Примеры по tcpdump и ssldump

Снимаем дамп трафика SSL/HTTPS и получаем заголовки

tcpdump -i eth0 -vvv -s 0 -w /tmp/ssl_dump.cap host IP.ADD.RE.SS and port 443
ssldump -A -d -k PATH_TO_SSL_PRIVATE.KEY -nr /tmp/ssl_dump.cap > /tmp/out.txt

Получить POST заголовки

tcpdump -i eth0 -s 0 -A 'tcp dst port 8080 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

 

Как обнаружить спам-бота в своей сети

Не будем говорить о том, что надо ограничивать права, блокировать трафик и применять прочие методы для того чтобы в вашей сети не заводились спам-боты. Так как все равно каждый день появляются уязвимости, а с ними и новые вирусы.

Но вначале я бы хотел обратить ваше внимание на такой замечательный ресурс как http://mxtoolbox.com/blacklists.aspx, который периодически будет производить проверку вашего IP на наличие в black list. И в случае, если ваш IP будет замечен,- пришлет «тревожное письмо».

После этого возникнет вопрос какая машина заражена. Определить это очень просто. Просто приведу пример работы утилиты, которая должна быть на вооружении у каждого уважающего себя админа, а именно tcpdump. Естественно запускать tpcdump нужно на вашем шлюзе под управлением Linux

tcpdump -ni eth1 'tcp[tcpflags] & tcp-syn != 0 and dst port 25'

В моем примере eth1 — это интерфейс, который смотрит в локальную сеть.

Для шлюзов на основе Windows есть отличная тулза  Wireshark