Monitoring

Sobald das Notebook korrekt konfiguriert und die Netzwerkverbindung getestet ist, sollte der Netzwerkverkehr mit dem folgenden Befehl im Hintergrund mitgeschnitten werden:

# tcpdump - nw file.dmp net 192.168.1.0/24 &

Damit auch der Tester die Kommunikation in Echtzeit beobachten kann, muss tcpdump erneut gestartet werden, zum Beispiel:

# tcpdump - nvvvs0

System-Enumeration

Ist als Untersuchungsobjekt ein IP-Adressbereich definiert, sollte der Tester zunächst heraus-finden, welche IP-Adressen tatsächlich belegt sind. Dazu eignet sich das Kommando

# whois <ip-adresse>

Durch DNS-Lookups auf IP-Adressen können bereits aktive Adressen und Domänen identifiziert werden:

# host <ip-adresse>

Bei großen Adressbereichen ist die Verwendung eines Perl- oder Shell-Scripts sinnvoll.

Durch die Abfrage der DNS Server findet man den Mail-Server:

# dig domain.com MX

Eventuell kann man durch ei- nen Zonentransfer die gesamte Zone einer Domäne herunter- laden:

# dig @nameserver -t AXFR domain.com

Falls dies gelingt, hat der Tester bereits einen ersten Informationsabfluss entdeckt.