Чтение захваченного пакета из командной строки с помощью tcpdump

Я захватываю трафик, используя:

 tcpdump -i <interface> -nn  -s0 -w ike2.pcap

Затем я читаю захваченный файл, используя:

tcpdump  -vvv -l -r ike2.pcap

При чтении первый пакет отображается как:

07:22:33.320142 IP (tos 0x0, ttl  64, id 0, offset 0, flags [DF], length: 296) 10.0.0.1.isakmp > 10.0.0.2.isakmp: [udp sum ok] isakmp 2.0 msgid  cookie ->: phase 1 I #34[]:
    (#33)
    (#34)
    (#40)
    (#41)
    (#41)

Мне нужно получить информацию об этом пакете. В этом пакете ISAKMP IKEv2 мне интересно извлечь значения «Алгоритма шифрования» и «Алгоритма целостности» (т.е. «ENCR_3DES» и «AUTH_HMAC_MD5_96»).

Я могу просмотреть значения, если проверю пакет в wirehark. Но я должен сделать это из сценария оболочки, поэтому я не могу использовать wirehark. Мне нужно получить эти значения из самой команды чтения tcpdump.

Я предполагаю, что может быть какой-то способ распечатать алгоритмы шифрования и целостности, используемые из команды чтения tcpdump. Не могли бы вы помочь разобраться в этом.

Захваченный пакет:

захваченный пакет


shell ipsec tcpdump
person m.divya.mohan    schedule 13.02.2013    source источник

Ответы (3)


arrow_upward
1
arrow_downward

Можно найти способ сделать это, как вы ожидаете, только с помощью tcpdump, но @user862787 сказал использовать tshark, например:

# tshark -V -r somecapfile.pcap
Frame 1: 196 bytes on wire (1568 bits), 196 bytes captured (1568 bits)
Encapsulation type: Linux cooked-mode capture (25)
Arrival Time: May 10, 2017 02:00:34.811347000 CDT
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1494399634.811347000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 196 bytes (1568 bits)
Capture Length: 196 bytes (1568 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: sll:ethertype:ip:sctp:m3ua:sccp:tcap:gsm_map]

-V делает то, что вы хотите!

person Israel Diaz    schedule 08.11.2017

arrow_upward
0
arrow_downward

Я могу просмотреть значения, если проверю пакет в wirehark. Но я должен сделать это из сценария оболочки, поэтому я не могу использовать wirehark.

Но вы, возможно, могли бы использовать TShark.

person Community    schedule 13.02.2013

arrow_upward
0
arrow_downward

tcpdump -r с некоторыми другими флагами (например, -X).

person Валерий Заподовников    schedule 26.05.2020