+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

trafr не работает.

trafr не работает., RouterOS

PSL

Guest

02.07.2007 07:32:00

Инструмент trafr для захвата пакетов, отправляемых снуффером Microtik, не работает. Протестировано на Ubuntu Linux 6.06.1, i386. Похоже, что trafr был скомпилирован для Linux с ядром 2.2; это уже история, так как большинство современных дистрибутивов Linux основаны на ядре 2.6. Другая проблема в том, что trafr — это бинарный пакет (без исходного кода), и он динамически связан; это действительно плохо.

oem@scenic:~$ uname -a
Linux scenic 2.6.15-28-686 #1 SMP PREEMPT Thu May 10 09:56:30 UTC 2007 i686 GNU/Linux
oem@scenic:~$ ls -l trafr
-rwxr-xr-x 1 oem oem 4764 2004-03-17 11:35 trafr
oem@scenic:~$ file trafr
trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.0, dynamically linked (uses shared libs), for GNU/Linux 2.2.0, stripped

Не работает, захватывает всего несколько байтов и завершается.

oem@scenic:~$ ./trafr -s 192.168.0.133 | hexdump -C
00000000 d4 c3 b2 a1 02 00 04 00 00 00 00 00 00 00 00 00 |…|
00000010 00 10 00 00 01 00 00 00 |…|
00000018

Помогло бы выпустить исходный код пакета trafr. Помогло бы выпустить описание TZSP, используемого для отправки пакетов на сервер потоков. Я нашел несколько сообщений от пользователей, работающих на других ОС (Mac OSx, NetBSD и т.д.), что trafr не работает на их системе. Выпуск исходного кода мог бы им помочь. Есть ли в коде trafr что-то вроде ракетостроения, что необходимо хранить исходный код в секрете? Я так не думаю… Руководство также можно обновить свежей информацией по этой теме, возможно, trafr уже заменен более качественным инструментом. http://www.mikrotik.com/testdocs/ros/2.9/tools/sniffer.php

kostil Guest	#2 0 28.11.2009 18:02:00 Может, начнём с открытия .pcap файла и поработаем с ним? Можешь написать мне в ICQ или Jabber?

kostil

Guest

02.12.2009 21:11:00

Я написал скрипт на Perl, что-то вроде trafr. Он берёт пакеты из pcap-файла, сохраненного с помощью tcpdump или tshark, извлекает tzsp-заголовки из пакетов и сохраняет их в другой pcap-файл. Без проблем можно сделать так, чтобы он слушал трафик онлайн с интерфейса, но такой задачи у меня пока нет.

Eising Guest	#4 0 03.12.2009 10:11:00 Да, у меня тоже есть ruby-скрипт, который это делает, но я хочу открыть UDP-сокет и получать поток оттуда. Просто пока не могу уделить этому время до выходных. Если придумаешь что-нибудь быстрее меня, дай знать.

Eising

Guest

28.11.2009 15:19:00

Протокол TZSP довольно простой. Это всего лишь базовый заголовок перед реальными данными. Думаю написать свою собственную реализацию trafr, так как нужны какие-то дополнительные функции. Выпущу её как open source, когда сделаю.

kostil Guest	#6 0 28.11.2009 15:45:00 На каком языке будешь писать? C или, может, это будет Perl-скрипт? Может, я смогу помочь? Напиши мне на почту.

Eising Guest	#7 0 28.11.2009 17:15:00 Думаю, можно сделать это как скрипт на Perl, но нужно придумать умный способ. Нужно как-то открыть UDP-сокет, вытащить несколько байт из начала потока и потом выдать это в формате pcap…

snoozer

Guest

19.02.2010 14:05:00

Привет, Eising! Заглядывал ли ты в Netcat? Сгодится ли он тебе, чтобы слушать на нужном UDP-порту? Мне действительно нужно решение, которое я смогу пересобрать из исходников для другой архитектуры, но я вообще не скриптовый гуру или программист. Ян.

yahel Guest	#9 0 19.02.2010 19:21:00 Будь добр, поделишься этими скриптами? Было бы здорово получить и версию на Ruby, и на Perl… Спасибо, Яхель.

snoozer

Guest

#10

23.02.2010 07:52:00

Привет ещё раз! Есть ли какие-нибудь успехи в том, чтобы решение для перехвата трафика работало на других платформах? Я бы очень хотел использовать его на своём Mac, но пока не знаю, как это сделать. Может, кто-нибудь знает способ с nc (netcat)? Хорошо работает с tcpdump, но, насколько я понял, инструмент перехвата в ROS отличается, и я не могу заставить поток работать с Wireshark, если netcat его прослушивает. Если быть точным, я не собираю трафик с помощью Wireshark, а мне нравится сохранять его в файл, а потом работать с ним в Wireshark. С уважением, Ян.

Eising

Guest

#11

23.02.2010 11:50:00

Я ещё не закончил скрипт. Но у меня был прототип, который просто удалял лишние заголовки до трафика, находящегося внутри. Хотя, Wireshark отлично работает с TZSP, поэтому я обычно использую tcpdump для записи всего с dst-port, который равен TZSP-порту (37008?), и сохраняю это в файл. Потом я могу загрузить его в Wireshark, и там будет видно закодированные данные. tcpdump -s0 -w captured-data.pcap -nieth0 port 37008

cartes

Guest

#12

21.03.2010 14:29:00

Пока захват с помощью tcpdump или wireshark работает, фильтры практически не позволяют делать определенный анализ (например, находить только UDP-пакеты). Было бы очень полезно, если бы кто-нибудь мог подсказать онлайн-ресурс с информацией о инструменте, который бы убирал tzsp-заголовки из пакетов.

mblanco

Guest

#13

20.08.2010 21:25:00

Этот скрипт #!/usr/bin/env ruby

require 'rubygems'
require 'socket'

t = Time.now
time_now = t.strftime("%Y-%m-%d %H:%M:%S").to_s

puts "Начинаю соединение в #{time_now}"

begin # эмулирую блокирующее соединение
s = UDPSocket.new
s.bind(nil, '5678')
rescue IOError, SystemCallError => udperror
puts "Ошибка: #{udperror}"
#ensure
# s.close if s
end

100.times do
puts " to -> #{s.recvfrom(1024)[1][2]}"
data = s.recvfrom(1024)[0].unpack("L1 H8 H12 H8 Z* H6 Z*") # <- важно
next if data[1] != "00010006"
mac = data[2]
identity = data[4]
version = data[6]
end

puts "Закрываю соединения..."
s.close if s
Эта часть “L1 H8 H12 H8 Z* H6 Z*” для скана API на Perl, который я нашел давным-давно; я не программист на Ruby, надеюсь, это кому-нибудь поможет.

kostil Guest	#14 0 28.11.2009 07:26:00 Привет всем! Решили проблему с трафром? Или, может, нашли какую-нибудь другую программу для обработки ЦЗСП?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры