网络痕迹和数据安全 -Stratus

很多时候，解决网络通信问题的唯一方法，或至少是最快的方法是收集通信的跟踪，并将其发送给专家进行分析。当专家不属于您的组织时，这可能会带来安全问题，因为跟踪将包含应用程序数据。然而，通常重要的是以太网、IP、TCP、UDP或ICMP协议头，而不是应用数据。在这种情况下，您可以先不收集数据，或者在收集数据后将其剥离。

使用packet_monitor，你可以用下面的命令收集所有的头信息，但不收集数据。

数据包监控 -接口 #INTERFACE -numeric -time_stamp -verbose -pkt_hdr

其中INTERFACE是"ifconfig -all"命令所显示的IP接口的设备名称。追踪结果看起来像

dir icmp type
+ tcp
hh:mm:ss.ttt dir len proto source destination src port ds.
＋t端口类型
11:40:21.234 Xmit Ether Dst 00:23:54:52:18:6e Src 00:00:a8:43:52:22 Type 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 78，ID 2212，Flg/Frg 0，TTL 3c，Prtl 6。
Cksum 788b, Src a4984d80, Dst a4984d32
从164.152.77.128.22到164.152.77.50.6991的TCP。
seq 1332611210, ack 3416994988, window 8192, 80个数据字节, flags Push Ack.
+.
X/Off 05，Flags 18，Cksum c3aa，Urg-> 0000。

11:40:21.235 Xmit Ether Dst 00:23:54:52:18:6e Src 00:00:a8:43:52:22 Type 0800
+(IP)
IP Ver/HL 45，ToS 0，Len a8，ID 2213，Flg/Frg 0，TTL 3c，Prtl 6。
Cksum 785a, Src a4984d80, Dst a4984d32
从164.152.77.128.22到164.152.77.50.6991的TCP。
seq 1332611290, ack 3416994988, window 8192, 128 data bytes, flags Push Ac.
+k.
X/Off 05，Flags 18，Cksum ce9f，Urg-> 0000。

11:40:21.236 Rcvd Ether Dst 00:00:a8:43:52:22 Src 00:23:54:52:18:6e Type 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 28，ID 3032，Flg/Frg 4000，TTL 80，Prtl 6。
Cksum e6ba, Src a4984d32, Dst a4984d80。
从164.152.77.50.6991到164.152.77.128.22的TCP。
seq 3416994988, ack 1332611418, window 16176, 0 data bytes, flags Ack.X/Off 05, Flags 10, Cksum 183c, Urg-> 0000。
X/Off 05，Flags 10，Cksum 183c，Urg-> 0000。

11:40:21.952 Xmit Ether Dst 00:23:54:52:18:6e Src 00:00:a8:43:52:22 Type 0800
+(IP)
IP Ver/HL 45，ToS 0，Len a8，ID 2214，Flg/Frg 0，TTL 3c，Prtl 6。
Cksum 7859，Src a4984d80，Dst a4984d32。
从164.152.77.128.22到164.152.77.50.6991的TCP。
seq 1332611418，ack 3416994988，window 8192，128个数据字节，flags Push Ac。
+k.
X/OFF 05，Flags 18，Cksum 59a9，Urg-> 0000。

11:40:21.953 Xmit Ether Dst 00:23:54:52:18:6e Src 00:00:a8:43:52:22 Type 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 98，ID 2215，Flg/Frg 0，TTL 3c，Prtl 6。
Cksum 7868，Src a4984d80，Dst a4984d32。
从164.152.77.128.22到164.152.77.50.6991的TCP。
seq 1332611546, ack 3416994988, window 8192, 112个数据字节, flags Push Ac.
+k.
X/OFF 05，Flags 18，Cksum 2b4e，Urg-> 0000。

这种方法的问题是，有时问题会变成与应用程序有关，你需要应用程序数据。如果你没有收集到完整的跟踪数据，你就必须重现问题或者等待问题再次发生。通过添加"-hex_dump"和"-length 1500"参数，然后在最初发送跟踪数据进行分析时，从副本中剥离应用数据，这样收集完整的跟踪数据就容易多了。下图显示了命令和跟踪，但为了节省空间，我对跟踪进行了编辑，删除了大部分的应用数据。

packet_monitor -interface #sdlmux.m16.11-3 -numeric -time_stamp -verbose -pkt_hd
+r -hex_dump -length 1500
dir                                                 icmp type
+        tcp
hh:mm:ss.ttt dir   len proto source             destination         src port  ds
+t port  type
13:52:04.672 Xmit Ether Dst 00:23:54:52:18:6e  Src 00:00:a8:43:52:22 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len  5dc, ID 9eaa, Flg/Frg    0, TTL 3c,  Prtl  6
Cksum  f68e, Src a4984d80, Dst a4984d32
TCP from 164.152.77.128.22 to 164.152.77.50.6991
seq  1335114362, ack 3417069804, window 65535, 1460 data bytes, flags Push A
+ck.
X/Off 05, Flags 18, Cksum 8d33,  Urg-> 0000
offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
0      22 cd 33 93 25 7b 85 39   7 c4 3b 7e c9 a9 d5 d9  "M3>%{>9 <D;~I)UY
10     63 25 a7 80  6 d7 4f c9  e7 7a 91 1e 4b e7 b7 a5  c%'><WOI gz><Kg7%
20     4f 4c bf 1d 2a 3d 72 53  99 41 b8 c4 26 24 31 4d  OL?<*=rS >A8D&$1M
. . .
590    98 bc af 74 d1 71 88 3f  3d 90 22 d3 91 86 92 4e  ></tQq>? =>"S>>>N
5a0    da cc d8  7 18 e7 9e 55  c8 f1 af d3 30  0 35  4  ZLX<<g>U Hq/S0 5<
5b0    ac e8 f0 82                                       ,hp>

13:52:04.692 Rcvd Ether Dst 00:00:a8:43:52:22  Src 00:23:54:52:18:6e Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   28, ID 9324, Flg/Frg 4000, TTL 80,  Prtl  6
Cksum  83c8, Src a4984d32, Dst a4984d80
TCP from 164.152.77.50.6991 to 164.152.77.128.22
seq  3417069804, ack 1335120266, window 16384, 0 data bytes, flags Ack.
X/Off 05, Flags 10, Cksum aad4,  Urg-> 0000
No tcp data.

13:52:04.692 Xmit Ether Dst 00:23:54:52:18:6e  Src 00:00:a8:43:52:22 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len  5dc, ID 9eab, Flg/Frg    0, TTL 3c,  Prtl  6
Cksum  f68d, Src a4984d80, Dst a4984d32
TCP from 164.152.77.128.22 to 164.152.77.50.6991
seq  1335120266, ack 3417069804, window 65535, 1460 data bytes, flags Ack.
X/Off 05, Flags 10, Cksum 2626,  Urg-> 0000
offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
0      a0 95 bb 79 99 93 c9 52  ac 11 69 fd d5 a9 39 b8   >;y>>IR ,<i}U)98
10     fd  4 2e ec 3e eb 87 9d  3f 96 a9 91 2e b2 c8 91  }<.l>k>> ?>)>.2H>
20     6a b3 7e 9f cc 79 6f e2  9f  5 c6 a0 e4 95 57 9c  j3~>Lyob ><F d>W>
. . .
590    88 d8 2e b6 54 c1 25 95  c4 38 d9  0 55 36 32 58  >X.6TA%> D8Y U62X
5a0    2d ba 81 2c e5 51 8a 3b  ef cd 98 29 a1 c2 82 24  -:>,eQ>; oM>)!B>$
5b0    90 33 6e e8                                       >3nh

13:52:04.694 Xmit Ether Dst 00:23:54:52:18:6e  Src 00:00:a8:43:52:22 Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len  3a4, ID 9eac, Flg/Frg    0, TTL 3c,  Prtl  6
Cksum  f8c4, Src a4984d80, Dst a4984d32
TCP from 164.152.77.128.22 to 164.152.77.50.6991
seq  1335121726, ack 3417069804, window 65535, 892 data bytes, flags Push Ac
+k.
X/Off 05, Flags 18, Cksum d4c2,  Urg-> 0000
offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
0      23 2a 5a 1a e3 34 e7 b4  62 d7 ee 55 7c 38 f7  a  #*Z<c4g4 bWnU|8w<
10     cb b6 95  4  6 d8 b8  e  7d 88 68 a7 24 7a ed bd  K6><<X8< }>h'$zm=
20     57 ce 14 43 6c 17 56 5a  25 7d 9b f5 88 d9 97 29  WN<Cl<VZ %}>u>Y>)
. . .
350     8 a3 86  6 24 bc cc b9  d6 3f af ab  f bd 38 ca  <#><$<L9 V?/+<=8J
360    da b5  6 8a bf 2b 49 90  a2 d4 27 f5 79 a1  9 1a  Z5<>?+I> "T'uy!<<
370    5c 87 6b ae f0 d2 e8 45  14 b3 12 b5              >k.pRhE <3<5

13:52:04.695 Rcvd Ether Dst 00:00:a8:43:52:22  Src 00:23:54:52:18:6e Type 0800
+(IP)
IP   Ver/HL 45, ToS  0, Len   58, ID 9325, Flg/Frg 4000, TTL 80,  Prtl  6
Cksum  8397, Src a4984d32, Dst a4984d80
TCP from 164.152.77.50.6991 to 164.152.77.128.22
seq  3417069804, ack 1335120266, window 16384, 48 data bytes, flags Push Ack
+.
X/Off 05, Flags 18, Cksum dde1,  Urg-> 0000
offset 0  .  .  .  4  .  .  .   8  .  .  .  C  .  .  .  0...4... 8...C...
0     84 2c 64 69 88 5d c5 b2  bc 6c ca 4e af 15 be 2e  >,di>]E2 <lJN/<>.
10    3f 87 93 79 a0 b7 5d d5  3c 35 7f 2d db 7e be 44  ?>>y 7]U <5<-[~>D
20    a8 24 6d 96 6f f0 79 c1  d6 9c c3 be 64 4b 7d 4c  ($m>opyA V>C>dK}L

有几种方法可以从跟踪中剥离应用程序数据。你可以手动编辑跟踪；对于短的跟踪，这可能是可行的，但对于长的跟踪，这是不可行的。我曾经发布过两个Perl脚本，可以使用。第一个pm21line.pl是用来把所有的头文件放在1行，然后把应用数据剥离出来。该脚本使用IO指示，所以必须在bash环境下运行。

bash
bash-2.05$ perl pm21line.pl < full_trace.out > 1line_trace.out
bash-2.05$ exit
exit
ready  17:21:00

d 1line_trace.out%phx_vos#m16_mas>SysAdmin>Noah_Davids>1line_trace.out  10-10-1
+0 17:21:08 mst

13:52:04.672 Xmit Ether Dst 00:23:54:52:18:6e  Src 00:00:a8:43:52:22 Type 0800
+(IP) IP   Ver/HL 45, ToS  0, Len  5dc, ID 9eaa, Flg/Frg    0, TTL 3c,  Prtl  6
+TCP from 164.152.77.128.22 to 164.152.77.50.6991     seq  1335114362, ack 34170
+69804, window 65535, 1460 data bytes, flags Push Ack.
13:52:04.692 Rcvd Ether Dst 00:00:a8:43:52:22  Src 00:23:54:52:18:6e Type 0800
+(IP) IP   Ver/HL 45, ToS  0, Len   28, ID 9324, Flg/Frg 4000, TTL 80,  Prtl  6
+TCP from 164.152.77.50.6991 to 164.152.77.128.22     seq  3417069804, ack 13351
+20266, window 16384, 0 data bytes, flags Ack.
13:52:04.692 Xmit Ether Dst 00:23:54:52:18:6e  Src 00:00:a8:43:52:22 Type 0800
+(IP) IP   Ver/HL 45, ToS  0, Len  5dc, ID 9eab, Flg/Frg    0, TTL 3c,  Prtl  6
+TCP from 164.152.77.128.22 to 164.152.77.50.6991     seq  1335120266, ack 34170
+69804, window 65535, 1460 data bytes, flags Ack.
13:52:04.694 Xmit Ether Dst 00:23:54:52:18:6e  Src 00:00:a8:43:52:22 Type 0800
+(IP) IP   Ver/HL 45, ToS  0, Len  3a4, ID 9eac, Flg/Frg    0, TTL 3c,  Prtl  6
+TCP from 164.152.77.128.22 to 164.152.77.50.6991     seq  1335121726, ack 34170
+69804, window 65535, 892 data bytes, flags Push Ack.
13:52:04.695 Rcvd Ether Dst 00:00:a8:43:52:22  Src 00:23:54:52:18:6e Type 0800
+(IP) IP   Ver/HL 45, ToS  0, Len   58, ID 9325, Flg/Frg 4000, TTL 80,  Prtl  6
+TCP from 164.152.77.50.6991 to 164.152.77.128.22     seq  3417069804, ack 13351
+20266, window 16384, 48 data bytes, flags Push Ack.

当跟踪包含来自多个连接的数据包，而您只对其中的一个子集感兴趣时，单行格式非常有用。创建单行格式后，您可以轻松地过滤您感兴趣的连接的独特特征。

第二个脚本match.pl 显示一个文件，允许你在多个字符串上进行匹配。例如

perl match.pl -file full_trace.out -match Ether -match IP -match Cksum -match TC。
+P -match seq -dots(点)
****************************** full_trace.out ******************************
.. .
13:52:04.672 Xmit Ether Dst 00:23:54:52:18:6e Src 00:00:a8:43:52:22 类型 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 5dc，ID 9eaa，Flg/Frg 0，TTL 3c，Prtl 6。
Cksum f68e, Src a4984d80, Dst a4984d32。
从164.152.77.128.22到164.152.77.50.6991的TCP。
seq 1335114362, ack 3417069804, window 65535, 1460个数据字节, flags Push A.
+ck.
X/Off 05，Flags 18，Cksum 8d33，Urg-> 0000。
.. .
13:52:04.692 Rcvd Ether Dst 00:00:a8:43:52:22 Src 00:23:54:52:18:6e 类型 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 28，ID 9324，Flg/Frg 4000，TTL 80，Prtl 6。
Cksum 83c8，Src a4984d32，Dst a4984d80。
从164.152.77.50.6991到164.152.77.128.22的TCP。
seq 3417069804, ack 1335120266, window 16384, 0 data bytes, flags Ack.X/Off 05, Flags 10, Cksum aad4, Urg-> 0000。
X/Off 05，Flags 10，Cksum aad4，Urg-> 0000。
.. .
13:52:04.692 Xmit Ether Dst 00:23:54:52:18:6e Src 00:00:a8:43:52:22 类型 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 5dc，ID 9eab，Flg/Frg 0，TTL 3c，Prtl 6。
Cksum f68d, Src a4984d80, Dst a4984d32。
从164.152.77.128.22到164.152.77.50.6991的TCP。
seq 1335120266, Ack 3417069804, window 65535, 1460 data bytes, flags Ack. X/Off 05, Flags 10, Cksum 2626, Urg-> 0000。
X/Off 05，Flags 10，Cksum 2626，Urg-> 0000。
.. .
13:52:04.694 Xmit Ether Dst 00:23:54:52:18:6e Src 00:00:a8:43:52:22 类型 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 3a4，ID 9eac，Flg/Frg 0，TTL 3c，Prtl 6。
Cksum f8c4, Src a4984d80, Dst a4984d32。
从164.152.77.128.22到164.152.77.50.6991的TCP。
seq 1335121726, ack 3417069804, window 65535, 892数据字节, flags Push Ac.
+k.
X/OFF 05，Flags 18，Cksum d4c2，Urg-> 0000。
.. .
13:52:04.695 Rcvd Ether Dst 00:00:a8:43:52:22 Src 00:23:54:52:18:6e 类型 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 58，ID 9325，Flg/Frg 4000，TTL 80，Prtl 6。
Cksum 8397，Src a4984d32，Dst a4984d80。
从164.152.77.50.6991到164.152.77.128.22的TCP。
seq 3417069804, ack 1335120266, window 16384, 48 data bytes, flags Push Ack.
+.
X/Off 05，Flags 18，Cksum dde1，Urg-> 0000。
.. .

有时候，数据并不是唯一应该保密的东西。跟踪的其他识别部分是IP地址和端口号。如果你想隐藏你的内部IP地址，你需要在你喜欢的编辑器中使用全局搜索和替换功能手动进行更改。然而，IP地址会出现在每个数据包的四个地方。前两个地方是在六角格式，而后两者是以小数符号，或者如果你没有使用 -numeric 参数，也可以作为一个名称（我建议你总是使用 -numeric 参数，因为它更快，因为名称解析不会发生，而且它使网络关系明显）。列表中的埠号码或名字只出现在两个地方。

13:52:04.695 Rcvd Ether Dst 00:00:a8:43:52:22 Src 00:23:54:52:18:6e Type 0800
+(IP)
IP Ver/HL 45，ToS 0，Len 58，ID 9325，Flg/Frg 4000，TTL 80，Prtl 6。
Cksum 8397，Src A4984D32, Dst A4984D80
TCP从 164.152.77.50.6991 至 164.152.77.128.22
seq 3417069804, ack 1335120266, window 16384, 48个数据字节, flags Push Ack.
+.
X/Off 05，Flags 18，Cksum dde1，Urg-> 0000。

请记住，更改IP地址并不完全是选一个任意的数字那么简单，你需要维护地址之间的关系。任何两个地址在改变前在同一个子网或网络上，改变后必须在同一个子网或网络上，同样，任何两个地址在改变前在不同的子网或网络上，改变后必须在不同的子网或网络上。改变这种关系会对痕迹的解释产生深远的影响。

网络痕迹和数据安全

合作伙伴

主题

快速链接