IP tiskárny přes
> Tcpdump.Zjistil jsem podezřelou komunikaci mezi tiskárnou(integrovanej
> printserver) a Antivirovým serverem(zrcadlo).
> Mam soukromy podezreni,ze zrcadlo(NOD32  na WXP)posila aktualizaci
> antivira na porty na ktery by nemelo,ale potrebuju jistotu

NOD32 Mirror aktualizace jenom stahuje a uklada na disk. Odtut si je
stahuji klienti bud pres HTTP nebo z nasdileneho adresare. Sam o sobe
nikam nic neposila.

FYI: z ceskeho ESETu se da vyrazit nod32umc ktery dela totez, ale beha
na Linuxech a na FreeBSD. K nemu se prihodi nejaky HTTP server a
nemusite mit miror na WXP.

> Tcpdump spouštím tcpdump  -l host 192.168.0.150 > /root/vypis-tcpdump a
> výsledek je
>
> 17:40:35.653458 arp who-has 192.168.0.150 tell 192.168.0.9
> 17:50:35.808576 arp who-has 192.168.0.150 tell 192.168.0.9
...

Cesta je spravna, jenom se zadna komunikace nekonala. Tohle jsou ARP
dotazy, pomoci niz se pocitace snazi zjistit MAC adresu k nejake IP adrese.

Ukazuje to na jeden problem. Nejspis pouzivate sit switchovanou, takze vase
BSD vidi jenom broadcasty. Dejte si tiskarnu a BSD na hub a ten teprve pripojte
ke switch nebo zkuste pouzit navod ktery najdete na Lupe:

http://www.lupa.cz/clanky/odposlouchavame-data-na-prepinanem-ethernetu-1/

> potřeboval bych poradit, jak nastavit tcpdumpa(nebo nejaky jiny
> sniffer,aby mi ukázal i porty,na kterych ta komunikace probiha.Abych se
> priznal ,nejsem z manu moc moudrej a metoda pokusu a omylu,se tu bohužel
> aplikovat neda.protoze tyto problemy jsou tak 1x za tyden

Pro zacatek by asi bylo jednodussi schovavat si jen SYN pakety od TCP
spojeni (predpokladam, ze tisky jedou pres TCP), tedy neco na zpusob
(cele je to jeden radek):

tcpdump -l "dst host 192.168.0.150 and tcp dst port XXX and
tcp[tcpflags] & (tcp-syn) != 0" > /root/vypis-tcpdump

a snazit se sparovat tisk podle doby kdy se tiskly ty nesmyslu s
navazovanymi spojenimi. XXX je cislo portu na kterem tiskarna prijima
tiskove ulohy.

Pokud si chcete skovavat cele spojeni a analyzovat je pak treba v
Etherealu (muze byt i wokeni verze) tak pouzijte prikaz:

tcpdump -s 1500 -w /root/vypis-tcpdump host 192.168.0.150 and tcp port XXX

Vysledny soubor nacete do Etherealu a muzete analyzovat. Ale pozor,
tech dat bude spousta, cele tiskove ulohy.

Za spolehlivejsi metodu bych ale povazoval log z tiskarny, podivejte
se do navodu, treba bude umet posilat informace o tiskovych ulohach
pomoci syslogu na vase BSD.

P.

Previous message: lehce OT-sniffer na bsd
Next message: lehce OT-sniffer na bsd
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list