SlideShare a Scribd company logo

how to GET GET

@ otsuka752, profile picture
@ otsuka752
1 of 22
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
how to GET GET 2013/06/27 #pakeana 16 @twovs
agenda • 自己紹介 • Wireshark や tshark でなく tcpdump で HTTP の GET だけを dump する方法tcpdump で HTTP の GET だけを dump する方法
about me • @twovs • ネコ2人+奥さん1人+可愛い娘 • 無線LAN装置の開発(1999~2004)• 無線LAN装置の開発(1999~2004) • オンラインゲームのシステム管理者(2004~) • ただし,ゲームには全く興味無し • ZFS 最高 !!! beadm 便利 !!!
答え tcp[((tcp[12:1] & 0xf0) >> 2):4]tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
実行例 # cat filter tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 # tcpdump -n -t -X -i lo -F filter tcpdump: listening on lo 127.0.0.1.38968 > 127.0.0.1.http: P 1871129285:1871129296(11) ack 1861065890 win 32767 <nop,nop,timestamp 9709988 9709773> (DF) [tos 0x10] 0x0000 4510 003f 020b 4000 4006 3a9c 7f00 0001 E..?..@.@.:..... 0x0010 7f00 0001 9838 0050 6f87 2ac5 6eed 9ca2 .....8.Po.*.n... 0x0020 8018 7fff bd67 0000 0101 080a 0094 29a4 .....g........). 0x0030 0094 28cd 4745 5420 2f68 6f67 650d 0a ..(.GET./hoge.. • GET /hoge だけが dump される • 3-way-handshake など他のパケットは無視
方針概要 TCP ヘッダからヘッダ長を読み取り TCP ヘッダからその長さだけ offset した バイト列が GET かどうかを判定 4[Byte]
Memo.1 TCP ヘッダのヘッダ長は 先頭から 12[Byte] offset された後の 4[bit] に記述されている 12[Byte] 4[bit]
Memo.2 12[Byte] offset された後の 4[bit] がヘッダ長(Data Offset)で その後 6[bit]が予約(Reserved)されてて (さらにその後 6[bit] がよく見る FLAG) 12[Byte] 4[bit] 6+6[bit]
Memo.3 TCP のヘッダ長は 32 bit-word(4 Byte-word) offset の bit を 4倍すればヘッダ長[Byte]に offset は 4[bit](0000 - 1111) ‘0001’-> 4[Byte] ‘0010’-> 8[Byte] … ‘0101’-> 20[Byte] … ‘1111’-> 60[Byte] (つまり,TCPヘッダは最大でも 60[Byte])
Memo.4 0x47 == G 0x45 == E0x45 == E 0x54 == T 0x20 == (space)
Memo.5 0x50 == P 0x4F == O0x4F == O 0x53 == S 0x54 == T 0x20 == (space)
#1 tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 12[Byte] offset 後の 1[Byte] == 8[bit] を取得 ただし下 4[bit]の余計な bit も含んでいる 12[Byte] 8[bit]
#2 tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 '0xf0' == '1111 0000' と and をとることで 余計な下 4[bit] を ‘0’ にする 12[Byte] 8[bit] 0
#3 tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 右に 4[bit] シフトすることで 4bit 分のヘッダ長[bit]が 左に 2[bit] シフトする得られたヘッダ長[bit]を 4倍できる トータルで右に 2[bit] シフトするとヘッダ長[Byte]を得るトータルで右に 2[bit] シフトするとヘッダ長[Byte]を得る
#4 tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 TCP のヘッダ長[Byte] が得られた
#5 tcp[(TCPのヘッダ長):4] = 0x47455420 Data の先頭 4[Byte] が得られる 4[Byte]
#6 tcp[(TCPのヘッダ長):4] = 0x47455420 得られた 4[Byte] が GET なら true 4[Byte]
参考.1 POST だけを dump tcp[((tcp[12:1] & 0xf0) >> 2):5]tcp[((tcp[12:1] & 0xf0) >> 2):5] = 0x504F535420
参考.1 …と思うでしょ??? 残念!!! # cat filter tcp[((tcp[12:1] & 0xf0) >> 2):5] = 0x504F535420 # tcpdump -n -t -X -i lo -F filter tcpdump: data size must be 1, 2, or 4
参考.1 POST だけを dump tcp[((tcp[12:1] & 0xf0) >> 2):4]tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504F5354
参考.2 http://seclists.org/tcpdump/2004/q4/94 http://seclists.org/tcpdump/2004/q4/95 http://seclists.org/tcpdump/2004/q4/98http://seclists.org/tcpdump/2004/q4/98 Jefferson.Ogata (at) noaa gov
ENDEND

More Related Content

PDF
a little more about CaptureFilter
@ otsuka752
 
PDF
IPv6冗長で差をつけよう 2011年夏の思い出作り VRRP編
@ otsuka752
 
PPTX
Maria X MIT presentation slides
Maria Chatzichristodoulou
 
PDF
Packet と向き合う夏 VRRP Advertisement編
@ otsuka752
 
PPTX
Sara portfolio april 2011 cput 2nd yr
Sara Savahl
 
PDF
It fin analyse_slideshare_20110915
@ otsuka752
 
PPTX
Islam science and morals
Dr. Sajid Ali Talpur
 
PDF
超簡単!? Punycode 変換 ~国際化・日本語ドメイン~
@ otsuka752
 
a little more about CaptureFilter
@ otsuka752
 
IPv6冗長で差をつけよう 2011年夏の思い出作り VRRP編
@ otsuka752
 
Maria X MIT presentation slides
Maria Chatzichristodoulou
 
Packet と向き合う夏 VRRP Advertisement編
@ otsuka752
 
Sara portfolio april 2011 cput 2nd yr
Sara Savahl
 
It fin analyse_slideshare_20110915
@ otsuka752
 
Islam science and morals
Dr. Sajid Ali Talpur
 
超簡単!? Punycode 変換 ~国際化・日本語ドメイン~
@ otsuka752
 

Viewers also liked (20)

PDF
DNS64 (El capitan and unbound-1.5.1)
@ otsuka752
 
PDF
raspi + soracom #pakeana33
@ otsuka752
 
PPTX
Ahadees
Dr. Sajid Ali Talpur
 
PDF
how to defend DNS authoritative server against DNS WaterTorture
@ otsuka752
 
PPTX
Ceit 338
tolgarahvancioglu
 
PPTX
Xdr ppt
Nidhi Thakkar
 
PDF
about tcpreplay-edit
@ otsuka752
 
PDF
TCP/IP Exercises
Felipe Suarez
 
PPTX
GoogleAnalyticsを使った効果測定
sugimoto1022
 
PDF
BPF - All your packets belong to me
_xhr_
 
PDF
Data Integrity Techniques: Aviation Best Practices for CRC & Checksum Error D...
Philip Koopman
 
PDF
Network traffic analysis course
TECHNOLOGY CONTROL CO.
 
PPTX
Packet capture in network security
Chippy Thomas
 
PDF
Introduction to tcpdump
Lev Walkin
 
PPS
Poor Rich (Poor Rich.Pps)
Muhammad Yar
 
PPTX
Tcpdump
Sourav Roy
 
PPTX
Berkeley Packet Filters
Kernel TLV
 
PPTX
Tcpdump hunter
Andrew McNicol
 
PPT
TCPdump-Wireshark
Harsh Singh
 
PPTX
Traffic analysis
Srashti Vyas
 
DNS64 (El capitan and unbound-1.5.1)
@ otsuka752
 
raspi + soracom #pakeana33
@ otsuka752
 
Ahadees
Dr. Sajid Ali Talpur
 
how to defend DNS authoritative server against DNS WaterTorture
@ otsuka752
 
Ceit 338
tolgarahvancioglu
 
Xdr ppt
Nidhi Thakkar
 
about tcpreplay-edit
@ otsuka752
 
TCP/IP Exercises
Felipe Suarez
 
GoogleAnalyticsを使った効果測定
sugimoto1022
 
BPF - All your packets belong to me
_xhr_
 
Data Integrity Techniques: Aviation Best Practices for CRC & Checksum Error D...
Philip Koopman
 
Network traffic analysis course
TECHNOLOGY CONTROL CO.
 
Packet capture in network security
Chippy Thomas
 
Introduction to tcpdump
Lev Walkin
 
Poor Rich (Poor Rich.Pps)
Muhammad Yar
 
Tcpdump
Sourav Roy
 
Berkeley Packet Filters
Kernel TLV
 
Tcpdump hunter
Andrew McNicol
 
TCPdump-Wireshark
Harsh Singh
 
Traffic analysis
Srashti Vyas
 
Ad

Similar to how to GET GET (20)

PDF
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
Panda Yamaki
 
ODP
tcpdumpとtcpreplayとtcprewriteと他。
(^-^) togakushi
 
PDF
Windowsのパケットモニタ作成
Shinichi Hirauchi
 
PDF
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
Panda Yamaki
 
PDF
Scapy presentation
ashigirl ZareGoto
 
PDF
Scapy presentation Remake(訂正)
ashigirl ZareGoto
 
PDF
法政大学情報科学部 2012年度コンピュータネットワーク-第8回授業-Web公開用
Ruo Ando
 
PDF
#pakeana 14
@ otsuka752
 
PDF
Trema day 1
ykuga
 
PDF
Inside winnyp
FFRI, Inc.
 
PDF
Wiresharkで検出できないチャットプログラム
Shinichi Hirauchi
 
PDF
組み込みシステムのセキュリティ
FFRI, Inc.
 
PDF
CTF for ビギナーズ ネットワーク講習資料
SECCON Beginners
 
PDF
Scapyで作る・解析するパケット
Takaaki Hoyo
 
PPT
20060520.tcp
Ken SASAKI
 
PDF
法政大学情報科学部 2012年度コンピュータネットワーク-第12回授業-Web公開用
Ruo Ando
 
PDF
TCP connectionの保存と復元
mittyorz
 
PDF
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Panda Yamaki
 
PDF
Ethernetの受信処理
Takuya ASADA
 
ODP
Programming under capability mode
Yuichiro Naito
 
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
Panda Yamaki
 
tcpdumpとtcpreplayとtcprewriteと他。
(^-^) togakushi
 
Windowsのパケットモニタ作成
Shinichi Hirauchi
 
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
Panda Yamaki
 
Scapy presentation
ashigirl ZareGoto
 
Scapy presentation Remake(訂正)
ashigirl ZareGoto
 
法政大学情報科学部 2012年度コンピュータネットワーク-第8回授業-Web公開用
Ruo Ando
 
#pakeana 14
@ otsuka752
 
Trema day 1
ykuga
 
Inside winnyp
FFRI, Inc.
 
Wiresharkで検出できないチャットプログラム
Shinichi Hirauchi
 
組み込みシステムのセキュリティ
FFRI, Inc.
 
CTF for ビギナーズ ネットワーク講習資料
SECCON Beginners
 
Scapyで作る・解析するパケット
Takaaki Hoyo
 
20060520.tcp
Ken SASAKI
 
法政大学情報科学部 2012年度コンピュータネットワーク-第12回授業-Web公開用
Ruo Ando
 
TCP connectionの保存と復元
mittyorz
 
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Panda Yamaki
 
Ethernetの受信処理
Takuya ASADA
 
Programming under capability mode
Yuichiro Naito
 
Ad

More from @ otsuka752 (18)

PPTX
NS & NSID of Amazon Route 53
@ otsuka752
 
PPTX
OLD_LT_DNS_OLD
@ otsuka752
 
PPTX
OLD_Lt traffic analyse_OLD
@ otsuka752
 
PPTX
Hijack the domain name
@ otsuka752
 
PDF
Route53 で親子同居
@ otsuka752
 
PDF
reusable delegation set のススメ (Route53)
@ otsuka752
 
PDF
192.0.0.4 on android
@ otsuka752
 
PDF
iptables BPF module 効果測定
@ otsuka752
 
PDF
how to decrypt SSL/TLS without PrivateKey of servers
@ otsuka752
 
PDF
WireEdit のススメ
@ otsuka752
 
PDF
Measurement of Maximum new NAT-sessions per second / How to send packets
@ otsuka752
 
PDF
毎日 dig ったら分かったこと ~新 gTLD~
@ otsuka752
 
PDF
萌え萌えドメイン名一覧(.moe)
@ otsuka752
 
PDF
about Tcpreplay
@ otsuka752
 
PDF
パケットが教えてくれた ルートサーバが 13個の理由
@ otsuka752
 
PDF
IPv6SG_03_20121103
@ otsuka752
 
PDF
osoljp 2011.08
@ otsuka752
 
PDF
IPv6冗長で差をつけよう 2011年夏の思い出作り HSRP編
@ otsuka752
 
NS & NSID of Amazon Route 53
@ otsuka752
 
OLD_LT_DNS_OLD
@ otsuka752
 
OLD_Lt traffic analyse_OLD
@ otsuka752
 
Hijack the domain name
@ otsuka752
 
Route53 で親子同居
@ otsuka752
 
reusable delegation set のススメ (Route53)
@ otsuka752
 
192.0.0.4 on android
@ otsuka752
 
iptables BPF module 効果測定
@ otsuka752
 
how to decrypt SSL/TLS without PrivateKey of servers
@ otsuka752
 
WireEdit のススメ
@ otsuka752
 
Measurement of Maximum new NAT-sessions per second / How to send packets
@ otsuka752
 
毎日 dig ったら分かったこと ~新 gTLD~
@ otsuka752
 
萌え萌えドメイン名一覧(.moe)
@ otsuka752
 
about Tcpreplay
@ otsuka752
 
パケットが教えてくれた ルートサーバが 13個の理由
@ otsuka752
 
IPv6SG_03_20121103
@ otsuka752
 
osoljp 2011.08
@ otsuka752
 
IPv6冗長で差をつけよう 2011年夏の思い出作り HSRP編
@ otsuka752
 

how to GET GET