Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Tcpdump Filter

Mitglied: schnuppi

schnuppi (Level 1) - Jetzt verbinden

16.10.2011 um 00:30 Uhr, 3456 Aufrufe, 7 Kommentare

Hallo zusammen ich habe eine Frage in bezug auf Tcpdump bei der ich ein Verständnisproblem habe.

Hallo Leute,

ich bräuchte mal dringend eure Hilfe.

Ich soll nen DNS Filter schreiben im Tcpdump.

Ich hab auch die Lösung dazu nur versteh ich die nicht ganze wie sich das ganze zusammensetzt.

Frage ist: Write a tcpdump filter to select DNS packets whose opcode value > is 5

Die lösung ist

tcpdump dns [4] & 0x78 > 0x28


Ok bis [4] versteh ich das ganze das ist einfach das 5 Byte vom DNS Header (opcode) richtig?.....Aber danach beisst es bei mir aus....ok 0x28 = 5 ...nur wie setzt sich das ganze zusammen lässt sich das iwie ablesen aus dem DNS Header?? Und was hat es mit der 0x78 auf sich. Kann man das ganze iwie berechnen oder ablesen?

Ich hoffe ihr könnte mir helfen..und versteht meine Frage

Danke
Mitglied: dog
16.10.2011 um 02:05 Uhr
tcpdump dns [4] & 0x78 > 0x28

Zuerstmal ist das keine gültige Syntax für tcpdump unter Linux.
(Das müsste schon mit tcpdump port 53 anfangen)

einfach das 5 Byte vom DNS Header (opcode) richtig?

Der Opcode ist aber nicht im 5. sondern im 3. Byte

[4] & 0x78 > 0x28

& ist hier eine binäre Operation.
01.
xXXX Xxxx  // [4] Die Stellen des Op-Code hervorgehoben 
02.
0111 1000 // 0x78 
03.
0XXX X000
Wie du siehst wird damit in dem Byte wo der Opcode ist alle anderen Bits ausgeblendet, bis auf den Opcode.

Eine 5 sieht binär aber so aus:
01.
0000 0101
Wie du siehst könnte die Prüfung nie funktionieren, weil jede Zahl des Opcodes niemals richtig unter dem Opcode ausgerichtet wäre.
Also muss ich jetzt die Zahl um 3 Stellen nach links verschieben:
01.
0010 1000
Und wenn ich das wieder als Hex-Zahl darstelle komme ich auf...genau 0x28

Und damit kann ich jetzt den Opcode vergleichen:
01.
0XXX X000 //op-code 
02.
0010 1000 //5 um 3 stellen nach links geschoben
Da aber alle Opcodes über 5 reserviert sind wird man solchen Traffic eher selten sehen.
Bitte warten ..
Mitglied: schnuppi
16.10.2011 um 13:13 Uhr
Herzlichen Dank für die super Antwort.

Hat mir sehr geholfen. Jedoch hätte ich noch 2 kurze Fragen.

1. Wie du siehst könnte die Prüfung nie funktionieren, weil jede Zahl des Opcodes niemals richtig unter dem Opcode ausgerichtet wäre.
Also muss ich jetzt die Zahl um 3 Stellen nach links verschieben:

->>>Ich muss das um drei stellen verschieben da ich mich noch in dem falschen Bereich vom Dns Header befinde richtig?

In diesem Fall Authoritative Answer,Truncated, Recursion Desired......., deshalb 3 nach rechts, so das ich mich in den Opcode bereich befinde....richtig?


2. Frage

Gibt es ein eindeutiges Indiz beim Output dafür um welches Paket es sich handelt. Kann ich das anhand nur des Outputs sehen??? Ok ich weiß das es sich hier um diesen Fall um ein IP paket handelt. Woran seh ich ob es sich um z.b. ICMP oder TCP handelt. Kann man das sofort identifizieren?

Bsp. Output

0x0000: 4500 032a b43b 4000 3806 4b6e c30c 1422
0x0010: 576a 118c 585c 1f90 80d9 1681 e3f5 ce0b
0x0020: 5018 1c84 9979 0000 504f 5354 202f 6675
0x0030: 6e61 6d62 6f6c 2f73 6572 7669 6365 732f
0x0040: 6164 6d69 6e20 4854 5450 2f31 2e30 0d0a
0x0050: 436f 6e74 656e 742d 5479 7065 3a20 7465


Danke nochmal
Bitte warten ..
Mitglied: dog
16.10.2011 um 14:45 Uhr
In diesem Fall Authoritative Answer,Truncated, Recursion Desired......., deshalb 3 nach rechts, so das ich mich in den Opcode bereich befinde....richtig?

Ja, diese Felder befinden sich im selben Byte wie der Opcode, aber verschoben wird die 5 nach links, nicht nach rechts.

Kann man das sofort identifizieren?

Jedes Ethernet-Paket hat ein Ethertype-Feld in dem das höhere Protokoll eindeutig definiert wird:
http://www.iana.org/assignments/ethernet-numbers

Jedes IP-Paket hat ein Protocol-Feld, in dem das höhere Protokoll eindeutig vergeben wird:
http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml

Was aber in einem TCP/UDP-Paket für ein Protokoll steckt ist nicht mehr eindeutig, da sich längst nicht jeder an die Port-Nummern-Zuweisung hält.
Bitte warten ..
Mitglied: schnuppi
17.10.2011 um 17:47 Uhr
So letzte Frage....dann würd ich den Thread schließen.

Wenn ich was dumpen will in dem Fall.....alle ip packets bei dem DF und MF "turned on" sind. Wie würde das aussehn?


wäre das so einigermaßen richtig?


tcpdump ip [6] & 0x40 == 0x40 ??


Danke nochmal
Bitte warten ..
Mitglied: dog
17.10.2011 um 20:11 Uhr
0x40 siehst so aus:
01.
0100 0000
Damit wirst du also nie 2 Flags abdecken können
Bitte warten ..
Mitglied: schnuppi
17.10.2011 um 20:24 Uhr
Hmm ok das macht sinn....allerdings steh ich grad voll auf der Leitung!!! Kannst du mir vielleicht nochmal kurz das ganze erklären?


tcpdump ip [6] & 0x42 == 0x42
Bitte warten ..
Mitglied: dog
18.10.2011 um 01:28 Uhr
Was soll ich erklären?

Du möchtest das DF und MF = 1 sind, also muss das Byte so aussehen:
01.
011x xxxx
Weil sich gegen x nicht prüfen lässt nullen wir die:
01.
0110 0000
Von der Binärrechnung wissen wir das jede Stelle den Wert 2^x hat (x ist die Stelle, die Stelle ganz rechts hat den Wert 0)
Also ergibt das umgerechnet 2^6+2^5=96
Wenn man noch den Drang hat das in Hex darzustellen: 0x60

Und der Filter lautet damit:
01.
tcpdump ip[6] & 0x60 = 0x60
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Powershell Filtern Filtern Filtern
gelöst Frage von H41mSh1C0RBatch & Shell10 Kommentare

Aloa in die Runde, ich brech mir gerade wieder etwas die Finger ^^ am Freitag. DataTable einmal durchlaufen und ...

Windows Netzwerk
Netzwerktraffic Filtern
Frage von tomi93Windows Netzwerk9 Kommentare

Guten Morgen, wir haben zurzeit bei uns im Netzwerk das Problem das unsere Firewall ständig Netzwerktraffic von unserem DC ...

Batch & Shell
Ausgabe filtern
gelöst Frage von DoktorApfelBatch & Shell2 Kommentare

Hallo zusammen, Ich schreib gerade an einem Skript für Abfragen aus dem Programm Device42, mit Hilfe folgendes Befehles Erhalte ...

Batch & Shell
Filtern von Textdatei
gelöst Frage von MaxPauerBatch & Shell2 Kommentare

Hallo Zusammen, ich hätte ein Problem bei welchem ihr mir hoffendlich helfen könnt. Ich ich will eine Liste erstellen ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 1 TagE-Mail7 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 2 TagenServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...