Man page - tcpick(8)

Packages contains this manual

    Package:  tcpick
    apt-get install tcpick
    Manuals in package:
    Documentations in package:

Available languages:

en it

Manual

tcpick

NAME
SYNOPSIS
DESCRIZIONE
OPZIONI BASE
VISUALIZZARE I DATI CONTENUTI NEI PACCHETTI
RICOSTRUIRE IL FLUSSO E SALVARLO SU FILE
VISUALIZZARE IL FLUSSO RICOSTRUITO
EXAMPLES
MAILING-LIST
TCPICK SUL WEB
AUTORI
BACHI
VEDERE ANCHE
LICENZA
Principio di Shaw:

NAME

tcpick - sniffer tracciatore di connessioni

SYNOPSIS

tcpick [ -a ] [ -n ] [ -C ]
[ -e num ]
[ -i interfaccia | -r file ]
[ -X timeout ]
[ -D ] [ -F1 | -F2 ]
[ -yH | -yP | -yR | -yU | -yx | -yX ]
[ -bH | -bP | -bR | -bU | -bx | -bX ]
[ -wH[ub] | -wP[ub] | -wR[ub] | -wU[ub] ]
[ -v [ verbosity ]] [ -S ] [ -h ]
[ --separator ]
[ -T | -Tf [ n ]]
[ -E | -Ef [ n ]]
[ -Pc | -Ps ]
[ "filter" ]
[ --help ] [ --version ]

DESCRIZIONE

tcpick eā€™ uno sniffer con interfaccia testuale basato sulle celeberrime librerie libpcap. Tra le sue funzioni quelle piuā€™ importanti sono la capacitaā€™ di tracciare flussi di dati trasferiti mediante il protocollo tcp e la possibilitaā€™ di salvare i dati catturati allā€™interno di files, oppure di visualizzarli direttamente nel terminale. Puoā€™ essere utilizzato per il download passivo di file trasferiti via ftp (per lā€™http eā€™ neccessaria una ulteriore decodifica a livello applicazione). Tra le modalitaā€™ di visualizzazione dei dati ci sono: esadecimale, esadecimale con ascii (ovvero il classico hexdump), visualizzazione dei soli caratteri stampabili, modalitaā€™ "raw" ecc. Eā€™ disponibile anche una modalitaā€™ a colori per rendere lā€™output piuā€™ leggibile. Se viene posizionato su un gateway puoā€™ essere utilizzato per osservare le attivitaā€™ degli utenti di una rete interna. Inoltre eā€™ adatto ad essere utilizzato con strumenti testuali a riga di comando come grep, sed e awk.

OPZIONI BASE

-i --interface interfaccia di rete

ascolta lā€™interfaccia selezionata, (p.es. ppp0 o eth0 ). Se non eā€™ stata impostata lā€™opzione -i , tcpick selezioneraā€™ di default il primo dispositivo disponibile.

-r --readfile

legge i pacchetti da un file generato mediante tcpdump -w invece di utilizzare un interfaccia di rete ordinaria.

"filtro"

Eā€™ possibile impostare un filtro come quelli che si possono impostare con tcpdump(1) Un esauriente lettura della manpage di tcpdump(1) renderaā€™ chiara la logica di questa opzione.

-a

Risolve i nomi degli host invece di mostrare indirizzi ip. Attenzione : per ogni nuovo indirizzo ip sniffato verraā€™ generata una richiesta dns! Usare con cautela su dispositivi di rete ad alto traffico.

-C --colors

Usa colori e rende il terminale piuā€™ allegro per aiutarti a leggere lā€™output.

-D n --dirs n

Crea directory per salvare le connessioni sniffate. Quando una directory arriva a contenere n sessioni, una nuova directory viene creata.

-e num

Esce quando num pacchetti sono stati catturati.

-E n

Esce quando n connessioni sono state tracciate (ovvero il loro stato eā€™ "CLOSED")

-Ef n

Esce quando le prime n connessioni sono identificate come "CLOSED"

-F1 -F2 --filenaming 1|2

sceglie la tipologia di nome per i file delle sessioni sniffate
-F1 : tcpick_ clientip _ serverip . side .dat
( side puoā€™ essere clnt , serv o both )
-F2 : tcpick_ connectionnumber _ clientip _ serverip . side .dat

-h

Mostra ip e porta sorgente e destinazione. Mostra i flag TCP come lettere.

--help

Mostra un breve messaggio dā€™aiuto con il riassunto delle opzioni disponibili.

-p

Non imposta lā€™interfaccia di rete in modalitaā€™ promisqua. Attenzione peroā€™: lā€™interfaccia potrebbe essere in modalitaā€™ promisqua per qualche altra ragione.

-S

Sopprime la visualizzasione dello stato della connessione.

--separator

Aggiunge un separatore ai pacchetti.

-t

Visualizza il tempo (timestamp) in questo formato: ore:minuti:secondi:microsecondi

-td

Esattamente come -t con lā€™aggiunta della data nel formato giorno-mese-anno

-T n

Traccia solo n connessioni. Molto utile per reti ad elevato traffico. Se n non eā€™ stato specificato, viene impostato a 1 .

-Tf n

Traccia solo le prime n connessioni; le successive saranno ignorate. Se n non eā€™ stato specificato, viene impostato a 1 .

-v verbosity

Opzione che probabilmente verraā€™ rimossa. Imposta il livello di "verbositaā€™" Attualmente non ci sono molti messaggi extra da visualizzare. -v1 eā€™ impostato di default. Impostare la verbositaā€™ a 0 ( -v0 ) per sopprimere ogni messaggio ad eccezione degli errori. Non ci sono altri livelli di "verbositaā€™".

-X timeout

Le connessioni vengono considerate EXPIRED (scadute) quando non vengono scambiati pacchetti per almeno timeout secondi. Di default sono 600 secondi.

--version

Mostra la versione di tcpick

VISUALIZZARE I DATI CONTENUTI NEI PACCHETTI

Queste opzioni hanno come prefisso -y e sono utili per mostrare in svariati formati il contenuto dei pacchetti (payload), ovvero i dati che vengono trasferiti a livello applicazione non appena arrivano allā€™interfaccia di rete selezionata. Questa opzione non sopprime i pacchetti tcp duplicati e non cā€™eā€™ neanche il riordino degli stessi, ma vengono mostrati "cosiā€™ come sono". Per ottenere un flusso ricostruito e completamente riconosciuto (esattamente come fa lo stack di rete di un S.O.) leggi la descrizione del set di opzioni -w e -b .

-yH

Visualizza i dati come cifre esadecimali spaziate (per un hexdump vero e proprio si veda -yx e -yX ).

-yP

Visualizza i dati contenuti nel pacchetto. Caratteri non stampabili vengono visualizzati come punti: " . ". Il carattere di nuova riga e le tabulazioni non vengono convertite in punti. Questo eā€™ probabilmente il modo migliore per vedere con semplicitaā€™ richieste HTTP, comunicazioni IRC, sessioni SMTP eccetera.

-yR

Modalitaā€™ "raw". Visualizza tutti i caratteri, stampabili e non. Se qualcosa di binario (o compresso) viene trasferito, lā€™effetto saraā€™ probabilmente come visualizzare con " cat " un file zippato.

-yx

Visualizza i dati in un dump esadecimale con 16 bytes per ogni riga.

-yX

Visualizza i dati come -yx con lā€™aggiunta della corrispettiva stringa ascii nella stessa riga.

-yU

Visualizza i dati come -yP , ma i caratteri non stampabili vengono visualizzati come valori esadecimali racchiusi tra parentesi angolari.

RICOSTRUIRE IL FLUSSO E SALVARLO SU FILE

Il prefisso di queste opzioni eā€™ -w . Attivando questa opzione le sessioni sniffate vengono salvate su file nella directory corrente.

Il flusso viene ricostruito, riordinato e i pacchetti duplicati vengono tralasciati. In questo modo eā€™ possibile sniffare interi file trasmessi via ftp (per fare un esempio) senza corruzione dei dati (si puoā€™ verificare con md5sum).

Con il flag u dellā€™opzione -w (p.es. -wRu ) i dati di entrambi client e server verranno salvati su un unico file. Altrimenti i file saranno due e i flussi ben separati.

Usando il flag addizionale b allā€™opzione -wu (p.es. -wPub ), nel file saraā€™ scritto questo banner

[client|server] offset prima:offset dopo (lunghezza del segmento ricostruito)

per distinguere tra dati del client e del server nello stesso file

Se non viene attribuito nessun flag allā€™opzione -w i dati saranno scritti come con -wR .

Eā€™ possibile decidere di salvare i dati dei soli client o dei soli server impostando il flag C (solo dati del client) oppure S (solo dati del server) allā€™opzione -w .

-wR

Questa eā€™ lā€™opzione preferita: i dati vengono scritti senza alcun cambiamento. Utilissima per sniffare dati binari, compressi o criptati.

( -wRC solo il client, -wRS solo il server)

-wP

Caratteri stampabili vengono scritti come punti.

( -wPC solo il client, -wPS solo il server)

-wU

Caratteri non stampabili vengono scritti come esadecimali tra parentesi angolari.

( -wPC solo il client, -wPS solo il server)

-wH

Il flusso eā€™ scritto sotto forma di esadecimali spaziati

( -wHC solo il client, -wHS solo il server)

VISUALIZZARE IL FLUSSO RICOSTRUITO

Il prefisso per queste opzioni eā€™ -b . Questo set di opzioni eā€™ molto utile nellā€™intento di redirigere il flusso sniffato verso unā€™altro programma tramite il pipe, e non ci dovrebbe essere corruzione dei dati. Naturalmente il piuā€™ utile eā€™ -bR per utilizzare i dati cosiā€™ come sono (raw). Una funzionalitaā€™ molto utile eā€™ C (visualizza solo il client) e S (visualizza solo il server). p.es.: -bRC mostreraā€™ in formato "raw" solo i dati dal client.

I flag del set di opzioni -b sono molto simili a -y :
-bH esadecimale spaziato

( -bHC solo il client, -bHS solo il server)

-bP caratteri non stampabili visualizzati come punti

( -bPC solo il client, -bPS solo il server)

-bR modalitaā€™ raw

( -bRC solo il client, -bRS solo il server)

-bU caratteri non stampabili come esadecimali tra parentesi

angolari. ( -bUC solo il client, -bUS solo il server)

-bx hexdump

( -bxC solo il client, -bxS solo il server)

-bU hexdump + ascii

( -bXC solo il client, -bXS solo il server)

-PC --pipe client

Eā€™ un alias di -bRC -S -v0 -Tf1 -Ef1 . Con questa opzione puoi tracciare la prima connessione ( -T1 ) e i dati vengono visualizzato come "raw". Solo i dati che provengono dal client vengono scritti sullo stdout. Tutti i messaggi vengono soppressi, ad eccezione degli errori ( -S -v0 ). Lā€™intenzione di questa opzione alias eā€™ di riassumere lā€™intento di scaricare per intero un flusso di dati di una sessione tcp.

-PS --pipe server

Eā€™ un alias di -bRS -S -v0 -Tf1 -Ef1 .

EXAMPLES

Visualizzare gli stati delle connessioni

# tcpick -i eth0 -C

Visualizzare il contenuto del pacchetto e una stringa riassuntiva
dellā€™header:

# tcpick -i eth0 -C -yP -h -a

Visualizzare le email inviate da un utente

# tcpick -i eth0 -C -bCU -T1 "port 25"

scaricare file in maniera passiva

# tcpick -i eth0 -wR "port ftp-data"

loggare i dati http in file unici (client e server sono mescolati):

# tcpick -i eth0 "port 80" -wRub

redirigere la prima connessione verso un software

# tcpick -i eth0 --pipe client "port 80" | gzip > http_response.gz
# tcpick -i eth0 --pipe server "port 25" | nc foobar.net 25

MAILING-LIST

Indirizzo: <tcpick-project[a]lists.sourceforge.net>
Archivio: http://sourceforge.net/mailarchive/forum.php?forum=tcpick-project
Iscrizione: http://lists.sourceforge.net/lists/listinfo/tcpick-project
Se hai qualche nuova idea, patch, richiesta di funzionalitaā€™ o semplicemente necesiti di aiuto, scrivi in mailing-list!

TCPICK SUL WEB

La home-page di tcpick eā€™: http://tcpick.sf.net .
La pagina di progetto invece eā€™ quiā€™: http://sourceforge.net/projects/tcpick kindly hosted by the sourceforge team.

AUTORI

Controlla il file AUTHORS .

BACHI

Bachi? Ci sono bachi? Beh, tcpick non eā€™ certo un software perfetto, e se hai qualche problema controlla il file KNOWN-BUGS .
Sembra che su alcune versioni di MacOSX capiti un Segmentation Fault e ci siano problemi nel tracciamento delle connessioni.
Se trovi bachi, scrivi alla mailing-list.

VEDERE ANCHE

Altri simpatici sniffer:
tcpdump, ngrep, tcptrack, ettercap, ethereal, snort

LICENZA

Tcpick eā€™ rilasciato con la licenza GNU GPL. Per ulteriori informazioni leggere il file COPYING (in inglese).

Principio di Shaw:

Fai un programma che anche un idiota puoā€™ usare,
e soltanto un idiota vorraā€™ usarlo.