Good to Know Database

Netzwerk-Kommunikation mit snoop mitschneiden


Mit dem Kommandozeilen-Programm snoop kann der gesamte Netzwerkverkehr mitgeschnitten werden. Da dazu ein direkter Zugriff auf die Netzwerk-Schnittstellen benötigt wird, kann snoop nur vom Benutzer root und von Benutzern mit entsprechenden Berechtigungen genutzt werden.

Öffnen Sie durch den folgenden Befehl eine Root-Shell.

georg@solaris11:~$ sudo -i

Durch die Option -d wird die Schnittstelle angeben, auf welcher snoop lauschen soll.

root@solaris11:~# snoop -d e1000g0

Mit der Option -c kann man die Anzahl der Pakete angeben, welche snoop mitschneiden soll. Danach beendet sich snoop selbstständig. Mit der Tastenkombination Strg+C kann snoop jederzeit beendet werden.

root@solaris11:~# snoop -d e1000g0 -c 1000

Damit die IP-Adressen nicht in die Rechnernamen aufgelöst werden, können Sie die Namensauflösung mit der Option -r deaktivieren.

root@solaris11:~# snoop -d e1000g0 -r

Damit nur die Pakete mitgeschnitten werden, welche an einen bestimmten Port adressiert sind, kann mit dem Ausdruck port nach einem Port gefiltert werden. Der folgende Befehl schneidet somit nur die Pakete mit, welche an den Port 53 (DNS) gerichtet sind beziehungsweise von diesem gesendet werden.

root@solaris11:~# snoop -d e1000g0 port 53

Um den Filter umzukehren, setzt man entweder ein Ausrufezeichen oder ein not vor den jeweiligen Ausdruck. Somit liefert der folgende Befehl alle ankommenden und abgehenden Pakete der Schnittstelle e1000g0 außer die Pakete, welche an den Port 22 adressiert sind beziehungsweise von diesem Port abgehen.

root@solaris11:~# snoop -d e1000g0 ! port 22

Will man die Kommunikation zwischen dem eigenen Rechner und einem anderen Rechner (hier mit der IP-Adresse 192.168.10.33) mitschneiden, verwendet man den Ausdruck host und gibt die jeweilige IP-Adresse an.

root@solaris11:~# snoop -d e1000g0 host 192.168.10.33

Der folgende Befehl liefert nur die Pakete, welche vom beziehungsweise zum Rechner mit der IP-Adresse 192.168.10.33 gesendet werden und an den Port 53 adressiert sind beziehungsweise vom Port 53 gesendet wurden.

root@solaris11:~# snoop -d e1000g0 host 192.168.10.33 and port 53

Um die komplette Kommunikation, mit Ausnahme der SSH-Verbindung (Port 22), zwischen dem eigenen Rechner und dem Rechner mit der IP-Adresse 192.168.10.33 zu belauschen können Sie den folgenden Filter verwenden.

root@solaris11:~# snoop -d e1000g0 host 192.168.10.33 and not port 22

Durch die Option -o können die Pakete in eine Datei gespeichert werden. Die Ausgabedatei kann dann zum Beispiel mit Wireshark analysiert werden.

root@solaris11:~# snoop -d e1000g0 -o capture.snoop host 192.168.10.33


Dieser Eintrag wurde am 02.07.2011 erstellt.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_20_1335.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer