|
|
Tracing en sniffing met Wireshark (Ethereal)
Binnen dit document staan de aantekeningen m.b.t. de diverse filterinstellingen
bij het gebruik van Wireshark, de opvolger van Ethereal.
Wireshark is een netwerkprotocol analyser, beschikbaar voor zo'n beetje ieder platform.
Daarnaast wordt het uitgegeven onder de GNU license, waardoor eenieder het kan gebruiken.
Opties filtering
- !(ip.addr == 10.11.100.9). Laat al het verkeer zien wat niet van of naar 10.11.100.9 gaat.
- (ip.addr == 10.11.100.9) and (ip.addr == 10.11.100.6). Laat het het verkeer tussen de twee adressen
zien.
Tracing met tcpdump
Met tcpdump kun je pakketten bekijken die over je netwerk interface gaan. Binnen deze paragraaf worden
de opties die je hierbij kunt meegeven beschreven.
- -i (interface naam) of nummer in het geval van windump.
- -s 2000, hiermee zorg je er voor dat het hele ethernet pakket gevangen wordt (is langer als de normale ethernet pakket groote).
- -w (filenaam). Hiermee stuur je de output naar een file, zodat je deze later kunt analyseren met bijvoorbeeld Wireshark.
- host (ipadres), Hiermee vang je uitsluitend verkeer van en naar de betreffende host.
Ik zelf gebruik bijvoorbeeld veel het volgende commando:
tcpdump -i eth1 -s 2000 -w trace-xxx.dump host x.x.x.x.
Tracing met WinDump.exe
Wil je op een windows server / pc een trace maken en wil je niets installeren, download dan WinDump.exe.
Hiermee kun je traces maken, die je later met Wireshark weer kan analyseren. Let hierbij op de volgende
zaken:
- Met het commando Windump -D, kun een listing van je windows adapters maken.
- Het bekijken van het verkeer, kun je vervolgens opstarten met Windump -i (interface nummer).
|
|
