Universita’


Esportare i dati nel formato Tcpdump



Scaricare 0.54 Mb.
Pagina32/38
29.03.2019
Dimensione del file0.54 Mb.
1   ...   28   29   30   31   32   33   34   35   ...   38



6.2 Esportare i dati nel formato Tcpdump


Ricostruire il file binario di Tcpdump a partire dal formato salvato prevede l’introduzione di alcune informazioni, come l’header Ethernet, e tutti quei campi scartati nella prima fase di importazione.

Il database creato dal modulo contiene tutti e soli i pacchetti facenti parti della stessa connessione. L’algoritmo che implementa questa ricostruzione consta di una prima parte che crea la struttura pkt_hdr per il file binario di output, di una successiva che legge e memorizza le informazioni comuni a tutti i pacchetti e crea l’header Ethernet (lo stesso per tutti i pacchetti salvati nello stesso file), ed infine un ciclo che ricrea più o meno fedelmente gli header IP e TCP.

Per quanto riguarda l’header Ethernet è stato sufficiente introdurre 14 byte, sempre gli stessi. I primi 6 byte identificano l’indirizzo Ethernet sorgente, i successivi 6 byte identificano l’indirizzo Ehernet destinazione, infine un campo di due byte specifica il tipo di servizio relativo al protocollo superiore. I valori relativi agli indirizzi sono stati riempiti con una serie di zero, il valore che specifica a quale tipo di protocollo lo strato superiore appartiene è stato riempito col valore che viene usato per specificare il protocollo IP.

Per quanto riguarda l’header IP il campo checksum, viene riempito con un valore impostato a 0. Altri campi, in base al formato di provenienza sono riempiti con valori più o meno significativi. In questo modo, una volta ottenuto il file da far processare a Tcpdump è possibile che si abbia un header TCP riconosciuto, perché indicato nell’intestazione IP, ma non vengano visualizzate informazioni relative ad esso.

Per quanto riguarda l’header TCP il campo checksum può o non può essere presente tuttavia non avendo a disposizione gli effettivi byte del pacchetto analizzato, ogni qual volta Tcpdump cerca, in una successiva analisi di processare i pacchetti e per quelli per i quali ha salvato anche tutto il pacchetto completo, allora proverà in base al pachetto salvato a ricalcolare il valore del checksum e quindi riscontrerà un valore errato anche per tale valore.




Condividi con i tuoi amici:
1   ...   28   29   30   31   32   33   34   35   ...   38


©astratto.info 2019
invia messaggio

    Pagina principale