tcpdump i odczyt logów (wiem jak ale ..)

Discussion:

(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)

Marcin S

2004-07-22 10:07:28 UTC

Witam.
Płacze mi user w sieci, że ma problemy z rozmowami przez gg i twierdzi,
żę to co do niego piszą nie pojawia mu się w gg, w związku
z tym zapuściłem tcpdump'a i czekam ;). Co prawda to zaloguje mi
wszystkie pakiety ale mniejsza o to
# tcpdump -i eth1 -w LOG.dmp src 192.168.0.9

Wiem jak odczytać logi
tcpdump -xX -r LOG.dmp |less
Ale to daje mi zrzut heksdecymalny gdzie dostaje coś takiego:

12:39:03.728497 192.168.0.9.2383 > host-85.gadugadu.pl.https: . ack 57
win 16563 (DF)
0x0000 4500 0028 f846 4000 8006 3f77 c0a8 0003 E..(***@...?w....
0x0010 d911 2955 094f 01bb 8466 b163 c9ef 6d9f ..)U.O...f.c..m.
0x0020 5010 40b3 33ac 0000 0000 0000 0000 ***@.3.........

A czy jest możliwe odczytu logów w innym "trybie" tak żebym widział co
zostało napiasne do niego.
Dziwne jest to że dsniff z patchem ggsniff też nie pokazuje rozmów do
tego IP i dlatego chciałem sprawdzić to tcpdumpem.

Radek

2004-07-22 10:47:31 UTC

Permalink

Post by Marcin S
Witam.
Płacze mi user w sieci, że ma problemy z rozmowami przez gg i twierdzi,
żę to co do niego piszą nie pojawia mu się w gg, w związku
z tym zapuściłem tcpdump'a i czekam ;). Co prawda to zaloguje mi
wszystkie pakiety ale mniejsza o to
# tcpdump -i eth1 -w LOG.dmp src 192.168.0.9
12:39:03.728497 192.168.0.9.2383 > host-85.gadugadu.pl.https: . ack 57
win 16563 (DF)
0x0010 d911 2955 094f 01bb 8466 b163 c9ef 6d9f ..)U.O...f.c..m.

Hej

Po prawej stronie masz zawartosc pakietu w ASCII, a jest ona taka, bo
polaczenie jak widac jest szyfrowane - https. Tu mozesz miec problem z
odczytaniem tego, jedyne wyjscie jakie widze to wymusic logowanie sie do gg
w trybie nieszyfrowanym, co pewnie (ine sprrawdzalem) da sie uzyskac
blokujac polaczenia do serwerow gg na porcie 443.

Pozdr
Radek

Krzysztof Oledzki

2004-07-22 14:39:47 UTC

Permalink

Post by Radek

Hej
Po prawej stronie masz zawartosc pakietu w ASCII, a jest ona taka, bo
polaczenie jak widac jest szyfrowane - https. Tu mozesz miec problem z
odczytaniem tego, jedyne wyjscie jakie widze to wymusic logowanie sie do gg
w trybie nieszyfrowanym, co pewnie (ine sprrawdzalem) da sie uzyskac
blokujac polaczenia do serwerow gg na porcie 443.

AFAIK gg nie działa po https. To, że uzywa portu 443, wynika z faktu
że ten port często jest przepuszczany transparentnie przez firewalla.

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Linux Registered User: 189200
BSD Registered User: 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

Radek

2004-07-22 17:07:49 UTC

Permalink

Post by Krzysztof Oledzki
AFAIK gg nie działa po https. To, że uzywa portu 443, wynika z faktu
że ten port często jest przepuszczany transparentnie przez firewalla.

Nie zagłębiałem się w to zanadto, ale może tylko zacytuję z historii GG:
8 sierpnia 2003 - 6.0
Komunikacja szyfrowana SSL (na razie nie wszystkie sesje są szyfrowane,
poinformujemy kiedy usługa SSL będzie już stale działać). Zresztą w moim
kadu widzę także opcje odpowiadające za SSLa, więc pewnie powoli jest to
wprowadzane. Czy działa - nie wiem :)

Pozdrawiam
Radek

Slawek

2004-07-22 18:13:13 UTC

Permalink

On Thu, 22 Jul 2004 19:07:49 +0200

Post by Radek
kadu widzę także opcje odpowiadające za SSLa, więc pewnie powoli jest to
wprowadzane. Czy działa - nie wiem :)

Kadu to kadu, a gadu to inna bajka ;-) Wlacz sobie szyfrowanie w gg (o
ile jest taka opcja) + sniffera i juz bedziesz wiedzial czy jest
szyfrowanie. Z tego co pamietam kiedys trzeba bylo instalowac jakas
wtyczke crypto do powergg, zeby szyfrowanie dzialalo, ale byla ona w
wersji beta i czesto nie dzialala poprawnie.

--
pozdr. Slawek
GG: 1262167
GSM: (0)601-398-348