packets sniffing

**morphe** · 18-11-2004, 00:39

ciao gente, per una tesi sto sniffando da un'apposita rete per poi analizzare il tutto con un algoritmo di apprendimento. Cmq sia il punto è che leggendo tra i Frame sparatemi da ethereal non riesco a estrapolare alcune feature che mi servono:
-numero di bytes da sorgente a destinazione
-n° di bytes da dest a sorg
-stato della connessione: normale/errore
-se ci sono frammenti "wrong"
-numero di connessioni allo stesso host
-ci sono errori "SYN"?
-ci sono errori "REJ"?

ok per l'ultima penso che dovrò fare un programma che ogni due secondi mi controlli se l'host è sempre lo stesso, ma per le altre?

ecco un esempio di frame da tcpdump:

codice:

               
No.     Time        Source                Destination           Protocol Info
      1 0.000000    216.239.59.xx         147.xxx.xxx.xxx       HTTP     Continuation

Frame 1 (400 bytes on wire, 96 bytes captured)
    Arrival Time: Nov 16, 2004 16:33:56.807957000
    Time delta from previous packet: 0.000000000 seconds
    Time since reference or first frame: 0.000000000 seconds
    Frame Number: 1
    Packet Length: 400 bytes
    Capture Length: 96 bytes
Ethernet II, Src: xxx, Dst: xxx
    Destination: xxx (147.xxx.xxx.xxx)
    Source: xxx (147.xxx.xxx.xxx)
    Type: IP (0x0800)
Internet Protocol, Src Addr: 216.239.59.xx (216.239.59.xx), Dst Addr: 147.xxx.xxx.xxx (147.xxx.xxx.xxx)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x38 (DSCP 0x0e: Assured Forwarding 13; ECN: 0x00)
        0011 10.. = Differentiated Services Codepoint: Assured Forwarding 13 (0x0e)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 386
    Identification: 0x3e7e (15998)
    Flags: 0x00
        0... = Reserved bit: Not set
        .0.. = Don't fragment: Not set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 43
    Protocol: TCP (0x06)
    Header checksum: 0x3521 (correct)
    Source: 216.239.59.xxx (216.239.59.xxx)
    Destination: 147.xxx.xxx.xxx (147.xxx.xxx.xxx)
Transmission Control Protocol, Src Port: http (80), Dst Port: 35180 (35180), Seq: 0, Ack: 0, Len: 346
    Source port: http (80)
    Destination port: 35180 (35180)
    Sequence number: 0    (relative sequence number)
    Next sequence number: 346    (relative sequence number)
    Acknowledgement number: 0    (relative ack number)
    Header length: 20 bytes
    Flags: 0x0018 (PSH, ACK)
        0... .... = Congestion Window Reduced (CWR): Not set
        .0.. .... = ECN-Echo: Not set
        ..0. .... = Urgent: Not set
        ...1 .... = Acknowledgment: Set
        .... 1... = Push: Set
        .... .0.. = Reset: Not set
        .... ..0. = Syn: Not set
        .... ...0 = Fin: Not set
    Window size: 8800
    Checksum: 0xe631
Hypertext Transfer Protocol
    Data (42 bytes)
[Short Frame: HTTP]
....

Fin qui, ditemi se erro:
protocollo: http
servizio: 35180
urgent: no

e per quelli che ho scritto sopra?
Anche se qui per esempio non ci sono particolari errori di syn o rej, qlk sa come posso fare per ritracciare questi tipi di errori da uno sniffing.
Grazie mille per l'aiuto.

Discussione: packets sniffing

Strumenti discussione

Ricerca discussione

Visualizza

Hybrid View

packets sniffing

Permessi di invio