Сведения о сетевых соединениях или о заголовках пакетов – это то ли урезанный перехват трафика (без сохранения сведений о содержимом пакетов, но лишь об их заголовках), то ли развернутый вариант статистики (когда записывается не агрегированная по времени информация о переданных пакетах).
Например, что можно сказать о компьютере 10.0.4.224, получив следующую информацию о переданных пакетах? Перехват заголовков осуществлялся той же программой «tcpdump», что и в примере для главы «Перехват и исследование трафика», но без опций «-v -xX». Использованный в этот раз фильтр «tcp and (net 64.12.0.0/16 or net 205.188.0.0/16)» выделяет из общего потока те пакеты, которые относятся к сетям 64.12.0.0/16 и 205.188.0.0/16 – это сети, где стоят сервера, обслуживающие ICQ.
Например, что можно сказать о компьютере 10.0.4.224, получив следующую информацию о переданных пакетах? Перехват заголовков осуществлялся той же программой «tcpdump», что и в примере для главы «Перехват и исследование трафика», но без опций «-v -xX». Использованный в этот раз фильтр «tcp and (net 64.12.0.0/16 or net 205.188.0.0/16)» выделяет из общего потока те пакеты, которые относятся к сетям 64.12.0.0/16 и 205.188.0.0/16 – это сети, где стоят сервера, обслуживающие ICQ.
Можно сказать, что на компьютере с адресом 10.0.4.224 установлена программа ICQ, которая достаточно активно используется. Причем установлена бесплатная версия этой программы, поскольку наряду с приемом и отправкой сообщений (порт 5190) наблюдается прием рекламных баннеров (порт 80). Содержание передаваемых сообщений из перехваченных заголовков пакетов не видно.
Комментариев нет:
Отправить комментарий