[Comm] SMTP+sniffer

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] SMTP+sniffer
@ 2003-05-06  5:26 Прокопьев Евгений
  2003-05-06  5:37 ` Mike Lykov
  2003-05-06  6:01 ` BSW
  0 siblings, 2 replies; 10+ messages in thread
From: Прокопьев Евгений @ 2003-05-06  5:26 UTC (permalink / raw)
  To: community

Здравствуйте!

Как получить команды обмена почтового клиента с SMTP-сервером

Пишу так:

tcpdump -n -i ppp0 'src or dst port 25' > log

и получаю

strings log
09:20:15.796397 195.161.172.86.1046 > 80.80.122.40.smtp: S 
69992911:69992911(0) win 8192 <mss 1412> (DF)
09:20:15.796530 80.80.122.40.smtp > 195.161.172.86.1046: S 
2291810615:2291810615(0) ack 69992912 win 5808 <mss 1452> (DF)
09:20:15.817477 195.161.172.86.1046 > 80.80.122.40.smtp: . ack 1 win 
8472 (DF)
09:20:15.848068 80.80.122.40.smtp > 195.161.172.86.1046: P 1:31(30) ack 
1 win 5808 (DF)
09:20:15.871936 195.161.172.86.1046 > 80.80.122.40.smtp: P 1:22(21) ack
...
...
Требуется что-то более осмысленное типа

  In:  RCPT TO:<info@server.ru>
  Out: 450 <andrey>: Helo command rejected: Host not found

Кроме tcpdump использовать что-то другое нежелательно.

-- 
С уважением, Прокопьев Евгений



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  5:26 [Comm] SMTP+sniffer Прокопьев Евгений
@ 2003-05-06  5:37 ` Mike Lykov
  2003-05-06  6:54   ` Прокопьев Евгений
  2003-05-06  6:01 ` BSW
  1 sibling, 1 reply; 10+ messages in thread
From: Mike Lykov @ 2003-05-06  5:37 UTC (permalink / raw)
  To: community

В сообщении от 6 Май 2003 10:26 Прокопьев Евгений написал:

> Требуется что-то более осмысленное типа
>   In:  RCPT TO:<info@server.ru>
>   Out: 450 <andrey>: Helo command rejected: Host not found
> Кроме tcpdump использовать что-то другое нежелательно.

 Тогда тебе придется самому расшифровывать содержимое пакетов из 
шестнадцатеричного вида.

-- 
Mike


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  5:26 [Comm] SMTP+sniffer Прокопьев Евгений
  2003-05-06  5:37 ` Mike Lykov
@ 2003-05-06  6:01 ` BSW
  2003-05-06  7:13   ` Прокопьев Евгений
  1 sibling, 1 reply; 10+ messages in thread
From: BSW @ 2003-05-06  6:01 UTC (permalink / raw)
  To: community

Прокопьев Евгений пишет:
> Здравствуйте!
> 
> Как получить команды обмена почтового клиента с SMTP-сервером
> 
> Пишу так:
> 
> tcpdump -n -i ppp0 'src or dst port 25' > log
> 
> и получаю
> 
> strings log
> 09:20:15.796397 195.161.172.86.1046 > 80.80.122.40.smtp: S 
> 69992911:69992911(0) win 8192 <mss 1412> (DF)
> 09:20:15.796530 80.80.122.40.smtp > 195.161.172.86.1046: S 
> 2291810615:2291810615(0) ack 69992912 win 5808 <mss 1452> (DF)
> 09:20:15.817477 195.161.172.86.1046 > 80.80.122.40.smtp: . ack 1 win 
> 8472 (DF)
> 09:20:15.848068 80.80.122.40.smtp > 195.161.172.86.1046: P 1:31(30) ack 
> 1 win 5808 (DF)
> 09:20:15.871936 195.161.172.86.1046 > 80.80.122.40.smtp: P 1:22(21) ack
> ...
> ...
> Требуется что-то более осмысленное типа
> 
>  In:  RCPT TO:<info@server.ru>
>  Out: 450 <andrey>: Helo command rejected: Host not found
> 
> Кроме tcpdump использовать что-то другое нежелательно.
> 

Читай man tcpdump на тему ключа -X



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  5:37 ` Mike Lykov
@ 2003-05-06  6:54   ` Прокопьев Евгений
  2003-05-06  8:46     ` Dmitry Alexeyev
  0 siblings, 1 reply; 10+ messages in thread
From: Прокопьев Евгений @ 2003-05-06  6:54 UTC (permalink / raw)
  To: community

Mike Lykov пишет:
> В сообщении от 6 Май 2003 10:26 Прокопьев Евгений написал:
> 
> 
>>Требуется что-то более осмысленное типа
>>  In:  RCPT TO:<info@server.ru>
>>  Out: 450 <andrey>: Helo command rejected: Host not found
>>Кроме tcpdump использовать что-то другое нежелательно.
> 
> 
>  Тогда тебе придется самому расшифровывать содержимое пакетов из 
> шестнадцатеричного вида.
> 

Вроде как IMAP я раньше так читал. А что тогда есть простое и консольное?

-- 
С уважением, Прокопьев Евгений



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  6:01 ` BSW
@ 2003-05-06  7:13   ` Прокопьев Евгений
  2003-05-06  8:11     ` BSW
  0 siblings, 1 reply; 10+ messages in thread
From: Прокопьев Евгений @ 2003-05-06  7:13 UTC (permalink / raw)
  To: community

> Читай man tcpdump на тему ключа -X

Читаю. При tcpdump -X 'src or dst port 25' > log и strings log | less 
получается нечто вроде

0x0000   4500 003d 329c 4000 4006 72bc c0a8 0a05        E..=2.@.@.r.....
0x0010   c0a8 0a0d 805c 0019 22e3 cc2c 866d 4ff5        .....\.."..,.mO.
0x0020   5018 16d0 492d 0000 4548 4c4f 2072 6d74        P...I-..EHLO.rmt
0x0030   732e 646f 6e70 6163 2e72 750d 0a               s.donpac.ru..

Как выковырять только команды в читаемом виде?

-- 
С уважением, Прокопьев Евгений



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  7:13   ` Прокопьев Евгений
@ 2003-05-06  8:11     ` BSW
  2003-05-06  9:41       ` Прокопьев Евгений
  0 siblings, 1 reply; 10+ messages in thread
From: BSW @ 2003-05-06  8:11 UTC (permalink / raw)
  To: community

Прокопьев Евгений пишет:
>> Читай man tcpdump на тему ключа -X
> 
> 
> Читаю. При tcpdump -X 'src or dst port 25' > log и strings log | less 
> получается нечто вроде
> 
> 0x0000   4500 003d 329c 4000 4006 72bc c0a8 0a05        E..=2.@.@.r.....
> 0x0010   c0a8 0a0d 805c 0019 22e3 cc2c 866d 4ff5        .....\.."..,.mO.
> 0x0020   5018 16d0 492d 0000 4548 4c4f 2072 6d74        P...I-..EHLO.rmt
> 0x0030   732e 646f 6e70 6163 2e72 750d 0a               s.donpac.ru..
Да вроде так и должно быть.

> 
> Как выковырять только команды в читаемом виде?
> 
Насколько я понимаю, tcpdump не знает почтовых протоколов. Надо 
искать/писать анализатор. Можно посмотреть ethereal.



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  6:54   ` Прокопьев Евгений
@ 2003-05-06  8:46     ` Dmitry Alexeyev
  0 siblings, 0 replies; 10+ messages in thread
From: Dmitry Alexeyev @ 2003-05-06  8:46 UTC (permalink / raw)
  To: community

В сообщении от Вторник 06 Май 2003 10:54 Прокопьев Евгений написал:
> Mike Lykov пишет:
> > В сообщении от 6 Май 2003 10:26 Прокопьев Евгений написал:
> >>Требуется что-то более осмысленное типа
> >>  In:  RCPT TO:<info@server.ru>
> >>  Out: 450 <andrey>: Helo command rejected: Host not found
> >>Кроме tcpdump использовать что-то другое нежелательно.
> >
> >  Тогда тебе придется самому расшифровывать содержимое пакетов из
> > шестнадцатеричного вида.
>
> Вроде как IMAP я раньше так читал. А что тогда есть простое и консольное?

Самое простое и консольное - sniffit. 

WBR,
Dmitry



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  8:11     ` BSW
@ 2003-05-06  9:41       ` Прокопьев Евгений
  2003-05-06 10:08         ` Igor Homyakov
  2003-05-06 12:04         ` BSW
  0 siblings, 2 replies; 10+ messages in thread
From: Прокопьев Евгений @ 2003-05-06  9:41 UTC (permalink / raw)
  To: community

BSW пишет:
> Прокопьев Евгений пишет:
> 
>>> Читай man tcpdump на тему ключа -X
>>
>>
>>
>> Читаю. При tcpdump -X 'src or dst port 25' > log и strings log | less 
>> получается нечто вроде
>>
>> 0x0000   4500 003d 329c 4000 4006 72bc c0a8 0a05        E..=2.@.@.r.....
>> 0x0010   c0a8 0a0d 805c 0019 22e3 cc2c 866d 4ff5        .....\.."..,.mO.
>> 0x0020   5018 16d0 492d 0000 4548 4c4f 2072 6d74        P...I-..EHLO.rmt
>> 0x0030   732e 646f 6e70 6163 2e72 750d 0a               s.donpac.ru..
> 
> Да вроде так и должно быть.
> 
>>
>> Как выковырять только команды в читаемом виде?
>>
> Насколько я понимаю, tcpdump не знает почтовых протоколов. Надо 
> искать/писать анализатор. Можно посмотреть ethereal.

Да какой тут может быть анализатор? Все команды передаются открытым 
текстом (что кстати и видно), проблема лишь в том, чтобы этот текст 
можно было читать.

Просто я буквально полгода назад отлаживал именно с помощью tcpdump и 
свои программы, и IMAP - все было чудно, вот только я параметры не 
вспомню (или tcpdump поменялся).

-- 
С уважением, Прокопьев Евгений



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  9:41       ` Прокопьев Евгений
@ 2003-05-06 10:08         ` Igor Homyakov
  2003-05-06 12:04         ` BSW
  1 sibling, 0 replies; 10+ messages in thread
From: Igor Homyakov @ 2003-05-06 10:08 UTC (permalink / raw)
  To: community

tcpdump вываливает все сплошным потоком (игнорируя 
значения \n \r \0)  "и это правильно" (с) 

для разбора пишеться тривиальный perl|shell скрипт
который разбирает hex и показывает читаемый текст.

либо используёте другой снифер

* Прокопьев Евгений <john@rmts.donpac.ru> [030506 13:43]:
 
> Да какой тут может быть анализатор? Все команды передаются открытым 
> текстом (что кстати и видно), проблема лишь в том, чтобы этот текст 
> можно было читать.
> 
> Просто я буквально полгода назад отлаживал именно с помощью tcpdump и 
> свои программы, и IMAP - все было чудно, вот только я параметры не 
> вспомню (или tcpdump поменялся).

-- 
Igor Homyakov
<homyakov at altlinux dot ru>
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=190141


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SMTP+sniffer
  2003-05-06  9:41       ` Прокопьев Евгений
  2003-05-06 10:08         ` Igor Homyakov
@ 2003-05-06 12:04         ` BSW
  1 sibling, 0 replies; 10+ messages in thread
From: BSW @ 2003-05-06 12:04 UTC (permalink / raw)
  To: community

Прокопьев Евгений пишет:
> Да какой тут может быть анализатор? Все команды передаются открытым 
> текстом (что кстати и видно), проблема лишь в том, чтобы этот текст 
> можно было читать.
Самый простой. tcpdump умеет расшифровывать некоторые протоколы (DNS, 
NFS, ...), а вот почту, видимо, не умеет. Нужен внешний (по отношению к 
tcpdump) обработчик, который все разжует, переварит и вывалит. Ну и, как 
говорится, perl тебе в руки. :-) Кстати, tcpdump умеет некие внешние 
модули. Может это оно?




^ permalink raw reply	[flat|nested] 10+ messages in thread

end of thread, other threads:[~2003-05-06 12:04 UTC | newest]

Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-05-06  5:26 [Comm] SMTP+sniffer Прокопьев Евгений
2003-05-06  5:37 ` Mike Lykov
2003-05-06  6:54   ` Прокопьев Евгений
2003-05-06  8:46     ` Dmitry Alexeyev
2003-05-06  6:01 ` BSW
2003-05-06  7:13   ` Прокопьев Евгений
2003-05-06  8:11     ` BSW
2003-05-06  9:41       ` Прокопьев Евгений
2003-05-06 10:08         ` Igor Homyakov
2003-05-06 12:04         ` BSW

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git