tcpdump
Dmitry
Stavo smanettando un pò per verificare il traffico in chiaro del mio
server su fedora e ..
lancio tcpdump port 119 -vv
e vedo tutto chiaramente in modo verbouse su stdout, però se cerco di
usare l'opzione -w sniffer.txt per salvare su un file di testo e
guardarmelo poi con calma, mi salva i dati come fossero binari, non
come l'output da console.
Se però lancio il comando con una pipe del tipo
tcpdump port 119 -vv >sniffer.txt
allora funziona egregiamente salvandomi correttamente sul mio bel file
di testo.
altra cosina..
tcpdump: WARNING: arptype 65535 not supported by libpcap - falling back
to cooked socket
tcpdump: verbose output suppressed, use -v or -vv for full protocol
decode
questa opzione la uso già, come mai questo messaggio di errore?
ed infine ..
lanciando il comando da root e lasciandolo lavorare in background per
qualche ora, corro qualche pericolo di sicurezza, utilizzando la mia
interfaccia in modalità promiscua?
--
Ciao, Dmitry
I've a dream... bring usenet to every family
Dmitry
<c...@bofhland.org> mi ha distratto scrivendo:
>> tcpdump: WARNING: arptype 65535 not supported by libpcap -
>> falling back to cooked socket
>> tcpdump: verbose output suppressed, use -v or -vv for full
>> protocol decode
> AFAIK questo problema è legato a vecchie versioni della libpcap.
> Un aggiornamento potrebbe aiutare.
ok, ho idea che lo farò. Sto usando fedora core2.
>> lanciando il comando da root e lasciandolo lavorare in background
>> per qualche ora, corro qualche pericolo di sicurezza, utilizzando
>> la mia interfaccia in modalità promiscua?
> Se tcpdump, libpcap o qualche altro pezzo di codice attraverso il
> quale passa il tuo traffico di rete è vulnerabile (buffer overflow
> o roba simile), allora sì. Ad esempio sono circolate versioni di
> Ethereal con problemi di sicurezza di questo tipo. In caso
> contrario no. Ma la possibilità esiste.
per prevenire questo pensavo di agire su inetd nella sezione dedicata
al demone news, limitando le connessioni a N (da decidersi quanto).
Ad ogni modo il software che uso ha già una protezione di questo tipo.
però bell'aggeggino TCPDUMP ..
Neoviruz
>> Se tcpdump, libpcap o qualche altro pezzo di codice attraverso il
>> quale passa il tuo traffico di rete è vulnerabile (buffer overflow
>> o roba simile), allora sì. Ad esempio sono circolate versioni di
>> Ethereal con problemi di sicurezza di questo tipo. In caso
>> contrario no. Ma la possibilità esiste.
> per prevenire questo pensavo di agire su inetd nella sezione dedicata
> al demone news, limitando le connessioni a N (da decidersi quanto).
Non risolvendo un cazzo tra il resto.
Hai come al solito concetti tutti tuoi, anche per definizioni banali
come buffer overflow.
--
Son giunto alla conclusione che, almeno una volta nella vita, bisogna
usare Windows a fondo, perche' e' un'esperienza che rende uomini.
Almeno, io, dopo, ho sempre due palle cosi'.
Leonardo
Serni
Due di Picche
Pestando alacremente sulla tastiera Dmitry <dmi...@x-privat.org>
ebbe l'ardire di profferire:
> per prevenire questo pensavo di agire su inetd nella sezione dedicata
> al demone news, limitando le connessioni a N (da decidersi quanto).
E cosa vorresti prevenire? Che non ti cuzzi piů di un hacker alla
volta? Sai che soluzione...
--
"I have not failed. I've just found 10,000 ways that won't work." -- Thomas A. Edison
News 2002 [v 2.07] / StopDialer / PopDuster - http://www.socket2000.com
Akapulce portal: http://www.akapulce.net
whiplash
> per prevenire questo pensavo di agire su inetd nella sezione dedicata
> al demone news, limitando le connessioni a N (da decidersi quanto).
Mi sfugge il nesso con tcpdump e con i buffer overflow, davvero.
--
Chaos A.D. | Raging crowd
Tanks on the streets | Burning cars
Confronting police | Bloodshed starts
Bleeding the Plebs | Who'll be alive?