- PR -

TCPDUMPの結果をEtherealでよませるには

1
投稿者投稿内容
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2006-02-12 01:56
EtherealのはいっていないLINUXマシンでTCPDUMPをとろうとおもってますが、それをETHEREALでよませるためのオプションはありますでしょうか?

普通に
tcpdump ...... -w test.dmp
としてtest.dmpは内容はETHREALによみこませて
、たとえばSMTPの詳細な記録(HELOからはじまる文字列など)がよめるのでよすか?

なにか形式に関する特別なオプションがあればどうかご教授ください
前の前の会社にそのマニュアルがあったとですが、どうしても
そのメールが探し出せません。

どうかよろしくお願いいたします
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-02-12 18:44
こんばんわ.

ethereal に読ませたことはありませんが,
tcpdump の結果を -r 持ってきてもらって,
手元の tcpdump で読み込ませたりしたことはあります.
ですが,ethereal に喰わせる際には「smtp だけ」というわけには行かないのでは?
むしろ ethereal 側で filtering してやる必要があると思うです.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-02-13 10:01
tcpdump -w <Filename>
で保存したデータはEtherealで読み取れます。

また、tcpdump -w <Filename> '(tcp port 25) && (ip host 192.168.1.1)'
みたいな記述で、キャプチャ時点でのフィルタ処理も可能です
(条件に合ったパケットだけをキャプチャする)。
書式はmanに書いてありますし、Etherealの書式と
似てるか同じか、って感じみたいです。

キャプチャフィルタを使うかディスプレイフィルタを使うかは
必要に応じて使い分けてください。
キャプチャフィルタはダンプデータを減らすのには有効ですが、
ダンプデータ内に必要となるデータが取れずに取り直し、
って危険性ははらんでしまいます。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2006-02-13 10:37
Kazさん Mattunさん

ありがとうございました
Mattunさんのおっしゃるとうり
普通に tcpdump -w FILE でできました

tcpdump dest host xxxx でもフィルターできました。
tcpdumpはデフォルトではPROMISモードなんでしょうか?
リピータハブでつながっている
別のマシンに通信はまったくはいってこませんでした

(つまり関係ないパケットもキャプチャーする)
Etherealでは自分宛か自分からのパケットしかキャプチャできませんでした

あとFC3のtcpdumpで-wを実行すると
いつもpermisiion denied になりました。
(もちろんrootで実行して
ファイルやフォルダの権限は777にしてみましたがNGでした)
FCでまったく同じ条件でインストールして
とくにそんな問題をおきていないので
バグですかね。

アドバイス
本当にありがとうございました
1

スキルアップ/キャリアアップ(JOB@IT)