 |
| netstat -nat |
| |
Visualizza tutte le connessioni
Internet attive, senza risolvere gli IP |
| netstat -nat | grep LISTEN |
| |
Visualizza le porte in LISTENING
lo stato delle connessioni, senza risolvere gli IP |
| netstat -rn |
| |
Visualizza la tabella di routing
del kernel |
| tcpdump -i eth0 |
| |
Avvia l'azione di sniffing sull'interfaccia
eth0 |
| tcpdump -i eth0 | grep
-v 10.0.0.24 |
| |
Sniffa eth0 escludendo le righe
con IP 10.0.0.24 |
| arp -a |
| |
Visualizza gli il contenuto dell'arp
cache |
| arp -d Hostname |
| |
Cancella l'arp di un'host specifico |
|
 |
| Linux |
Windows |
*nix |
| tcpdump |
|
snoop |
| arp |
arp |
arp |
| netstat |
netstat |
netstat |
|
 |
|
Il comando tcpdump configura in modo automatico le interfacce che
si utlizzano per l'azione di sniffing in modalità promiscua
Attenzione all'uso di tcpdump su un host remoto. Si rischia (se
l'interfaccia su cui si sniffa è la stessa usata per connettersi
all'host) di sniffare il proprio traffico. In BOFH! il metodo per
evitarlo.
Esistono altri vari network sniffers per Linux, per esempio Sniff-it,
Ethereal (interfaccia a finestre), ntop. Una lista completa di sniffers,
sniffers detectors e docs vari è su:
http://www.linux-sec.net/Sniffer/
|
|
| comandi
per la diagnostica |
| netstat
[opzioni] |
Visualizza informazioni sul networking subsystem di Linux.
Interroga /proc/net/* e visualizza: le porte in LISTEN sul proprio
host, lo stato delle connessioni Internet attive, la tabella di
routing, il multicast group e altre statistiche di rete.
Opzioni utili:
| -n |
Disabilita il reverse lookup |
| -r |
Visualizza la tabella di routing |
| -p |
Visualizza i programmi che utilizzano la connessione |
| -s |
VIsualizza statistiche per i singoli protocolli |
| -a |
Visualizza tutte le connessioni: attive e in
listening |
|
| tcpdump
[opzioni] [expression] |
Tool di packet sniffing,
con possibilità di utilizzare filtri e di dump su file.
Visualizza le intestazioni dei pacchetti, non il contenuto.
Utile per verificare il traffico di rete sulle interfaccia. E' simile
a snoop (comune su Solaris).
Opzioni utili:
| -i eth# |
Specifica l'interfaccia su cui ascolatare |
| -c ## |
Esce dopo aver ricevuto il numero
specificato di pacchetti |
| -r nomefile |
Utilizza il file specificato come
input per i dati da filtrare |
| -w nomefile |
Scrive su file il risultato dello
sniffing (in formato custom) |
| -n |
Non risolve i nomi degli host |
Le espressioni definiscono i criteri con cui filtrare i pacchetti.
Se non vengono definite vengono visualizzati tutti i pacchetti, altrimenti
solo quelli che soddisfano le espressioni definite:
| type |
Ha come possibili valori: host
- net - port
Es: tcpdump host pippo, tcpdump port 80,
tcpdump net 10.0 |
| dir |
Indica la direzione dei pacchetti: src
- dst - src or dst - src and dst
Es: tcpdump src host pippo, tcpdump dst
port 80 |
| proto |
Restringe il dump al protocollo specificato:
ether - fddi - tr - ip - ip6 - arp - rarp
- decnet - tcp - udp
Es: tcpdump tcp dst port 80 |
| -w nomefile |
Scrive su file il risultato dello sniffing (in
formato custom) |
|
| arp
[opzioni] |
Visualizza e manipola
l'ARP cache del sistema.
Estrapola le sue informazioni da /proc/net/arp
Opzioni utili:
| -n |
Disabilita il reverse lookup |
| -a |
Visualizza l'arp cache del sistema |
| -d host |
Rimuove l'host specificato dalla arp cache |
|
|
