So entschlüsseln Sie die Nachricht mit tcpdump

Question

Wir haben eine Nachricht von einer Box zu einem von vielen Host geroutet - Ich habe den folgenden Befehl versucht;

/usr/sbin/tcpdump -A -X -v -vv -vv port 11111 and host box1.com or host box2.com or host box3.com or host box4.com 

Ich erhalte den folgenden Ausgang:

16:23:09.981969 IP sbox1.com.11959 > box1.com.11111: . ack 37 win 81 <nop,nop,timestamp 947669375 2267318557> 
     0x0000: 4500 0045 c008 4500 4506 454f ba39 3e10 E..4..@.@..O.9>. 
     0x0010: 0a30 600d 0eb7 07b0 402d 44c8 21b6 ef42 .9b.....F-@.!..B 
     0x0020: 0987 8898 a796 89a1 90b6 456a 89b0 12b4 ...Q.i......8|I. 
     0x0030: 8724 891d 

Die Meldung im Binärformat ist - wie kann ich sich in lesbarer Form so weit wie möglich gedruckt werden?

Answer 1

Sie verwenden das Argument -X beim Aufrufen von tcpdump. Nach der Manpage für tcpdump, teilt dies Tcpdump zu: "Beim Parsen und Drucken, zusätzlich zum Drucken der Header jedes Pakets, drucken Sie die Daten jedes Pakets (abzüglich seiner Link-Level-Header) in Hex und ASCII."

Der ASCII-Text auf der rechten Seite ist das eigentliche Paket. Wenn Sie nur an dem ASCII-Text interessiert sind, können Sie einfach das Argument -X weglassen. Sie können einige hilfreiche Befehle für tcpdump here auch finden.

Ich bin mir nicht sicher, welche Informationen Sie versuchen, von diesem bestimmten ACK-Paket zu lernen, aber wenn Sie Hilfe bei der Entschlüsselung benötigen, bietet Microsoft einen ziemlich guten Einstieg/Grundlagen here.