인증 해제 공격을 탐지하기 위해 bash 스크립트를 만들려고 합니다(저는 Mac을 사용하고 있습니다). 나는 명령을 알고 있지만 :
$ tcpdump -l -I -i en0 -e -s 256 type mgt subtype deauth
인증 해제 패킷을 감지하면 연결 해제 패킷도 감지하고 싶습니다. 일반적으로 다음을 통해 연결 해제 패킷을 감지할 수 있습니다.
$ tcpdump -l -I -i en0 -e -s 256 type mgt subtype disassoc
그러나 연결 해제 및 인증 해제 패킷을 동시에 검색하도록 이 명령을 조작할 수 있는 방법이 있는지 궁금합니다. 예를 들어 명령은 다음과 같습니다.
$ tcpdump -l -I -i en0 -e -s 256 type mgt subtype deauth disassoc
분명히 작동하지 않을 것입니다. 그러나 이것이 제가 요구하는 것을 이해하는 데 도움이 되기를 바랍니다.
또한 다음 명령을 사용하는 것만으로도 완전히 이해됩니다.
$ tcpdump -l -I -i en0 -e -s 256 type mgt
연결 해제 및 인증 해제 패킷을 포함한 모든 관리 프레임을 표시하지만 다른 관련 없는 프레임(예: 비콘, 프로브 요청 등)에 의해 차단됩니다.
사실, 나는 grep원치 않는 패킷을 거의 모두 제거하고 연결 해제 및 인증 해제 패킷만 남기는 간단한 구현을 알고 있지만 이것이 다소 투박한 접근 방식이고 더 비효율적인 bash 계산 시간이 필요하다고 생각합니다. 즉시 관리 프레임.
tcpdump내가 원하는 두 가지 패킷 유형을 감지하도록 위 명령을 수정하는 쉬운 방법이 있습니까 ? 아니면 grep위에서 언급한 것과 같은 다른 유형의 솔루션을 찾아야 합니까 ?
PS 저는 Linux가 아닌 OSX를 사용하고 있습니다.
답변1
에서 언급했듯이tcpdump 맨페이지, 키워드와 필터를 and결합 or할 수 있습니다 not. 그룹화를 위해 괄호를 사용할 수 있습니다(셸이 명령줄을 올바르게 구문 분석하려면 따옴표가 필요할 수 있습니다).
tcpdump -l -I -i en0 -e -s 256 'type mgt and (subtype deauth or subtype disassoc)'