Archive

Archive for January, 2019

tcpdump – manuale rapido

January 15th, 2019 No comments

tcpdump è un tool comune per il debug delle reti di computer che funziona da riga di comando. Consente all’utente di intercettare pacchetti e trasmissioni sulla rete al quale il computer è collegato

il comando  può essere usato con i seguenti parametri:

-i : ascolta solo su un’interfaccia (es:-i eth0) o tutte (es: -i any)
-n : non risolve i nomi.
-nn : non risolve sia nomi che porte.
-X : mostra il contenuto dei pacchetti sia in esadecimale che in ASCII
-v-vv-vvv : incrementa il numero delle infomazioni.
-c : mostra solo un certo numero di pacchetti (es: -c 10).
-S : stampa la sequenza di numeri assoluti
-e : ottiene l’header.
-q : mostra poche informazioni sul protocollo.
-w nomefile: salva l’output in un file. Utile per poter essere analizzato successivamente. Aperto con wireshark, per esempio, può fornire informazioni più dettagliate e comprensibili

 

Le opzioni che non necessitano di un parametro possono essere raggruppate. Per fare un esempio:
tcpdump -i eth0 -nnXvvSeq -c 10

Per visualizzare quello di cui abbiamo effettivamente bisogno possono essere eseguiti diversi tipi  filtri. Di seguito qualche esempio

    • host // mostra solo il traffico di un certo IP (funziona anche con un nome host ma non bisogna usare l’opzione -n)
      tcpdump host 1.2.3.4
    • src, dst // mostra solo il traffico della sorgente o della destinazione
      tcpdump src 2.3.4.5
      tcpdump dst 3.4.5.6
    • net // mostra il traffico di un’intera rete
      tcpdump net 1.2.3.0/24
    • proto // funziona solo per tcp, udp e icmp.
      tcpdump icmp
    • port // mostra solo il traffico di una certa porta
      tcpdump port 3389
    • src, dst port // filtro basato su porta sorgente e destinazione
      tcpdump src port 1025
      tcpdump dst port 3389

 

Altri esempi più complessi:

Tutto il traffico del protocollo tcp originato da 10.5.2.3 destinato alla porta 3389
tcpdump -nnvvS tcp and src 10.5.2.3 and dst port 3389

Tutto il traffico originato dai due IP che non abbia come destinazione la porta 22
tcpdump -vv src 10.10.10.1 or 10.10.10.2 and not dst port 22

Categories: Articolo Tecnico, Networking Tags:

Come verificare un server NTP utilizzando ‘ntpdate’

January 15th, 2019 No comments

Per verificare se un server NTP è vivo e risponde alle richieste NTP o per controllare manualmente un server NTP per vedere se l’orologio è corretto si può usare ntpdate da una CLI di Linux per interrogare il server NTP.

$ ntpdate -q pool.ntp.org
server 64.71.128.26, stratum 2, offset 1.552116, delay 0.06792
server 104.236.236.188, stratum 2, offset 1.556884, delay 0.11574
server 108.59.2.24, stratum 2, offset 1.569006, delay 0.11952
server 209.114.111.1, stratum 2, offset 1.542965, delay 0.11389
19 Apr 21:30:06 ntpdate[32062]: step time server 64.71.128.26 offset 1.552116 sec

L’opzione -q interroga solo, e non impostare l’ora.

Se i server ntp sono già configurati su ntp.conf usare il comando;

ntpq -pn