Monitoring
Sobald das Notebook korrekt konfiguriert und die Netzwerkverbindung getestet ist, sollte der Netzwerkverkehr mit dem folgenden Befehl im Hintergrund mitgeschnitten werden:
# tcpdump - nw file.dmp net 192.168.1.0/24 &
Damit auch der Tester die Kommunikation in Echtzeit beobachten kann, muss tcpdump erneut gestartet werden, zum Beispiel:
# tcpdump - nvvvs0
System-Enumeration
Ist als Untersuchungsobjekt ein IP-Adressbereich definiert, sollte der Tester zunächst heraus-finden, welche IP-Adressen tatsächlich belegt sind. Dazu eignet sich das Kommando
# whois <ip-adresse>
Durch DNS-Lookups auf IP-Adressen können bereits aktive Adressen und Domänen identifiziert werden:
# host <ip-adresse>
Bei großen Adressbereichen ist die Verwendung eines Perl- oder Shell-Scripts sinnvoll.
Durch die Abfrage der DNS Server findet man den Mail-Server:
# dig domain.com MX
Eventuell kann man durch ei- nen Zonentransfer die gesamte Zone einer Domäne herunter- laden:
# dig @nameserver -t AXFR domain.com
Falls dies gelingt, hat der Tester bereits einen ersten Informationsabfluss entdeckt.