lehce OT-sniffer na bsd

[Jaroslav Votruba]

na hubu to mam-jak jsem psal na zacatku.Log z tiskárny není (je to 
kyocera mitta fs 1920) a ani na zastoupeni Janus, mi nebyli schopni 
poradit,jak jej získat.
co se tyce cisla portu primej tisk na tcpip port by mel byt 9100,ale z 
provozních duvodu mam na tiskarne povoleno i Netbeui,ale tady se mi 
nepodarilo najit jakej port by to mel byt

s pozdravem
Votruba Jaroslav
tel: 389002504
mailto:jaroslav.votruba at keytec.cz  



Petr Rehor napsal(a):
> On 6/29/06, Jaroslav Votruba <jaroslav.votruba at keytec.cz> wrote:
>   
>> potřeboval bych poradit s následující věcí:
>> Na sítový tiskárny mi čas od času něco pošle nějakej exáč a tiskárna na
>> každej list vydrukne pár znaků,ale těch stránek je asi 500:-((.
>> Přes HUB jsem nasadil jedno BSD a sniffoval jsem IP tiskárny přes
>> Tcpdump.Zjistil jsem podezřelou komunikaci mezi tiskárnou(integrovanej
>> printserver) a Antivirovým serverem(zrcadlo).
>> Mam soukromy podezreni,ze zrcadlo(NOD32  na WXP)posila aktualizaci
>> antivira na porty na ktery by nemelo,ale potrebuju jistotu
>>     
>
> NOD32 Mirror aktualizace jenom stahuje a uklada na disk. Odtut si je
> stahuji klienti bud pres HTTP nebo z nasdileneho adresare. Sam o sobe
> nikam nic neposila.
>
> FYI: z ceskeho ESETu se da vyrazit nod32umc ktery dela totez, ale beha
> na Linuxech a na FreeBSD. K nemu se prihodi nejaky HTTP server a
> nemusite mit miror na WXP.
>
>   
>> Tcpdump spouštím tcpdump  -l host 192.168.0.150 > /root/vypis-tcpdump a
>> výsledek je
>>
>> 17:40:35.653458 arp who-has 192.168.0.150 tell 192.168.0.9
>> 17:50:35.808576 arp who-has 192.168.0.150 tell 192.168.0.9
>>     
> ...
>
> Cesta je spravna, jenom se zadna komunikace nekonala. Tohle jsou ARP
> dotazy, pomoci niz se pocitace snazi zjistit MAC adresu k nejake IP adrese.
>
> Ukazuje to na jeden problem. Nejspis pouzivate sit switchovanou, takze vase
> BSD vidi jenom broadcasty. Dejte si tiskarnu a BSD na hub a ten teprve pripojte
> ke switch nebo zkuste pouzit navod ktery najdete na Lupe:
>
> http://www.lupa.cz/clanky/odposlouchavame-data-na-prepinanem-ethernetu-1/
>
>   
>> potřeboval bych poradit, jak nastavit tcpdumpa(nebo nejaky jiny
>> sniffer,aby mi ukázal i porty,na kterych ta komunikace probiha.Abych se
>> priznal ,nejsem z manu moc moudrej a metoda pokusu a omylu,se tu bohužel
>> aplikovat neda.protoze tyto problemy jsou tak 1x za tyden
>>     
>
> Pro zacatek by asi bylo jednodussi schovavat si jen SYN pakety od TCP
> spojeni (predpokladam, ze tisky jedou pres TCP), tedy neco na zpusob
> (cele je to jeden radek):
>
> tcpdump -l "dst host 192.168.0.150 and tcp dst port XXX and
> tcp[tcpflags] & (tcp-syn) != 0" > /root/vypis-tcpdump
>
> a snazit se sparovat tisk podle doby kdy se tiskly ty nesmyslu s
> navazovanymi spojenimi. XXX je cislo portu na kterem tiskarna prijima
> tiskove ulohy.
>
> Pokud si chcete skovavat cele spojeni a analyzovat je pak treba v
> Etherealu (muze byt i wokeni verze) tak pouzijte prikaz:
>
> tcpdump -s 1500 -w /root/vypis-tcpdump host 192.168.0.150 and tcp port XXX
>
> Vysledny soubor nacete do Etherealu a muzete analyzovat. Ale pozor,
> tech dat bude spousta, cele tiskove ulohy.
>
> Za spolehlivejsi metodu bych ale povazoval log z tiskarny, podivejte
> se do navodu, treba bude umet posilat informace o tiskovych ulohach
> pomoci syslogu na vase BSD.
>
> P.
>
>