lehce OT-sniffer na bsd

Jaroslav Votruba jaroslav.votruba at keytec.cz
Thu Jun 29 09:50:12 CEST 2006


potřeboval bych poradit s následující věcí:
Na sítový tiskárny mi čas od času něco pošle nějakej exáč a tiskárna na 
každej list vydrukne pár znaků,ale těch stránek je asi 500:-((.
Přes HUB jsem nasadil jedno BSD a sniffoval jsem IP tiskárny přes 
Tcpdump.Zjistil jsem podezřelou komunikaci mezi tiskárnou(integrovanej 
printserver) a Antivirovým serverem(zrcadlo).
Mam soukromy podezreni,ze zrcadlo(NOD32  na WXP)posila aktualizaci 
antivira na porty na ktery by nemelo,ale potrebuju jistotu
Tcpdump spouštím tcpdump  -l host 192.168.0.150 > /root/vypis-tcpdump a 
výsledek je

17:40:35.653458 arp who-has 192.168.0.150 tell 192.168.0.9
17:41:41.665475 arp who-has 192.168.0.150 tell 192.168.0.8
17:41:59.908160 arp who-has 192.168.0.8 tell 192.168.0.150
17:42:58.979930 arp who-has 192.168.0.9 tell 192.168.0.150
17:50:35.808576 arp who-has 192.168.0.150 tell 192.168.0.9
17:50:41.213725 arp who-has 192.168.0.9 tell 192.168.0.150
17:51:41.275518 arp who-has 192.168.0.9 tell 192.168.0.150
17:52:41.337351 arp who-has 192.168.0.9 tell 192.168.0.150
17:53:41.289123 arp who-has 192.168.0.9 tell 192.168.0.150
17:54:41.350898 arp who-has 192.168.0.9 tell 192.168.0.150
17:55:41.302684 arp who-has 192.168.0.9 tell 192.168.0.150
17:56:41.364476 arp who-has 192.168.0.9 tell 192.168.0.150
17:57:41.426271 arp who-has 192.168.0.9 tell 192.168.0.150
17:58:41.378049 arp who-has 192.168.0.9 tell 192.168.0.150
17:59:41.439854 arp who-has 192.168.0.9 tell 192.168.0.150
18:00:41.501658 arp who-has 192.168.0.9 tell 192.168.0.150
18:01:41.453428 arp who-has 192.168.0.9 tell 192.168.0.150
18:02:41.515224 arp who-has 192.168.0.9 tell 192.168.0.150
18:03:41.467004 arp who-has 192.168.0.9 tell 192.168.0.150
18:04:41.528810 arp who-has 192.168.0.9 tell 192.168.0.150
18:05:41.590584 arp who-has 192.168.0.9 tell 192.168.0.150
18:06:41.542372 arp who-has 192.168.0.9 tell 192.168.0.150
18:07:41.604175 arp who-has 192.168.0.9 tell 192.168.0.150
18:08:41.555952 arp who-has 192.168.0.9 tell 192.168.0.150

potřeboval bych poradit, jak nastavit tcpdumpa(nebo nejaky jiny 
sniffer,aby mi ukázal i porty,na kterych ta komunikace probiha.Abych se 
priznal ,nejsem z manu moc moudrej a metoda pokusu a omylu,se tu bohužel 
aplikovat neda.protoze tyto problemy jsou tak 1x za tyden

-- 
s pozdravem
Votruba Jaroslav
tel: 389002504
mailto:jaroslav.votruba at keytec.cz  



More information about the Users-l mailing list