Windump windows 10 как пользоваться
В этой статье описано, как изучить небольшой файл сброса памяти. Небольшой файл сброса памяти поможет определить причину сбоя компьютера.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 315263
Если вы ищете сведения о отладки для Windows 8 или более поздней, проверьте средства отладки для Windows (WinDbg, KD, CDB, NTSD). Дополнительные сведения о небольшой свалке памяти вы можете получить в Small Memory Dump.
Небольшие файлы сброса памяти
Если компьютер сбои, как вы можете узнать, что произошло, устранить проблему и предотвратить ее снова? В этой ситуации может оказаться полезным небольшой файл сброса памяти. Небольшой файл сброса памяти содержит наименьшее количество полезных сведений, которые помогут определить причины сбоя компьютера. Файл сброса памяти содержит следующие сведения:
Для создания файла сброса памяти Windows файл paging на томе загрузки размером не менее 2 мегабайт (МБ). На компьютерах, на которых Windows Microsoft Windows 2000 или более поздней версии Windows, каждый раз при сбое компьютера создается новый файл сброса памяти. История этих файлов хранится в папке. Если возникает вторая проблема и если Windows создает второй небольшой файл сброса памяти, Windows сохраняет предыдущий файл. Windows каждому файлу предоставляется отдельное имя файла с кодированной датой. Например, Mini022900-01.dmp — это первый файл сброса памяти, созданный 29 февраля 2000 г. Windows сохраняет список всех небольших файлов сброса памяти в %SystemRoot%\Minidump папке.
Небольшой файл сброса памяти может быть полезен при ограниченном пространстве жесткого диска. Однако из-за ограниченной информации, которая включена, ошибки, которые не были непосредственно вызваны потоком, который был запущен во время проблемы, не могут быть обнаружены при анализе этого файла.
Настройка типа сброса
Чтобы настроить параметры запуска и восстановления для использования небольшого файла сброса памяти, выполните следующие действия.
Так как существует несколько версий microsoft Windows, на вашем компьютере могут быть другие действия. Если они есть, см. документацию по продуктам для выполнения этих действий.
Дважды щелкните систему, а затем нажмите параметры advanced system.
Щелкните вкладку Advanced, а затем нажмите Параметры в статье Startup and Recovery.
В списке сведений о отладке записи нажмите кнопку Малая свалка памяти (64k).
Чтобы изменить расположение папки для небольших файлов сброса памяти, введите новый путь в поле Dump File или в поле Каталог малых свалок в зависимости от версии Windows).
Средства для чтения небольшого файла сброса памяти
Используйте утилиту проверки сброса (Dumpchk.exe) для чтения файла сброса памяти или проверки правильности создания файла.
Утилита проверки сброса не требует доступа к отладке символов. В файлах символов находятся различные данные, которые на самом деле не нужны при запуске разных файлов, но которые могут быть очень полезны в процессе отладки.
Дополнительные сведения об использовании службы проверки сброса в Windows NT, Windows 2000, Windows Server 2003 или Windows Server 2008 см. в статье Microsoft Knowledge Base 156280: How to use Dumpchk.exe to check a memory dump file.
Дополнительные сведения об использовании службы проверки сброса в Windows XP, Windows Vista или Windows 7 см. в статье Microsoft Knowledge Base 315271:как использовать Dumpchk.exe для проверки файла сброса памяти .
Или вы можете использовать средство Windows debugger (WinDbg.exe) или средство отладки ядра (KD.exe) для чтения небольших файлов сброса памяти. WinDbg и KD.exe включены в последнюю версию пакета средств отладки Windows.
Чтобы установить средства отладки, см. в странице Download and Install Debugging Tools for Windows webpage. Выберите типичную установку. По умолчанию установщик устанавливает средства отладки в следующей папке:
C:\Program Files\Debugging Tools for Windows
Эта веб-страница также предоставляет доступ к загружаемым пакетам символов для Windows. Дополнительные сведения о символах Windows см. в веб-странице Отладка с символами и веб Windows Пакеты символов.
Дополнительные сведения о параметрах файлов сброса в Windows см. в обзоре параметров файлов сброса памяти для Windows.
Откройте файл сброса
Чтобы открыть файл сброса после завершения установки, выполните следующие действия:
Изменение средств отладки для Windows папки. Для этого введите следующее в командной подсказке и нажмите кнопку ENTER:
Чтобы загрузить файл сброса в отладчик, введите одну из следующих команд и нажмите кнопку ENTER:
В следующей таблице объясняется использование держателей, используемых в этих командах.
Заполнитель | Объяснение |
---|---|
SymbolPath | Либо локальный путь, по котором были загружены файлы символов, либо путь сервера символов, включая папку кэша. Так как небольшой файл сброса памяти содержит ограниченные сведения, фактические двоичные файлы должны быть загружены вместе с символами для правильного чтения файла сброса. |
ImagePath | Путь этих файлов. Файлы содержатся в папке I386 на Windows XP CD-ROM. Например, путь может быть C:\Windows\I386 . |
DumpFilePath | Путь и имя файла для файла сброса, который вы изучаете. |
Примеры команд
Чтобы открыть файл сброса, можно использовать следующие примеры команд. Эти команды предполагают следующие:
- Содержимое папки I386 на Windows CD-ROM копируется в C:\Windows\I386 папку.
- Ваш файл сброса называется C:\Windows\Minidump\Minidump.dmp .
Пример 2. Если вместо командной строки вы предпочитаете графическую версию отладки, введите следующую команду:
Изучение файла сброса
Существует несколько команд, которые можно использовать для сбора сведений в файле сброса, в том числе следующие команды:
- Команда !analyze -show отображает код ошибки Stop и его параметры. Код ошибки Stop также известен как код проверки ошибок.
- Команда !analyze -v отображает многословный вывод.
- В lm N T команде перечислены указанные загруженные модули. Выход включает состояние и путь модуля.
Команда расширения !drivers отображает список всех драйверов, загруженных на компьютере назначения, а также сводную информацию об использовании их памяти. Расширение !drivers устарело в Windows XP и более поздней. Чтобы отобразить сведения о загруженных драйверах и других модулях, используйте lm команду. Команда lm N T отображает сведения в формате, аналогичном старому расширению драйверов!.
Справки по другим командам и полному синтаксису команд см. в документации по отладки средств справки. Документация о помощи средствам отладки можно найти в следующем расположении:
Если у вас есть проблемы, связанные с символами, используйте утилиту Symchk, чтобы убедиться, что правильные символы загружены правильно. Дополнительные сведения об использовании Symchk см. в рубрике Отладка с символами.
Упрощение команд с помощью пакетного файла
После определения команды, необходимой для загрузки свалок памяти, можно создать пакетный файл для проверки файла сброса. Например, создайте пакетный файл и назови его Dump.bat. Сохраните его в папке, где установлены средства отладки. Введите следующий текст в пакетный файл:
Если вы хотите изучить файл сброса, введите следующую команду, чтобы передать путь файла сброса в пакетный файл:
Всем администраторам Unix систем, будь то Linux или BSD, известна такая полезная утилита, как TCPDUMP. Эта утилита позволяет производить слежение (мониторинг) сетевого трафика на компьютере, на котором она запущена, причем если компьютер является роутером - то прекрасно видно - кто по каким портам куда ломится через этот роутер.
Через нее можно задавать правила - что отлавливать - с каких IP с каких портов - на какие IP какие порты. Через нее можно и записывать отловленные пакеты - например, для их последующего анализа. Можно "ловить" только через определенные интерфейсы и т.д.
Но что делать, если Вам приходится администрировать Windows и возникает такая-же задача? В Unix-то tcpdump доступна из коробки, а Windows не предоставляет никаких средств подобного уровня.
Встрачайте: Windump. Это не реклама, это на самом деле полезная утилита и с виду полная замена TCPDUMP, только для Windows!
Итак, что же нам нужно сделать:
1) Скачиваем драйвер WinPCAP (тоже знакомо по Unix?). Несмотря на предупреждение разработчика о том, что драйвер не протестирован "на полную" под Vista (и, соответственно, Windows 7) - удовольствие это работает, что очень радует!
2) Устанавливаем WinPcap, для этого даже перезагружаться не придется.
4) Ложим WinDump.exe в удобное место, куда можно легко добраться через консоль Windows. Это не инсталятор - это уже готовая к использованию утилита.
5) Открываем CMD (Пуск -> Выполнить -> "cmd" -> Enter). Переходим в каталог, куда Вы положили WinDump.exe и запускаем ее:
Перед Вами побегут строчки перехватываемых пакетов, среди которых можно видеть - какой пакет откуда идет и куда, с какого порта и на какой, какая у него длинна и какие флаги TCP установлены.
Жмем Ctrl+C для остановки.
Но тупо глядеть все пакеты нам может быть не интересно. Тогда придется воспользоваться ключами и "выражениями".
Как смотреть определенный трафик
То появится маленький набор подсказок - исключительно чтобы Вы не забыли сами опции. Но никакой подробной информации, к сожалению, здесь нет.
tcpdump - dump traffic on a network
SYNOPSIS
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
[ -C file_size ] [ -F file ]
[ -i interface ] [ -m module ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret. ]
[ -y datalinktype ] [ -Z user ]
[ expression ]
Ну и на русском я поясню самые основы (минимум) - чтобы Вы сразу могли приступить к слежению за трафиком.
Итак, если запустить WinDump без параметров - он будет показывать все проходящие пакеты, независимо - откуда и куда пакеты шли, на интерфейсе по-умолчанию. При этом для всех IP адресов отправителя и получателя будет производится попытка отрезолвить DNS-имя через PTR записи, а для портов - попытка показать не номер порта, а имя службы.
Отлов без резолва
Чтобы запретить сканеру резолвить DNS имена и номера портов - следует запускать с ключем "-n":
Это полезно чаще всего, т.к. трудно (особенно на глаз) определить по DNS-имени - что за компьютер, куда ломится, по каким портам (имена служб вместо номеров портов играют действительно злую шутку); ну и это нормально так экономит сетевой трафик на тему резолва IP адресов.
Смотрим внутренности пакетов
Ключ "A" позволяет нам помимо вывода "откуда - куда" печатать и сам контент пакетов (т.е. их внутренности в ASCII):
Остальные ключи
Все ключи (их множество) Вы можете посмотреть в предлагаемом мануале.
Правила просмотра
Чаще всего нужно не просто смотреть все, что идет откуда угодно куда угодно. Например, нам может понадобиться глядеть только трафик, который касается компьютера с IP 192.168.0.70, например, глядеть - на какие IP ломится бухгалтер или охранник; или на какой порт ломится какая-то программа. Для этого используются выражения.
Выражения пишутся после всех параметров в виде суммирующих записей AND или OR.
HOST
Для просмотра трафика, касающегося определенного компьютера, используется слово "host":
Если вариации "dst host" и "src host" позволяет, соответственно, ловить трафик, который был отправлен с адреса (src host) или направляется к адресу (dst host).
PORT
Для отслеживания трафика, касающегося определенного порта - слово "port":
По аналогии с HOST: существуют "src port" и "dst port" - соответственно, порт, с которого идет пакет и порт, на который идет пакет.
PORTRANGE
То же, что и "port", но позволяет задать диапазон портов (так же есть и "src portrange" и "dst portrange"), диапазон задается через тире:
GATEWAY
Условие "gateway" позволяет смотреть пакеты, проходящие через указанный шлюз (маршрут):
NET
Условие "net" позволяет ловить только те пакеты, которые принадлежать указанной подсети:
Соответственно, слова "net src" и "net dst" ловят пакеты, которые пришли с или идут в указанную сеть.
LESS и GREATER
Эти условия позволяет ловить пакеты, которые только меньше (LESS) или больше (GREATER) заданного размера в байтах:
IP PROTO
Позволяет ловить пакеты только определенного протокола: icmp, icmp6, igmp, igrp, pim, ah, esp, vrrp, udp, или tcp.
VLAN
Условие позволяет ловить только пакеты, принадлежащие определенному VLAN (соответственно, таггированые):
AND или OR
Правила, как я уже говорил, можно склеивать несколько в одно через AND или OR. Например, если нам нужно смотреть трафик, входящий или исходящий на компьютер 192.168.0.70 по удаленному или локальному порту 80 - выражение будет выглядеть вот так:
Тем, кто уже пользовался TCPDUMP под *nix - затруднений это не должно вызвать.
Много больше Вы можете узнать из прилагаемой (выше по заметке) инструкции, правда, на английском языке.
. За последние несколько лет я собрал подборку замечательных утилит, которыми пользуюсь ежедневно. Эти инструменты позволяют мне быстрее справляться с работой, дают возможность получать более точные результаты, а также помогают моим клиентам. Отобранные утилиты умещаются на съемном накопителе USB , так что они всегда у меня под рукой. При этом лучшая часть моего набора инструментов распространяется бесплатно. Подробную информацию о том, где загрузить нужные инструменты, можно найти во врезке «Дополнительная информация».
Коммуникационные утилиты
FileZilla
Клиент с открытым кодом FileZilla является клиентом FTP с графическим интерфейсом; данный инструмент запускается на всех 32-разрядных версиях Windows , начиная с Windows 95 и кончая Windows XP . Клиент FileZilla поддерживает передачи по протоколу FTP и SSH File Transfer Protocol ( SFTP ), операции drag - and - drop , очереди из нескольких файлов и передачу по нескольким соединениям, а также режим PASV ( passive ). Проще говоря, он предоставляет любую возможность, которую предлагает большинство коммерческих пакетов, и платить за него не нужно. Эта утилита должна присутствовать в наборе инструментов каждого администратора.
OpenSSH
Лет десять назад финский инженер Тату Илёне разработал первую версию протокола, известного как Secure Shell ( SSH ). Первая версия (теперь, как правило, ссылаются на SSH -1) позволяла создавать шифрованные сессии с командной оболочкой (с приглашением на ввод команд) на системах UNIX в небезопасных сетях типа Internet. Теперь de facto протокол SSH превратился в стандарт для удаленного управления в мире UNIX , причем c OpenSSH он доступен и для Windows.
Для чего же нужен протокол SSH , если Microsoft уже включает сервер и клиент Telnet со всеми самыми свежими версиями Windows ? Очень просто: для безопасности. Microsoft Telnet можно использовать для удаленного создания сессии на основе приглашения для ввода команд по Internet, но такая коммуникационная сессия будет идти в открытом виде. Поэтому все желающие смогут увидеть, что делается в такой сессии Telnet .
Протокол SSH был призван заменить опасные протоколы типа Telnet , причем он предоставлял все нужные возможности. Хотя администраторы обычно пользуются протоколом SSH для Windows , чтобы создавать сессию на основе приглашения для ввода команд в небезопасных сетях, они также используют протокол SSH для доступа к портам TCP по туннелю SSH , все для той же безопасной передачи файлов.
В качестве бонуса предлагается несколько хороших клиентов SSH для портативных устройств, как для PocketPC , так и для Palm OS , причем предоставляется широкий набор возможностей для безопасного удаленного управления.
Утилиты прослушивания
WinDump
Иногда я мечтаю перестать заниматься серверной техникой и консультированием, и поработать с сетевой аппаратурой. Ведь, в конце концов, сети проще - пакет либо есть, либо его нет. Конечно, я слишком упрощаю дело – просто я предлагаю одну из своих любимых командных утилит, WinDump .
Утилита WinDump - исключительно мощный пакетный командный сниффер (программа для пассивного прослушивания с поддержкой командной строки). Перенесенный с утилиты Tcpdump , доступной для UNIX , WinDump обладает той же мощью и гибкостью в мире Windows и при этом имеет всего 440 K байт исполняемого кода.
Утилита WinDump бывает полезна в тех случаях, когда необходимо быстро выполнить пакетный сбор данных для выявления сетевой проблемы. Это гибкая утилита, она может захватить и отобразить детали по каждому пакету, который пересекает сетевой интерфейс. Она способна фильтровать результаты на выходе на основе протокола (например, протокола разрешения адресов Address Resolution Protocol — ARP , IP , TCP , UDP ), сети или хоста источника, сети или хоста назначения, порта источника, порта назначения и на основе многих других критериев.
Для использования WinDump сначала надо ее загрузить и установить библиотеку захвата пакетов Windows Packet Capture Library ( WinPcap ), портированную на Windows открытую библиотеку захватов пакетов и сетевого анализа libpcap для UNIX . Библиотека WinPcap работает на всех версиях Windows. Самая последняя бета-версия (на момент написания статьи) - 3.1 beta 4.
Ngrep
Хотя WinDump – превосходная утилита, иногда она требует значительной дополнительной работы или знаний, чтобы правильно выполнить поиск. Предположим, вы пытаетесь определить, проходит ли запрос DNS по вашей сети, но не разбираетесь в протоколах, и не знаете, какой из них DNS использует по умолчанию. Или, например, у вас проходит большой трафик через сетевое подключение, и вы в затруднении из-за того, что он слишком велик для промотра всех пакетов, чтобы найти нужный. В таких ситуациях я всегда полагаюсь на ngrep , известную сетевую утилиту для быстрого просмотра.
Это, вероятно, одна из наиболее известных и часто используемых утилит в UNIX . Утилита grep находит соответствия в текстовых строках (с помощью механизма, известного как регулярные выражения) в файлах системы, затем выводит строки на дисплей. Эту утилиту можно сравнить с утилитой командной строки Find в Windows , только grep предоставляет большие возможность при поиске по текстовым строкам.
Предлагая похожие возможности на сетевом уровне, ngrep дает такой же уровень функциональности для снифинга пакетов. В результате необязательно знать, какие протоколы, порты, сети или IP -адреса используют эти два устройства для передачи данных. Нужно только знать что-то о полезной нагрузке этого пакета, и ngrep найдет его — неважно, как он передается.
Я часто применяю ngrep , чтобы устранить проблемы с запросами DNS . В большой среде Active Directory ( AD ) обычно в сети обрабатываются десятки запросов DNS в секунду. Если я пытаюсь устранить специфический комплекс проблем, то просмотр каждого пакета в поисках нужного как минимум требует очень много времени. Вместо того чтобы полагаться на прямой пакетный захват всего трафика DNS , я просто использую ngrep , чтобы найти текстовую строку, которую ищу, потому что запросы и ответы DNS выполняются в незашифрованном тексте.
Ethereal
В том случае, если нужно закатать рукава и погрузиться в область захвата и анализа трафика сети, вспоминается еще одна утилита: самый популярный сетевой анализатор, Ethereal . Сетевые эксперты во всем мире пользуются утилитой Ethereal , потому что в ней есть все стандартные возможности, которые имеются в большинстве анализаторов протоколов, но она содержит и то, чего нет в других продуктах. Более 400 разработчиков со всего мира внесли свой вклад в это приложение открытого кода. Десять лет назад я заплатил 20 000 долл. за приложение с такими же возможностями, но Ethereal предлагает их бесплатно.
Утилиты для сканирования, контроля и мониторинга
BareTail
Многие приложения сохраняют все регистрационные сведения в прямых текстовых файлах, потому что журналы регистрации событий не подходят для некоторых типов данных в Windows (например, регистрационных файлов IIS ). При мониторинге и поиске неисправностей эти типы приложений полезны для просмотра регистрационных данных в реальном времени. Однако, поскольку они являются текстовыми файлами, этот процесс обычно состоит из следующих шагов: необходимо открыть файл в Notepad или другом текстовом редакторе, просмотреть его содержание и закрыть файл, а затем вновь открыть файл, чтобы посмотреть, что изменилось.
В мире UNIX для этой цели предназначена одна утилита, которая легко выполняет такое задание. Это и есть Tail . Разработчики фирмы Bare Metal Software создали BareTail – бесплатную версию данного инструмента. Хотя BareTail не является инструментом c открытым кодом, как все остальные утилиты, рассмотренные в данной статье, он быстро занял свое место среди моих любимых утилит – причем обнаружил я его совсем недавно.
Одно из самых ценных качеств BareTail состоит в том, что это автономный исполняемый файл. Пакетов для установки нет, поэтому можно использовать данную утилиту на системе клиента и чувствовать, что вы если и повлияли на его систему после завершения работы, то совсем чуть-чуть.
NeWT
Когда я думаю о безопасности, я обычно обращаюсь к программам с открытым кодом, а не к решениям конкретных производителей. Прежде всего, в этом сообществе работают неутомимые трудоголики, которые вникают во все аспекты, особенности и дефекты. Яркий пример тому – сканер уязвимых мест Nessus .
Этот сканер уязвимостей - самый популярный в мире. Примерно 75 000 организаций используют его для оценки и проверки безопасности своих сетей. Впервые Nessus был выпущен в 1998 году для UNIX ; портированная на Windows компанией Tenable Network Security версия Nessus называется NeWT .
Tenable Network Security предоставляет стандартную версию NeWT бесплатно. Единственное ограничение состоит в том, что хост, на котором запускается NeWT , может сканировать только свои локальные подсети. Эта утилита может сканировать более 6000 известных уязвимых мест, вот почему NeWT на сегодня - самый нужный сканер для платформы Windows .
Если наделить утилиту NeWT административными правами, то можно заглянуть в систему еще глубже и проверить имеющиеся исправления или наличие шпионского программного обеспечения. Например, на контрольной системе-жертве в моей лаборатории утилита NeWT обнаружила несколько пакетов шпионящих программ и бесплатных программ с рекламой, которые я нарочно установил на этом хосте для проверки. Утилита NeWT посоветовала мне удалить эти приложения. Утилита NeWT – это первый инструмент, который я беру, чтобы начать оценку безопасности клиента. Рекомендую всем администраторам иметь ее в своем арсенале инструментальных средств.
Winfingerprint
Предположим, нам нужно быстро получить информацию об удаленной системе. Для этой цели подойдет Winfingerprint – сетевой сканер, работающий на Windows . В отличие от большинства сетевых сканеров, Winfingerprint специально разработан для получения информации о хостах и приложениях Microsoft . Winfingerprint может использовать ICMP , RPC , SMB , SNMP , TCP и UDP для получения информации о целевых системах (например, позволяет узнавать версию операционной системы, учетные записи пользователей, группы, идентификаторы безопасности, политики, службы, пакеты обновлений и исправления, совместные ресурсы NetBIOS , транспорты, сессии, диски). Утилита Winfingerprint имеет как версию с графическим интерфейсом, так и версию для командной строки: какой бы способ ни был вам по душе, всегда найдется подходящий вариант.
Сетевой анализатор(network sniffer), позволяет прослушивать пакеты определенного сегмента сети на наличие некоторых шаблонов; исправлять определенные проблемы и выявлять подозрительную активность; могут контролировать широковещательный трафик и выявлять порты-«зеркала» используемые недругами для контроля других портов.
Windump Опции Выражение
Требует установки драйвера WinPcap_3_1.exe. Часто используемые опции:
-D ‑ Показать имеющиеся интерфейсы.
-i ИмяИнтерфейса ‑ Перехват на указанном интерфейсе.
-n ‑ Не использовать DNS.
-X ‑ Выводить содержимое пакетов.
-s Число ‑ Захватывать указанное число байт в пакете (68).
-e ‑ Выводить информацию о канальном уровне.
-w Файл ‑ Записывать кадры в файл.
-r Файл ‑ Взять кадры из файла.
Выражение используется для выделения необходимого трафика, можно указывать MAC-адреса, IP адреса, порты, а так же другие параметры пакетов или кадров. Операнды в выражении объединяются с помощью ключевых слов not, or или and.
host1.1.1.1 ‑ Перехватывать любые пакеты от или к хосту 1.1.1.1.
host1.1.1.1and port25 ‑ Перехватывать любые пакеты от или к хосту 1.1.1.1 на или с порта 25.
src host1.1.1.1and dst 80 ‑ Перехватывать любые пакеты от хоста 1.1.1.1 на любой хост с портом 80.
not host 1.1.1.1 and (port 25 or port 110) ‑ Перехватывать любые пакеты с портом 25 или 110, кроме пакетов для или от хоста 1.1.1.1.
not etherhost ff:ff:ff:ff:ff:ff andnot etherhost 01:80:c2:00:00:00 ‑ Перехватывать любые кадры кроме тех которые имеют указанные MAC.
Вывод на экран производиться в следующем формате (для TCP):
DstIP> SrcIP: Flags Data-seqno Ask Window Urgent <Options>
Комбинация флагов S (SYNC), F (FIN), P (PUHS), R (RST).
Относительный начальный, относительный конечный номера байтов потока в данном пакете.
Ожидаемый относительный начальный байт в следующем пакете в обратном направлении.
Размер принимающего буфера для потока в обратном направлении.
Указывает, что в пакете имеются данные Urgent.
Перечисляет TCP-опции в пакете.
windump-n-ieth1 host 4.4.4.4 ‑ Показать пакеты от или к 4.4.4.4
windump-n -ieth1-X host 2.2.2.2 and port 23 ‑ Показать пакеты и их содержимое от или к 2.2.2.2 порт 23
windump-n -i eth1 dst net 2.2.2.0 mask 255.255.255.0 and src 1.1.1.1 ‑ Показать пакеты направленные в сеть 2.2.2.2/24 от хоста 1.1.1.1
windump-n -i eth1 -e host3.3.3.3 ‑ Показать кадры от или к адресу 3.3.3.3(с информацией канального уровня).
windump-n -i eth1-wpacket.log-s 0 host3.3.3.3 ‑ Записать все пакеты целиком от или к адресу 3.3.3.3 в файл packet.log
Запустить командную строку и выяснить имена интерфейсов с помощью команды:
На интерфейсе ethernet запустить перехват всего трафика (выход производиться комбинацией [Ctrl+C]):
windump-n -i Интерфейс
Выяснить IP и MAC адрес машины с помощью команды:
Ipconfig /all
Запустить перехват и отображение содержимого пакетов только для своей машины:
windump -n -X -i Интерфейс host IPадрес
Добиться, чтобы windump фиксировал на канальном уровне все, кроме широковещания с помощью следующей команды:
windump-n -i Интерфейс not ether host ff:ff:ff:ff:ff:ff and not …
Программа: ARP
Вызов программы без параметров покажет Help по опциям программы.
Для просмотра ARP-таблицы используется команда: arp-a
Для удаления записей в ARP-таблице используется команда: arp-d IPадрес
Для добавления статических записей используется команда: arp-s IPадрес MACадрес
Посмотреть содержимое ARP-таблицы с помощью команды: arp-a
Сделать ping соседних машин, и посмотреть, как измениться ARP-таблица.
Удалить динамические записи соответствия с помощью команды: arp-d IPадрес
Добавить одну статическую запись соответствия с правильным MAC (выяснить через команду ipconfig /all) и одну статическую запись соответствия с не правильным MAC(произвольный MAC) с помощью команд: arp-s IPадрес MACадрес
Выполнить ping данных хостов и объяснить результат.
Удалить все записи в ARP-таблице: arp-d IPадрес1; arp-d IPадрес2; …
В другом окне запустить windump для перехвата пакетов ARP к или от интересующего хоста: windump-n -i Интерфейс arp hostIPадрес
В предыдущем окне пропинговать указанный IP адрес и наглядно просмотреть в windump процедуру установления соответствия между IP и MAC адресом.
Программа Ping
Используется для проверки доступности хоста и загрузки канала. Вызов программы без параметров покажет Help по опциям программы.
Формат запуска: ping Опции IPадресИлиИмяХоста
Часто используемые опции:
-t ‑ Циклическая отправка эхо-запроса сразу после получения эхо-ответа или истечения тайм-аута на ответ.
-a ‑ Преобразовывать IP адреса в имена хостов через DNS.
-n Число ‑ Количество эхо запросов.
-l Число ‑ Размер ICMP-пакета в байтах.
-f ‑ Установить бит запрета фрагментации в пакетах.
-w Число ‑ Указывает таймаут на ожидание эхо-ответа.
ping -w Время IPадрес (или имя хоста) ‑ Определение доступности хоста через загруженый канал.
ping-a IPадрес ‑ Определение имени хоста по его адресу (обратный резолвинг).
ping-l Размер IPадрес ‑ Определение качества канала (пинг длинным пакетом).
ping-f -l Размер IPадрес ‑ Определение наиболее возможного MTU маршрута пингом с запретом фрагментации и последовательным увеличением размера пакета.
Выяснить имя хоста по его IP адресу: ping-a IPадрес
Запустить пинг для непрерывного наблюдения за временем отклика на интернет-канале: Ping -tIPадресПровайдера
В другом окне запустить нагрузку для интернет-канала: ping-t -l Размер IPадресИнтернет
Проконтролировать как изменяется время отклика. Завершить оба ping через [Ctrl+C]
Последовательно повышая размер пакета наблюдать (с помощью windump) как и когда начинает работать фрагментация IP пакетов: ping-n1 -l Размер IPадрес
Программа netcat
netcat Опции Хост Порт (режим клиента)
netcat -l -p Порт Опции ХостПорт (режим сервера)
Часто используемые опции
-h ‑ Помощь по опциям.
-v ‑ Подробный вывод.
-n ‑ Не использовать DNS.
-p Порт ‑ Использовать указанный локальный порт.
-l или -L ‑ Серверный режим (для входящих соединений).
-w Время ‑ Таймаут на соединение в секундах.
-e Программа ‑ Запустить программу и использовать ее ввод/вывод для переназначения в порт.
netcat Хост Порт
Подключится на указанный хости порт (аналог telnet ХостПорт).
netcat-v -w 1 -z ХостПорт-Порт
Простой сканер TCP-портов (с опцией –u сканер UDP-портов).
netcat-n -v -L-p Порта
Прослушивает локальный порт TCP, автоматически перезапускается после разрыва соединения.
netcat-l -p Порт -t -e Программа
Прослушивает локальный порт. После входящего соединения на этот порт, запускает программу и перенаправляет ее ввод/вывод в созданный сокет. Завершается после разрыва соединения.
Разбиться на пары, выяснить IP-адреса друг друга, один запускает
netcat-n -v -L-p Порта
Второй с помощью
netcat-v -w 1 -z ХостПорт-Порт
Выясняет номер открытого порта, затем подключается к нему через: netcat ХостПорт
Затем поменяться ролями.
Тот же сценарий, только вместо прослушивания порта подключить на него ввод/вывод cmd.exe:
netcat-l -p Порт -t -e cmd.exe
Наглядный пример метода получения несанкционированного доступа к системе или почему не нужно работать под администратором
Разбиться на пары, выяснить IP-адреса друг друга, запустить командную строку и на интерфейсе ethernet запустить перехват трафика на хост напарника с помощью команды:
windump-n -X -i Интерфейс hostIPадрес
В другой командной строке выполнить соединение с напарником с помощью netcat:
netcat-n -v -L-p Порта (режим сервера)
netcat ХостПорт (режим клиента)
В выводе windump разобрать процедуру установления соединения, затем разобрать как передаются данные. Выяснить свой MAC и MAC напарника.
Программа nmap
Предназначена для сканирования сетей, с дополнительной функциональностью: определение ОС, невидимое сканирование, параллельное сканирование, определение наличия пакетных фильтров. Требует установки драйвера WinPcap_3_1.exe. Может использоваться для поиска несанкционированно открытых портов на своих машинах. Формат вызова:
nmap МетодыСканированияОпции ХостИлиСеть
Состояние порта характеризуется тремя возможными состояниями:
Открыт (сервис доступен).
Фильтруемый (Приходит ICMP Port unreachable или ничего).
Не фильтруемый (Приходит RST, в результатах не выдается).
Часто используемые опции
-h ‑ Получение краткой справки по опциям.
-s Метод ‑ Метод сканирования, по умолчанию стандартный.
-p Порт ‑ Номера портов могут указываться набором чисел и/или диапазонов чисел через запятую.
-P0 ‑ Не проверять пингом перед сканированием.
-O ‑ Определить операционную систему хоста.
-v ‑ Включить подробный вывод.
-g Порт ‑ Указывает порт источника при сканировании (для обмана firewall).
-oN Имя ‑ Записать результаты вывода в указанный файл.
-T Метод ‑ Временной режим сканирования (защита от скандетекторов).
-sT ‑ Используется стандартный метод соединения SYN,SYN-ACK,ACK. Пользователю не нужно иметь в системе никаких дополнительных привилегий. Легко обнаруживается. Используется по умолчанию.
-sS ‑ Используется полуоткрытый метод соединения только SYN. Пользователь должен иметь привилегии администратора, что бы формировать поддельный SYN. Обнаруживается не часто.
-sF, -sX, -sN ‑ Используется скрытый метод соединения, соответственно посылается только FIN или FIN,URG,PSH или пакет без каких-либо флагов. Согласно RFC 973 при получении такого пакета на закрытый порт, ОС сканируемого хоста должна ответить пакетом с RST, а при получении на открытый порт просто игнорировать его (не работает в ОС Microsoft и некоторых других ОС).
-sU ‑ Сканирование UDP-портов. При получении ICMP Port unreachable считается, что порт закрыт, в противном случае порт открыт. Из за ограничения на скорость генерирования ICMP Port unreachable (во многих ОС), сканирование производится медленно, при этом nmap автоматически пытается определить сколько ICMP Port unreachable может посылать сканируемый хост за конкретный промежуток времени. Microsoft не имеет ограничений, поэтому UDP-сканирование должно проходить быстро.
-sO ‑ Сканирование поддерживаемых протоколов. Сканируемому хосту посылается IP-пакет с проверяемым номером протокола, но без каких либо заголовков данного протокола. При получении ICMP Protocol unreachable считается, что протокол не используется, в противном случае протокол используется.
-sA ‑ Используется для определения защищается ли сканируемый хост firewall и какого типа этот firewall (statefull или stateless в режиме фильтрации только SYN). На порт сканируемого хоста посылается пакет с ACK(со случайными значениями sequence number и acknowledgement number). Если в ответ приходит пакет с флагом RST, то порт считается не фильтруемым (или фильтруемым stateless firewall в режиме фильтрации только SYN), если ничего или ICMP Port unreachable, то фильтруемым. Не показывает открытые порты, но если метод -sT показывает, что все порты фильтруются, а метод -sA показывает не фильтруемые порты, то это будут открытые порты, защищаемые statelessfirewall в режиме фильтрации только SYN.
nmap -P0 -v www.zabspu.ru ‑ Сканировать порты указанного хоста с подробным выводом без предварительной проверки доступности хоста.
nmap -p1-1024 172.27.3.3 ‑ Сканировать порты указанного хоста в указанном диапазоне.
nmap nmap -O 172.27.1.0/24 ‑ Определить типы операционных систем на хостах в указанной сети.
nmap -p 25,110 172.27.1.* ‑ Найти почтовые сервера в указанной сети.
При использовании Nmap необходимо учитывать следующее:
Сканирование сети (особенно шумные) воспринимаются некоторыми администраторами как атаки, поэтому могут быть претензии.
Параллельное сканирование может нагружать и сам хост и устройства, которые обслуживают сеть (маршрутизаторы, фаерволы, сетевые сенсоры).
Посмотреть доступные сервисы на указанном хосте с помощью команды:
nmap -v 172.27.1.1
Определить операционные системы на первых 20-ти хостах сети
nmap nmap -O 172.27.1.1-20
Найти www-сервера в указанной сети
nmap -p 80172.27.1.*
В одной командной строке запустить windump для контроля трафика на некоторый IP адрес:
windump-n -i Интерфейс hostIPадрес
В другой командной строке выполнить сканирование самостоятельно выбранного порта данного IP адреса различными методами (типы выяснить с помощью опции -h), и посмотреть чем они отличаются:
nmap -SМетод -pПорт IPадрес
Разбиться на пары, на одной машине включить брандмауэр с протоколированием заблокированных соединений на второй машине сканировать защищенную машину разными методами:
nmap -SМетод Ipадрес
Посмотреть какие следы оставляют в журнале разные методы.
Попытаться определить как защищается хост 172.27.1.1 и тип его firewall используя вышеуказанную команду.
Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.
Читайте также: