Hallo,
meine Frage ist, was tcpdump alles mitbekommt. Also werden die
Packets nach oder vor dem PREROUTING bzw. POSTROUTING an
tcpdumpübergeben? Wenn eine Filterregel das Packet DENY’t kommt
es auch zu tcpdump?
Wolf
meine Frage ist, was tcpdump alles mitbekommt. Also werden die
Packets nach oder vor dem PREROUTING bzw. POSTROUTING an
tcpdumpübergeben? Wenn eine Filterregel das Packet DENY’t
kommt
es auch zu tcpdump?
ach das meinst du. ja, tcpdump sollte sich nicht um die kernel firewall stoeren.
joachim
Hmm und warum heisst es, dass die INPUT chain für die lokalen
Prozesse ACCEPT/DROP’t. tcpdump is ja nun mal irgentwie ein
lokaler prozess. Den habe ich auch schon mal mit nem
„segmentation fault“ sterben sehen. Dann kann man bestimmt auch
buffer overflow oder sowas herbeiführen. Gibbs da schon exploits?
ach das meinst du. ja, tcpdump sollte sich nicht um die kernel
firewall stoeren.joachim
Hmm und warum heisst es, dass die INPUT chain für die lokalen
Prozesse ACCEPT/DROP’t. tcpdump is ja nun mal irgentwie ein
lokaler prozess.
schon, aber der hat mit ip-stack et al. wenig am hut…
Den habe ich auch schon mal mit nem
„segmentation fault“ sterben sehen. Dann kann man bestimmt
auch
buffer overflow oder sowas herbeiführen.
moeglich, kann man nie ausschliessen.
Gibbs da schon
exploits?
keine ahnung.
ich wuerde schon aus performancegruenden nicht unbedingt am outside interface einer firewall sniffen (viel los dort…). und wenn, dann nicht manuell sondern mit snort und auf nem separaten rechner. auf die firewall selbst gehoert _nix_ anderes, so man denn den luxus einer dedizierten fw hat.
joachim
1 Like
tcpdump:
schon, aber der hat mit ip-stack et al. wenig am hut…
also der bekommt die Infos direkt und parst die auch ohne den
tcpip stack zu nutzen??
ich wuerde schon aus performancegruenden nicht unbedingt am
outside interface einer firewall sniffen (viel los dort…).
und wenn, dann nicht manuell sondern mit snort und auf nem
separaten rechner. auf die firewall selbst gehoert _nix_
anderes, so man denn den luxus einer dedizierten fw hat.
Nee das is ja auch nur im Moment um genau zu sehen, was passiert.
Kein IDS oder Passwort sniffing. Ich will zB Header von
http-streams auslesen.
ne, aber danke erstmal.
Wolf
tcpdump:
schon, aber der hat mit ip-stack et al. wenig am hut…
also der bekommt die Infos direkt und parst die auch ohne den
tcpip stack zu nutzen??
genau.
Nee das is ja auch nur im Moment um genau zu sehen, was
passiert.
Kein IDS oder Passwort sniffing. Ich will zB Header von
http-streams auslesen.
durchaus legitim. warum muss ich nur immer https probleme debuggen…
obwohl letztens auf ner schulung erzaehlte ein tschechischer hackerkollege was von ssldump, das - mit dem private key versorgt - auch in einer ssl verbindung snifft und vor allem den ssl handshake aufdroeselt.
ansonsten ist vielleicht ethereal nen bisschen luxurioeser als tcpdump…
joachim