Тема : вопрос по tcpdump


Sk0L  31-01-2014 12:35
Доброго времени суток.
Вопрос в следующем: можно ли с помощью tcpdump`а прослушать с локальной машины сервер, который находится в той же локальной сети, что и моя машинка на активность по определенному порту?
ОС на моей машине - fedora core 19
ОС, которую хотелось бы прослушать - windows Server 2008

а также по акуле тоже вопрос.
есть exchange сервер. запускаю на нем перехват с помощью акулы, пакеты как положено sniff`аются, сохраняю в файл, подгружаю его на локальной машине с целью посмотреть, кто и куда шлет почту, но... вижу только локальный адрес нашего почтового сервера и ip-адрес назначения.
каким раком можно заставить акулу, чтобы она показывала, с какого локального адреса (клиентского) был запрос на почтовик по протоколу smtp?

7biohazard7  10-03-2014 14:08
Sk0L: Извини, поздновато отвечаю. По первому вопросу что поймает tcpdump зависит на чем построена у вас сеть, на switch'ах(коммутаторах) или на hub'ах(повторителях). Первые отправляют пакета только по назначению и ты их не увидишь. Повторители рассылают все пакеты всем. Сейчас в 99% используются коммутаторы. Так что просто так трафик не прослушать, можно заставить коммутатор перейти в режим повторителя с помощью ARP-флуда, но для этого нужен спец софт. Нагуглил ролик, но ссылку вставить не смог. Попробуй сам по ключевым словам "switch arp flood tool"

olegon  10-03-2014 17:35
1. С помощью tcpdump нельзя, можно с помощью чего-то вроде ettercap-ng, если, действительно, нет хитрых свичей между вами. В любом случае рекомендую делать это только по согласованию с админом, от которого в противном случае огребешь, поскольку arp-poisoning ловится.
2. Есть предположение, что ловишь только на интерфейсе, который смотрит в инет, либо клиенты не по SMTP к Exchange цепляются (что обычно и бывает, в Exchange свой протокол).

shr_eax  08-09-2014 10:37
Чтобы слушать другую машину в сети - нужно делать port mirror на порт твоей машины. Это если по-честному. Иначе, как тут уже сказали, надо форсить направление пакетов к тебе, заваливая сеть пакетами arp who-has и arp has с mac твоей машины (это и есть спуфинг).

Landre  30-09-2014 00:13
Припоздал на тему, что-то я ее не заметил. А жаль.
На счет акулы - она слушает интерфейс только в случае, когда он известен системе, а значит его надо смонтировать. Но, это не решает проблему.
а) машина (сервак) может иметь 2 сетевых интерфейса - в целях безопасности, граммотный админ так и поступит, при условии, что машина является шлюзом.
б) ни кто не отменял фаервол - если админ настроил его правильно на Вашей машине и на других тоже, прослушать что-либо нереально.
с) Свитч тоже имеет свой фаервол, в котором можно производить настройки... ну и бла-бла...

Что можно попробовать:
1) Узнать структуру сети.
2) Узнать, как часто DHCP-сервер производит опрос сети, если конечно он есть. (смотрим пункт 1)
3) Мак_спуф нам поможет - объявить себя шлюзом для локальной сети.

... уважающая себя организация не экономит на дешевых маршрутизаторах....