* [Comm] SMTP+sniffer
@ 2003-05-06 5:26 Прокопьев Евгений
2003-05-06 5:37 ` Mike Lykov
2003-05-06 6:01 ` BSW
0 siblings, 2 replies; 10+ messages in thread
From: Прокопьев Евгений @ 2003-05-06 5:26 UTC (permalink / raw)
To: community
Здравствуйте!
Как получить команды обмена почтового клиента с SMTP-сервером
Пишу так:
tcpdump -n -i ppp0 'src or dst port 25' > log
и получаю
strings log
09:20:15.796397 195.161.172.86.1046 > 80.80.122.40.smtp: S
69992911:69992911(0) win 8192 <mss 1412> (DF)
09:20:15.796530 80.80.122.40.smtp > 195.161.172.86.1046: S
2291810615:2291810615(0) ack 69992912 win 5808 <mss 1452> (DF)
09:20:15.817477 195.161.172.86.1046 > 80.80.122.40.smtp: . ack 1 win
8472 (DF)
09:20:15.848068 80.80.122.40.smtp > 195.161.172.86.1046: P 1:31(30) ack
1 win 5808 (DF)
09:20:15.871936 195.161.172.86.1046 > 80.80.122.40.smtp: P 1:22(21) ack
...
...
Требуется что-то более осмысленное типа
In: RCPT TO:<info@server.ru>
Out: 450 <andrey>: Helo command rejected: Host not found
Кроме tcpdump использовать что-то другое нежелательно.
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 5:26 [Comm] SMTP+sniffer Прокопьев Евгений
@ 2003-05-06 5:37 ` Mike Lykov
2003-05-06 6:54 ` Прокопьев Евгений
2003-05-06 6:01 ` BSW
1 sibling, 1 reply; 10+ messages in thread
From: Mike Lykov @ 2003-05-06 5:37 UTC (permalink / raw)
To: community
В сообщении от 6 Май 2003 10:26 Прокопьев Евгений написал:
> Требуется что-то более осмысленное типа
> In: RCPT TO:<info@server.ru>
> Out: 450 <andrey>: Helo command rejected: Host not found
> Кроме tcpdump использовать что-то другое нежелательно.
Тогда тебе придется самому расшифровывать содержимое пакетов из
шестнадцатеричного вида.
--
Mike
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 5:26 [Comm] SMTP+sniffer Прокопьев Евгений
2003-05-06 5:37 ` Mike Lykov
@ 2003-05-06 6:01 ` BSW
2003-05-06 7:13 ` Прокопьев Евгений
1 sibling, 1 reply; 10+ messages in thread
From: BSW @ 2003-05-06 6:01 UTC (permalink / raw)
To: community
Прокопьев Евгений пишет:
> Здравствуйте!
>
> Как получить команды обмена почтового клиента с SMTP-сервером
>
> Пишу так:
>
> tcpdump -n -i ppp0 'src or dst port 25' > log
>
> и получаю
>
> strings log
> 09:20:15.796397 195.161.172.86.1046 > 80.80.122.40.smtp: S
> 69992911:69992911(0) win 8192 <mss 1412> (DF)
> 09:20:15.796530 80.80.122.40.smtp > 195.161.172.86.1046: S
> 2291810615:2291810615(0) ack 69992912 win 5808 <mss 1452> (DF)
> 09:20:15.817477 195.161.172.86.1046 > 80.80.122.40.smtp: . ack 1 win
> 8472 (DF)
> 09:20:15.848068 80.80.122.40.smtp > 195.161.172.86.1046: P 1:31(30) ack
> 1 win 5808 (DF)
> 09:20:15.871936 195.161.172.86.1046 > 80.80.122.40.smtp: P 1:22(21) ack
> ...
> ...
> Требуется что-то более осмысленное типа
>
> In: RCPT TO:<info@server.ru>
> Out: 450 <andrey>: Helo command rejected: Host not found
>
> Кроме tcpdump использовать что-то другое нежелательно.
>
Читай man tcpdump на тему ключа -X
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 5:37 ` Mike Lykov
@ 2003-05-06 6:54 ` Прокопьев Евгений
2003-05-06 8:46 ` Dmitry Alexeyev
0 siblings, 1 reply; 10+ messages in thread
From: Прокопьев Евгений @ 2003-05-06 6:54 UTC (permalink / raw)
To: community
Mike Lykov пишет:
> В сообщении от 6 Май 2003 10:26 Прокопьев Евгений написал:
>
>
>>Требуется что-то более осмысленное типа
>> In: RCPT TO:<info@server.ru>
>> Out: 450 <andrey>: Helo command rejected: Host not found
>>Кроме tcpdump использовать что-то другое нежелательно.
>
>
> Тогда тебе придется самому расшифровывать содержимое пакетов из
> шестнадцатеричного вида.
>
Вроде как IMAP я раньше так читал. А что тогда есть простое и консольное?
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 6:01 ` BSW
@ 2003-05-06 7:13 ` Прокопьев Евгений
2003-05-06 8:11 ` BSW
0 siblings, 1 reply; 10+ messages in thread
From: Прокопьев Евгений @ 2003-05-06 7:13 UTC (permalink / raw)
To: community
> Читай man tcpdump на тему ключа -X
Читаю. При tcpdump -X 'src or dst port 25' > log и strings log | less
получается нечто вроде
0x0000 4500 003d 329c 4000 4006 72bc c0a8 0a05 E..=2.@.@.r.....
0x0010 c0a8 0a0d 805c 0019 22e3 cc2c 866d 4ff5 .....\.."..,.mO.
0x0020 5018 16d0 492d 0000 4548 4c4f 2072 6d74 P...I-..EHLO.rmt
0x0030 732e 646f 6e70 6163 2e72 750d 0a s.donpac.ru..
Как выковырять только команды в читаемом виде?
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 7:13 ` Прокопьев Евгений
@ 2003-05-06 8:11 ` BSW
2003-05-06 9:41 ` Прокопьев Евгений
0 siblings, 1 reply; 10+ messages in thread
From: BSW @ 2003-05-06 8:11 UTC (permalink / raw)
To: community
Прокопьев Евгений пишет:
>> Читай man tcpdump на тему ключа -X
>
>
> Читаю. При tcpdump -X 'src or dst port 25' > log и strings log | less
> получается нечто вроде
>
> 0x0000 4500 003d 329c 4000 4006 72bc c0a8 0a05 E..=2.@.@.r.....
> 0x0010 c0a8 0a0d 805c 0019 22e3 cc2c 866d 4ff5 .....\.."..,.mO.
> 0x0020 5018 16d0 492d 0000 4548 4c4f 2072 6d74 P...I-..EHLO.rmt
> 0x0030 732e 646f 6e70 6163 2e72 750d 0a s.donpac.ru..
Да вроде так и должно быть.
>
> Как выковырять только команды в читаемом виде?
>
Насколько я понимаю, tcpdump не знает почтовых протоколов. Надо
искать/писать анализатор. Можно посмотреть ethereal.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 6:54 ` Прокопьев Евгений
@ 2003-05-06 8:46 ` Dmitry Alexeyev
0 siblings, 0 replies; 10+ messages in thread
From: Dmitry Alexeyev @ 2003-05-06 8:46 UTC (permalink / raw)
To: community
В сообщении от Вторник 06 Май 2003 10:54 Прокопьев Евгений написал:
> Mike Lykov пишет:
> > В сообщении от 6 Май 2003 10:26 Прокопьев Евгений написал:
> >>Требуется что-то более осмысленное типа
> >> In: RCPT TO:<info@server.ru>
> >> Out: 450 <andrey>: Helo command rejected: Host not found
> >>Кроме tcpdump использовать что-то другое нежелательно.
> >
> > Тогда тебе придется самому расшифровывать содержимое пакетов из
> > шестнадцатеричного вида.
>
> Вроде как IMAP я раньше так читал. А что тогда есть простое и консольное?
Самое простое и консольное - sniffit.
WBR,
Dmitry
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 8:11 ` BSW
@ 2003-05-06 9:41 ` Прокопьев Евгений
2003-05-06 10:08 ` Igor Homyakov
2003-05-06 12:04 ` BSW
0 siblings, 2 replies; 10+ messages in thread
From: Прокопьев Евгений @ 2003-05-06 9:41 UTC (permalink / raw)
To: community
BSW пишет:
> Прокопьев Евгений пишет:
>
>>> Читай man tcpdump на тему ключа -X
>>
>>
>>
>> Читаю. При tcpdump -X 'src or dst port 25' > log и strings log | less
>> получается нечто вроде
>>
>> 0x0000 4500 003d 329c 4000 4006 72bc c0a8 0a05 E..=2.@.@.r.....
>> 0x0010 c0a8 0a0d 805c 0019 22e3 cc2c 866d 4ff5 .....\.."..,.mO.
>> 0x0020 5018 16d0 492d 0000 4548 4c4f 2072 6d74 P...I-..EHLO.rmt
>> 0x0030 732e 646f 6e70 6163 2e72 750d 0a s.donpac.ru..
>
> Да вроде так и должно быть.
>
>>
>> Как выковырять только команды в читаемом виде?
>>
> Насколько я понимаю, tcpdump не знает почтовых протоколов. Надо
> искать/писать анализатор. Можно посмотреть ethereal.
Да какой тут может быть анализатор? Все команды передаются открытым
текстом (что кстати и видно), проблема лишь в том, чтобы этот текст
можно было читать.
Просто я буквально полгода назад отлаживал именно с помощью tcpdump и
свои программы, и IMAP - все было чудно, вот только я параметры не
вспомню (или tcpdump поменялся).
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 9:41 ` Прокопьев Евгений
@ 2003-05-06 10:08 ` Igor Homyakov
2003-05-06 12:04 ` BSW
1 sibling, 0 replies; 10+ messages in thread
From: Igor Homyakov @ 2003-05-06 10:08 UTC (permalink / raw)
To: community
tcpdump вываливает все сплошным потоком (игнорируя
значения \n \r \0) "и это правильно" (с)
для разбора пишеться тривиальный perl|shell скрипт
который разбирает hex и показывает читаемый текст.
либо используёте другой снифер
* Прокопьев Евгений <john@rmts.donpac.ru> [030506 13:43]:
> Да какой тут может быть анализатор? Все команды передаются открытым
> текстом (что кстати и видно), проблема лишь в том, чтобы этот текст
> можно было читать.
>
> Просто я буквально полгода назад отлаживал именно с помощью tcpdump и
> свои программы, и IMAP - все было чудно, вот только я параметры не
> вспомню (или tcpdump поменялся).
--
Igor Homyakov
<homyakov at altlinux dot ru>
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=190141
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SMTP+sniffer
2003-05-06 9:41 ` Прокопьев Евгений
2003-05-06 10:08 ` Igor Homyakov
@ 2003-05-06 12:04 ` BSW
1 sibling, 0 replies; 10+ messages in thread
From: BSW @ 2003-05-06 12:04 UTC (permalink / raw)
To: community
Прокопьев Евгений пишет:
> Да какой тут может быть анализатор? Все команды передаются открытым
> текстом (что кстати и видно), проблема лишь в том, чтобы этот текст
> можно было читать.
Самый простой. tcpdump умеет расшифровывать некоторые протоколы (DNS,
NFS, ...), а вот почту, видимо, не умеет. Нужен внешний (по отношению к
tcpdump) обработчик, который все разжует, переварит и вывалит. Ну и, как
говорится, perl тебе в руки. :-) Кстати, tcpdump умеет некие внешние
модули. Может это оно?
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2003-05-06 12:04 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-05-06 5:26 [Comm] SMTP+sniffer Прокопьев Евгений
2003-05-06 5:37 ` Mike Lykov
2003-05-06 6:54 ` Прокопьев Евгений
2003-05-06 8:46 ` Dmitry Alexeyev
2003-05-06 6:01 ` BSW
2003-05-06 7:13 ` Прокопьев Евгений
2003-05-06 8:11 ` BSW
2003-05-06 9:41 ` Прокопьев Евгений
2003-05-06 10:08 ` Igor Homyakov
2003-05-06 12:04 ` BSW
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git