Re: [maillist] OT: Packet analyzing
Frank Schneider (SPATZ1@t-online.de)
Thu, 21 Oct 1999 18:08:38 +0200
E. Kuch wrote:
>
> Howha Liste,
>
> Haette da eine etwas spezielle Frage:
>
> Wenn ich mit einem Sniffer (z.B. tcpdump, sniffit)
> ein Packet aus dem Netz hole und dieses analysieren will,
> hab ich am Anfang im Ethernet-Header die dest-MAC, src-MAC,
> Frame-Length (wie die genau berechnet wird in den 14 Byte, weis ich
> auch nich) und dann ethernet-type, z.B. 0x0800 fuer IP.
> Leider weis ich aber auch nur 0800=IP, die anderen Protos nicht.
>
> So gehts auch im IP-Header weiter: Von den 20 Byte kenn ich grad mal noch
> das 10. Byte ist z.B.: 0x06 fuer TCP, am Schluss kommt src-IP, dst-IP,
> den Rest weis ich nich. Dann kommt der TCP-Header, wo´s wirklich aufhoert.
> Aus den Daten kann man dann ja wieder was erkennen.
>
> Was ich brauch´ ist da mal grundsaetzliches Nachschlagewerk, was wo in
> welchem Header gesetzt ist, wenn...
>
> Moeglichst in einer Form zum runterladen (URL)... oder ein Buch,
> das wirklich alle Varianten enthaelt (ISBN).
>
> Vielleicht gibt´s da ja auch ´ne Schiebetafel, oder so? ;)
>
> Wer weis was?
Hallo...
Du könntest dir von www.zing.org das "etheral"-Paket herunterladen, das
ist ein grafisches Frontend für TCPDUMP und (seit Version 0.7.2) auch
für snoop (SUN) oder SMS Netzwerkmonitor (NT).
Dort kannst du dann den Hex-Code des Frames ansehen und gleichzeitig in
einem zweiten Fenster die Bedeutung der oder des Bytes....
Das Ding kann zwar noch nicht alles, was so übers Netz geht, aber TCP/IP
bestimmt sehr gut...
Solong..
mfg Frank.
--
Frank Schneider, <SPATZ1@T-ONLINE.DE>.
-Linux: The greatest Textadventure since the Invention of the PC...
... -.-