[root@stones stauf]# tcpdump -s 0 -xXnnn -i eth0 host 206.21.107.147 and port 80 tcpdump: listening on eth0 [Three-way handshake - Client from port 3246] 00:38:23.860858 206.21.107.147.3246 > 156.63.146.83.80: S 3468460531:3468460531(0) win 5840 <mss 1460,sackOK,timestamp 2616365 0,nop,wscale 0> (DF) 0x0000 4500 003c 6dde 4000 3106 73a2 ce15 6b93 E..<m.@.1.s...k. 0x0010 9c3f 9253 0cae 0050 cebc 81f3 0000 0000 .?.S...P........ 0x0020 a002 16d0 7ef8 0000 0204 05b4 0402 080a ....~........... 0x0030 0027 ec2d 0000 0000 0103 0300 .'.-........ 00:38:23.861107 156.63.146.83.80 > 206.21.107.147.3246: S 3488136865:3488136865(0) ack 3468460532 win 5792 <mss 1460,sackOK,timestamp 5571670 2616365,nop,wscale 0> (DF) 0x0000 4500 003c 0000 4000 4006 d280 9c3f 9253 E..<..@.@....?.S 0x0010 ce15 6b93 0050 0cae cfe8 bea1 cebc 81f4 ..k..P.......... 0x0020 a012 16a0 ebe1 0000 0204 05b4 0402 080a ................ 0x0030 0055 0456 0027 ec2d 0103 0300 .U.V.'.-.... 00:38:23.880688 206.21.107.147.3246 > 156.63.146.83.80: . ack 1 win 5840 <nop,nop,timestamp 2616367 5571670> (DF) 0x0000 4500 0034 6ddf 4000 3106 73a9 ce15 6b93 E..4m.@.1.s...k. 0x0010 9c3f 9253 0cae 0050 cebc 81f4 cfe8 bea2 .?.S...P........ 0x0020 8010 16d0 1a75 0000 0101 080a 0027 ec2f .....u.......'./ 0x0030 0055 0456 .U.V [Client http/1.0 GET Request] 00:38:23.895095 206.21.107.147.3246 > 156.63.146.83.80: P 1:583(582) ack 1 win 5840 <nop,nop,timestamp 2616367 5571670> (DF) 0x0000 4500 027a 6de0 4000 3106 7162 ce15 6b93 E..zm.@.1.qb..k. 0x0010 9c3f 9253 0cae 0050 cebc 81f4 cfe8 bea2 .?.S...P........ 0x0020 8018 16d0 84e7 0000 0101 080a 0027 ec2f .............'./ 0x0030 0055 0456 4745 5420 2f73 7461 7566 2f69 .U.VGET./stauf/i 0x0040 6e64 6578 2e70 6870 2048 5454 502f 312e ndex.php.HTTP/1. 0x0050 300d 0a48 6f73 743a 2077 7777 2e63 6f6c 0..Host:.www.col 0x0060 7567 2e6e 6574 0d0a 4163 6365 7074 3a20 ug.net..Accept:. 0x0070 7465 7874 2f68 746d 6c2c 2074 6578 742f text/html,.text/ 0x0080 706c 6169 6e2c 2061 7564 696f 2f6d 6f64 plain,.audio/mod 0x0090 2c20 696d 6167 652f 2a2c 2076 6964 656f ,.image/*,.video 0x00a0 2f6d 7065 672c 2076 6964 656f 2f2a 2c20 /mpeg,.video/*,. 0x00b0 6170 706c 6963 6174 696f 6e2f 7067 702c application/pgp, 0x00c0 2061 7070 6c69 6361 7469 6f6e 2f70 6466 .application/pdf 0x00d0 2c20 6170 706c 6963 6174 696f 6e2f 706f ,.application/po 0x00e0 7374 7363 7269 7074 2c20 6d65 7373 6167 stscript,.messag 0x00f0 652f 7061 7274 6961 6c2c 206d 6573 7361 e/partial,.messa 0x0100 6765 2f65 7874 6572 6e61 6c2d 626f 6479 ge/external-body 0x0110 2c20 782d 6265 322c 2061 7070 6c69 6361 ,.x-be2,.applica 0x0120 7469 6f6e 2f61 6e64 7265 772d 696e 7365 tion/andrew-inse 0x0130 742c 2074 6578 742f 7269 6368 7465 7874 t,.text/richtext 0x0140 2c20 7465 7874 2f65 6e72 6963 6865 642c ,.text/enriched, 0x0150 2078 2d73 756e 2d61 7474 6163 686d 656e .x-sun-attachmen 0x0160 740d 0a41 6363 6570 743a 2061 7564 696f t..Accept:.audio 0x0170 2d66 696c 652c 2070 6f73 7473 6372 6970 -file,.postscrip 0x0180 742d 6669 6c65 2c20 6465 6661 756c 742c t-file,.default, 0x0190 206d 6169 6c2d 6669 6c65 2c20 7375 6e2d .mail-file,.sun- 0x01a0 6465 736b 7365 742d 6d65 7373 6167 652c deskset-message, 0x01b0 2061 7070 6c69 6361 7469 6f6e 2f78 2d6d .application/x-m 0x01c0 6574 616d 6169 6c2d 7061 7463 682c 2061 etamail-patch,.a 0x01d0 7070 6c69 6361 7469 6f6e 2f6d 7377 6f72 pplication/mswor 0x01e0 642c 2074 6578 742f 7367 6d6c 2c20 2a2f d,.text/sgml,.*/ 0x01f0 2a3b 713d 302e 3031 0d0a 4163 6365 7074 *;q=0.01..Accept 0x0200 2d45 6e63 6f64 696e 673a 2067 7a69 702c -Encoding:.gzip, 0x0210 2063 6f6d 7072 6573 730d 0a41 6363 6570 .compress..Accep 0x0220 742d 4c61 6e67 7561 6765 3a20 656e 0d0a t-Language:.en.. 0x0230 5573 6572 2d41 6765 6e74 3a20 4c79 6e78 User-Agent:.Lynx 0x0240 2f32 2e38 2e34 7265 6c2e 3120 6c69 6277 /2.8.4rel.1.libw 0x0250 7777 2d46 4d2f 322e 3134 2053 534c 2d4d ww-FM/2.14.SSL-M 0x0260 4d2f 312e 342e 3120 4f70 656e 5353 4c2f M/1.4.1.OpenSSL/ 0x0270 302e 392e 3662 0d0a 0d0a 0.9.6b.... [Server Ack] 00:38:23.898932 156.63.146.83.80 > 206.21.107.147.3246: . ack 583 win 6402 <nop,nop,timestamp 5571674 2616367> (DF) 0x0000 4500 0034 bafa 4000 4006 178e 9c3f 9253 E..4..@.@....?.S 0x0010 ce15 6b93 0050 0cae cfe8 bea2 cebc 843a ..k..P.........: 0x0020 8010 1902 15f9 0000 0101 080a 0055 045a .............U.Z 0x0030 0027 ec2f .'./ [Server http/1.1 Reply] 00:38:23.957930 156.63.146.83.80 > 206.21.107.147.3246: P 1:1434(1433) ack 583 win 6402 <nop,nop,timestamp 5571679 2616367> (DF) 0x0000 4500 05cd bafb 4000 4006 11f4 9c3f 9253 E.....@.@....?.S 0x0010 ce15 6b93 0050 0cae cfe8 bea2 cebc 843a ..k..P.........: 0x0020 8018 1902 3760 0000 0101 080a 0055 045f ....7.......U._ 0x0030 0027 ec2f 4854 5450 2f31 2e31 2032 3030 .'./HTTP/1.1.200 0x0040 204f 4b0d 0a44 6174 653a 2057 6564 2c20 .OK..Date:.Wed,. 0x0050 3233 204f 6374 2032 3030 3220 3034 3a33 23.Oct.2002.04:3 0x0060 383a 3233 2047 4d54 0d0a 5365 7276 6572 8:23.GMT..Server 0x0070 3a20 4170 6163 6865 2f31 2e33 2e32 3220 :.Apache/1.3.22. 0x0080 2855 6e69 7829 2020 2852 6564 2d48 6174 (Unix)..(Red-Hat 0x0090 2f4c 696e 7578 2920 5048 502f 342e 312e /Linux).PHP/4.1. 0x00a0 3220 6d6f 645f 7065 726c 2f31 2e32 360d 2.mod_perl/1.26. 0x00b0 0a58 2d50 6f77 6572 6564 2d42 793a 2050 .X-Powered-By:.P 0x00c0 4850 2f34 2e31 2e32 0d0a 436f 6e6e 6563 HP/4.1.2..Connec 0x00d0 7469 6f6e 3a20 636c 6f73 650d 0a43 6f6e tion:.close..Con 0x00e0 7465 6e74 2d54 7970 653a 2074 6578 742f tent-Type:.text/ 0x00f0 6874 6d6c 0d0a 0d0a 3c68 746d 6c3e 3c68 html....<html><h 0x0100 6561 643e 3c74 6974 6c65 3e43 4f4c 5547 ead><title>COLUG 0x0110 2074 6573 7420 7061 6765 2066 6f72 200a .test.page.for.. 0x0120 0973 6e69 6666 696e 673c 2f74 6974 6c65 .sniffing</title 0x0130 3e3c 2f68 6561 643e 3c62 6f64 793e 0a3c ></head><body>.< 0x0140 212d 2d20 6465 6164 6265 6566 3132 3334 !--.deadbeef1234 0x0150 3132 3334 6465 6164 6265 6566 3132 3334 1234deadbeef1234 0x0160 3132 3334 202d 2d3e 0a3c 6834 3e43 4f4c 1234.-->.<h4>COL 0x0170 5547 2074 6573 7420 7061 6765 2066 6f72 UG.test.page.for 0x0180 2073 6e69 6666 696e 673c 2f68 343e 0a3c .sniffing</h4>.< 0x0190 7461 626c 6520 626f 7264 6572 3d31 3e0a table.border=1>. 0x01a0 3c74 723e 3c74 6420 616c 6967 6e3d 6365 <tr><td.align=ce 0x01b0 6e74 6572 3e26 6e62 7370 3b75 7365 7269 nter> useri 0x01c0 6426 6e62 7370 3b3c 2f74 643e 3c74 6420 d </td><td. 0x01d0 0a09 616c 6967 6e3d 6365 6e74 6572 3e26 ..align=center>& 0x01e0 6e62 7370 3b26 6e62 7370 3b3c 2f74 643e nbsp; </td> 0x01f0 3c2f 7472 3e0a 3c74 723e 3c74 6420 616c </tr>.<tr><td.al 0x0200 6967 6e3d 6365 6e74 6572 3e26 6e62 7370 ign=center>  0x0210 3b70 7726 6e62 7370 3b3c 2f74 643e 3c74 ;pw </td><t 0x0220 6420 0a09 616c 6967 6e3d 6365 6e74 6572 d...align=center 0x0230 3e26 6e62 7370 3b26 6e62 7370 3b3c 2f74 >  </t 0x0240 643e 3c2f 7472 3e0a 3c74 723e 3c74 6420 d></tr>.<tr><td. 0x0250 616c 6967 6e3d 6365 6e74 6572 3e26 6e62 align=center>&nb 0x0260 7370 3b63 6f75 6e74 6572 266e 6273 703b sp;counter  0x0270 3c2f 7464 3e3c 7464 200a 0961 6c69 676e </td><td...align 0x0280 3d63 656e 7465 723e 266e 6273 703b 3026 =center> 0& 0x0290 6e62 7370 3b3c 2f74 643e 3c2f 7472 3e0a nbsp;</td></tr>. 0x02a0 3c2f 7461 626c 653e 0a3c 212d 2d20 6465 </table>.<!--.de 0x02b0 6164 6265 6566 3132 3334 3536 3738 6465 adbeef12345678de 0x02c0 6164 6265 6566 3132 3334 3536 3738 202d adbeef12345678.- 0x02d0 2d3e 0a3c 6872 3e0a 3c66 6f72 6d20 6d65 ->.<hr>.<form.me 0x02e0 7468 6f64 3d70 6f73 7420 6163 7469 6f6e thod=post.action 0x02f0 2d2f 7374 6175 662f 696e 6465 782e 7068 -/stauf/index.ph 0x0300 703e 0a3c 7461 626c 6520 626f 7264 6572 p>.<table.border 0x0310 3d31 3e0a 3c74 723e 3c74 6420 616c 6967 =1>.<tr><td.alig 0x0320 6e3d 6365 6e74 6572 3e26 6e62 7370 3b55 n=center> U 0x0330 7365 7269 643a 266e 6273 703b 203c 2f74 serid: .</t 0x0340 643e 3c74 6420 0a09 616c 6967 6e3d 6365 d><td...align=ce 0x0350 6e74 6572 3e26 6e62 7370 3b3c 696e 7075 nter> <inpu 0x0360 7420 7479 7065 3d74 6578 7420 6e61 6d65 t.type=text.name 0x0370 3d75 7365 7269 6420 0a09 7661 6c75 653d =userid...value= 0x0380 2222 3e26 6e62 7370 3b3c 2f74 643e 3c2f ""> </td></ 0x0390 7472 3e0a 3c74 723e 3c74 6420 616c 6967 tr>.<tr><td.alig 0x03a0 6e3d 6365 6e74 6572 3e26 6e62 7370 3b50 n=center> P 0x03b0 6173 7377 6f72 643a 266e 6273 703b 3c2f assword: </ 0x03c0 7464 3e3c 7464 200a 0961 6c69 676e 3d63 td><td...align=c 0x03d0 656e 7465 723e 266e 6273 703b 3c69 6e70 enter> <inp 0x03e0 7574 2074 7970 653d 7061 7373 776f 7264 ut.type=password 0x03f0 200a 096e 616d 653d 7077 3e26 6e62 7370 ...name=pw>  0x0400 3b3c 2f74 643e 3c2f 7472 3e0a 3c74 723e ;</td></tr>.<tr> 0x0410 3c74 6420 616c 6967 6e3d 6365 6e74 6572 <td.align=center 0x0420 2063 6f6c 7370 616e 3d32 3e26 6e62 7370 .colspan=2>  0x0430 3b3c 696e 7075 7420 7479 7065 3d73 7562 ;<input.type=sub 0x0440 6d69 7420 0a09 6e61 6d65 3d4f 4b20 7661 mit...name=OK.va 0x0450 6c75 653d 4f4b 3e26 6e62 7370 3b3c 696e lue=OK> <in 0x0460 7075 7420 7479 7065 3d72 6573 6574 200a put.type=reset.. 0x0470 096e 616d 653d 436c 6561 723e 3c69 6e70 .name=Clear><inp 0x0480 7574 2074 7970 653d 6869 6464 656e 206e ut.type=hidden.n 0x0490 616d 653d 636f 756e 7465 7220 0a09 7661 ame=counter...va 0x04a0 6c75 653d 303e 266e 6273 703b 3c2f 7464 lue=0> </td 0x04b0 3e3c 2f74 723e 0a3c 2f74 6162 6c65 3e0a ></tr>.</table>. 0x04c0 3c2f 666f 726d 3e0a 3c21 2d2d 2064 6561 </form>.<!--.dea 0x04d0 6462 6565 6635 3637 3835 3637 3864 6561 dbeef56785678dea 0x04e0 6462 6565 6635 3637 3835 3637 3820 2d2d dbeef56785678.-- 0x04f0 3e0a 436f 7079 7269 6768 7420 2663 6f70 >.Copyright.&cop 0x0500 793b 2032 3030 3220 4365 6e74 7261 6c20 y;.2002.Central. 0x0510 4f48 204c 696e 7578 2055 7365 7220 4772 OH.Linux.User.Gr 0x0520 6f75 703c 6272 3e0a 4d61 7374 6572 2061 oup<br>.Master.a 0x0530 743a 2068 7474 703a 2f2f 7777 772e 636f t:.http://www.co 0x0540 6c75 672e 6e65 742f 7374 6175 662f 696e lug.net/stauf/in 0x0550 6465 782e 7068 703c 6272 3e0a 5365 653a dex.php<br>.See: 0x0560 203c 6120 6872 6566 3d22 6874 7470 3a2f .<a.href="http:/ 0x0570 2f77 7777 2e6f 776c 7269 7665 722e 636f /www.owlriver.co 0x0580 6d2f 7469 7073 2f22 2074 6172 6765 743d m/tips/".target= 0x0590 225f 626c 616e 6b22 3e20 0a09 6874 7470 "_blank">...http 0x05a0 3a2f 2f77 7777 2e6f 776c 7269 7665 722e ://www.owlriver. 0x05b0 636f 6d2f 7469 7073 2f20 3c2f 613e 0a3c com/tips/.</a>.< 0x05c0 2f62 6f64 793e 3c2f 6874 6d6c 3e /body></html> 00:38:23.959369 156.63.146.83.80 > 206.21.107.147.3246: F 1434:1434(0) ack 583 win 6402 <nop,nop,timestamp 5571680 2616367> (DF) 0x0000 4500 0034 bafc 4000 4006 178c 9c3f 9253 E..4..@.@....?.S 0x0010 ce15 6b93 0050 0cae cfe8 c43b cebc 843a ..k..P.....;...: 0x0020 8011 1902 1059 0000 0101 080a 0055 0460 .....Y.......U.. 0x0030 0027 ec2f .'./ [Client Ack] 00:38:24.039862 206.21.107.147.3246 > 156.63.146.83.80: . ack 1434 win 8598 <nop,nop,timestamp 2616383 5571679> (DF) 0x0000 4500 0034 6de1 4000 3106 73a7 ce15 6b93 E..4m.@.1.s...k. 0x0010 9c3f 9253 0cae 0050 cebc 843a cfe8 c43b .?.S...P...:...; 0x0020 8010 2196 07b7 0000 0101 080a 0027 ec3f ..!..........'.? 0x0030 0055 045f .U._ 00:38:24.049453 206.21.107.147.3246 > 156.63.146.83.80: F 583:583(0) ack 1435 win 8598 <nop,nop,timestamp 2616384 5571680> (DF) 0x0000 4500 0034 6de2 4000 3106 73a6 ce15 6b93 E..4m.@.1.s...k. 0x0010 9c3f 9253 0cae 0050 cebc 843a cfe8 c43c .?.S...P...:...< 0x0020 8011 2196 07b3 0000 0101 080a 0027 ec40 ..!..........'.@ 0x0030 0055 0460 .U. 00:38:24.049682 156.63.146.83.80 > 206.21.107.147.3246: . ack 584 win 6402 <nop,nop,timestamp 5571689 2616384> (DF) 0x0000 4500 0034 bafd 4000 4006 178b 9c3f 9253 E..4..@.@....?.S 0x0010 ce15 6b93 0050 0cae cfe8 c43c cebc 843b ..k..P.....<...; 0x0020 8010 1902 103e 0000 0101 080a 0055 0469 .....>.......U.i 0x0030 0027 ec40 .'.@ [Server closes connection on port 3246] [Three-way handshake - Client from port 3247] 00:38:30.066083 206.21.107.147.3247 > 156.63.146.83.80: S 3489343522:3489343522(0) win 5840 <mss 1460,sackOK,timestamp 2616985 0,nop,wscale 0> (DF) 0x0000 4500 003c c6bb 4000 3106 1ac5 ce15 6b93 E..<..@.1.....k. 0x0010 9c3f 9253 0caf 0050 cffb 2822 0000 0000 .?.S...P..(".... 0x0020 a002 16d0 d51d 0000 0204 05b4 0402 080a ................ 0x0030 0027 ee99 0000 0000 0103 0300 .'.......... 00:38:30.066476 156.63.146.83.80 > 206.21.107.147.3247: S 3488495714:3488495714(0) ack 3489343523 win 5792 <mss 1460,sackOK,timestamp 5572290 2616985,nop,wscale 0> (DF) 0x0000 4500 003c 0000 4000 4006 d280 9c3f 9253 E..<..@.@....?.S 0x0010 ce15 6b93 0050 0caf cfee 3862 cffb 2823 ..k..P....8b..(# 0x0020 a012 16a0 c5d4 0000 0204 05b4 0402 080a ................ 0x0030 0055 06c2 0027 ee99 0103 0300 .U...'...... 00:38:30.086518 206.21.107.147.3247 > 156.63.146.83.80: . ack 1 win 5840 <nop,nop,timestamp 2616987 5572290> (DF) 0x0000 4500 0034 c6bc 4000 3106 1acc ce15 6b93 E..4..@.1.....k. 0x0010 9c3f 9253 0caf 0050 cffb 2823 cfee 3863 .?.S...P..(#..8c 0x0020 8010 16d0 f467 0000 0101 080a 0027 ee9b .....g.......'.. 0x0030 0055 06c2 .U.. [Client http/1.0 POST Request] 00:38:30.104796 206.21.107.147.3247 > 156.63.146.83.80: P 1:778(777) ack 1 win 5840 <nop,nop,timestamp 2616988 5572290> (DF) 0x0000 4500 033d c6bd 4000 3106 17c2 ce15 6b93 E..=..@.1.....k. 0x0010 9c3f 9253 0caf 0050 cffb 2823 cfee 3863 .?.S...P..(#..8c 0x0020 8018 16d0 b004 0000 0101 080a 0027 ee9c .............'.. 0x0030 0055 06c2 504f 5354 202f 7374 6175 662f .U..POST./stauf/ 0x0040 696e 6465 782e 7068 7020 4854 5450 2f31 index.php.HTTP/1 0x0050 2e30 0d0a 486f 7374 3a20 7777 772e 636f .0..Host:.www.co 0x0060 6c75 672e 6e65 740d 0a41 6363 6570 743a lug.net..Accept: 0x0070 2074 6578 742f 6874 6d6c 2c20 7465 7874 .text/html,.text 0x0080 2f70 6c61 696e 2c20 6175 6469 6f2f 6d6f /plain,.audio/mo 0x0090 642c 2069 6d61 6765 2f2a 2c20 7669 6465 d,.image/*,.vide 0x00a0 6f2f 6d70 6567 2c20 7669 6465 6f2f 2a2c o/mpeg,.video/*, 0x00b0 2061 7070 6c69 6361 7469 6f6e 2f70 6770 .application/pgp 0x00c0 2c20 6170 706c 6963 6174 696f 6e2f 7064 ,.application/pd 0x00d0 662c 2061 7070 6c69 6361 7469 6f6e 2f70 f,.application/p 0x00e0 6f73 7473 6372 6970 742c 206d 6573 7361 ostscript,.messa 0x00f0 6765 2f70 6172 7469 616c 2c20 6d65 7373 ge/partial,.mess 0x0100 6167 652f 6578 7465 726e 616c 2d62 6f64 age/external-bod 0x0110 792c 2078 2d62 6532 2c20 6170 706c 6963 y,.x-be2,.applic 0x0120 6174 696f 6e2f 616e 6472 6577 2d69 6e73 ation/andrew-ins 0x0130 6574 2c20 7465 7874 2f72 6963 6874 6578 et,.text/richtex 0x0140 742c 2074 6578 742f 656e 7269 6368 6564 t,.text/enriched 0x0150 2c20 782d 7375 6e2d 6174 7461 6368 6d65 ,.x-sun-attachme 0x0160 6e74 0d0a 4163 6365 7074 3a20 6175 6469 nt..Accept:.audi 0x0170 6f2d 6669 6c65 2c20 706f 7374 7363 7269 o-file,.postscri 0x0180 7074 2d66 696c 652c 2064 6566 6175 6c74 pt-file,.default 0x0190 2c20 6d61 696c 2d66 696c 652c 2073 756e ,.mail-file,.sun 0x01a0 2d64 6573 6b73 6574 2d6d 6573 7361 6765 -deskset-message 0x01b0 2c20 6170 706c 6963 6174 696f 6e2f 782d ,.application/x- 0x01c0 6d65 7461 6d61 696c 2d70 6174 6368 2c20 metamail-patch,. 0x01d0 6170 706c 6963 6174 696f 6e2f 6d73 776f application/mswo 0x01e0 7264 2c20 7465 7874 2f73 676d 6c2c 202a rd,.text/sgml,.* 0x01f0 2f2a 3b71 3d30 2e30 310d 0a41 6363 6570 /*;q=0.01..Accep 0x0200 742d 456e 636f 6469 6e67 3a20 677a 6970 t-Encoding:.gzip 0x0210 2c20 636f 6d70 7265 7373 0d0a 4163 6365 ,.compress..Acce 0x0220 7074 2d4c 616e 6775 6167 653a 2065 6e0d pt-Language:.en. 0x0230 0a50 7261 676d 613a 206e 6f2d 6361 6368 .Pragma:.no-cach 0x0240 650d 0a43 6163 6865 2d43 6f6e 7472 6f6c e..Cache-Control 0x0250 3a20 6e6f 2d63 6163 6865 0d0a 5573 6572 :.no-cache..User 0x0260 2d41 6765 6e74 3a20 4c79 6e78 2f32 2e38 -Agent:.Lynx/2.8 0x0270 2e34 7265 6c2e 3120 6c69 6277 7777 2d46 .4rel.1.libwww-F 0x0280 4d2f 322e 3134 2053 534c 2d4d 4d2f 312e M/2.14.SSL-MM/1. 0x0290 342e 3120 4f70 656e 5353 4c2f 302e 392e 4.1.OpenSSL/0.9. 0x02a0 3662 0d0a 5265 6665 7265 723a 2068 7474 6b..Referer:.htt 0x02b0 703a 2f2f 7777 772e 636f 6c75 672e 6e65 p://www.colug.ne 0x02c0 742f 7374 6175 662f 696e 6465 782e 7068 t/stauf/index.ph 0x02d0 700d 0a43 6f6e 7465 6e74 2d74 7970 653a p..Content-type: 0x02e0 2061 7070 6c69 6361 7469 6f6e 2f78 2d77 .application/x-w 0x02f0 7777 2d66 6f72 6d2d 7572 6c65 6e63 6f64 ww-form-urlencod 0x0300 6564 0d0a 436f 6e74 656e 742d 6c65 6e67 ed..Content-leng 0x0310 7468 3a20 3335 0d0a 0d0a 7573 6572 6964 th:.35....userid 0x0320 3d61 7364 6626 7077 3d71 7765 7226 4f4b =asdf&pw=qwer&OK 0x0330 3d4f 4b26 636f 756e 7465 723d 30 =OK&counter=0 [Server Ack] 00:38:30.116910 156.63.146.83.80 > 206.21.107.147.3247: . ack 778 win 6993 <nop,nop,timestamp 5572295 2616988> (DF) 0x0000 4500 0034 3ea7 4000 4006 93e1 9c3f 9253 E..4>.@.@....?.S 0x0010 ce15 6b93 0050 0caf cfee 3863 cffb 2b2c ..k..P....8c..+, 0x0020 8010 1b51 ecd7 0000 0101 080a 0055 06c7 ...Q.........U.. 0x0030 0027 ee9c .'.. [Server http/1.1 Reply] 00:38:30.175809 156.63.146.83.80 > 206.21.107.147.3247: P 1:1446(1445) ack 778 win 6993 <nop,nop,timestamp 5572301 2616988> (DF) 0x0000 4500 05d9 3ea8 4000 4006 8e3b 9c3f 9253 E...>.@.@..;.?.S 0x0010 ce15 6b93 0050 0caf cfee 3863 cffb 2b2c ..k..P....8c..+, 0x0020 8018 1b51 6dd2 0000 0101 080a 0055 06cd ...Qm........U.. 0x0030 0027 ee9c 4854 5450 2f31 2e31 2032 3030 .'..HTTP/1.1.200 0x0040 204f 4b0d 0a44 6174 653a 2057 6564 2c20 .OK..Date:.Wed,. 0x0050 3233 204f 6374 2032 3030 3220 3034 3a33 23.Oct.2002.04:3 0x0060 383a 3330 2047 4d54 0d0a 5365 7276 6572 8:30.GMT..Server 0x0070 3a20 4170 6163 6865 2f31 2e33 2e32 3220 :.Apache/1.3.22. 0x0080 2855 6e69 7829 2020 2852 6564 2d48 6174 (Unix)..(Red-Hat 0x0090 2f4c 696e 7578 2920 5048 502f 342e 312e /Linux).PHP/4.1. 0x00a0 3220 6d6f 645f 7065 726c 2f31 2e32 360d 2.mod_perl/1.26. 0x00b0 0a58 2d50 6f77 6572 6564 2d42 793a 2050 .X-Powered-By:.P 0x00c0 4850 2f34 2e31 2e32 0d0a 436f 6e6e 6563 HP/4.1.2..Connec 0x00d0 7469 6f6e 3a20 636c 6f73 650d 0a43 6f6e tion:.close..Con 0x00e0 7465 6e74 2d54 7970 653a 2074 6578 742f tent-Type:.text/ 0x00f0 6874 6d6c 0d0a 0d0a 3c68 746d 6c3e 3c68 html....<html><h 0x0100 6561 643e 3c74 6974 6c65 3e43 4f4c 5547 ead><title>COLUG 0x0110 2074 6573 7420 7061 6765 2066 6f72 200a .test.page.for.. 0x0120 0973 6e69 6666 696e 673c 2f74 6974 6c65 .sniffing</title 0x0130 3e3c 2f68 6561 643e 3c62 6f64 793e 0a3c ></head><body>.< 0x0140 212d 2d20 6465 6164 6265 6566 3132 3334 !--.deadbeef1234 0x0150 3132 3334 6465 6164 6265 6566 3132 3334 1234deadbeef1234 0x0160 3132 3334 202d 2d3e 0a3c 6834 3e43 4f4c 1234.-->.<h4>COL 0x0170 5547 2074 6573 7420 7061 6765 2066 6f72 UG.test.page.for 0x0180 2073 6e69 6666 696e 673c 2f68 343e 0a3c .sniffing</h4>.< 0x0190 7461 626c 6520 626f 7264 6572 3d31 3e0a table.border=1>. 0x01a0 3c74 723e 3c74 6420 616c 6967 6e3d 6365 <tr><td.align=ce 0x01b0 6e74 6572 3e26 6e62 7370 3b75 7365 7269 nter> useri 0x01c0 6426 6e62 7370 3b3c 2f74 643e 3c74 6420 d </td><td. 0x01d0 0a09 616c 6967 6e3d 6365 6e74 6572 3e26 ..align=center>& 0x01e0 6e62 7370 3b61 7364 6626 6e62 7370 3b3c nbsp;asdf < 0x01f0 2f74 643e 3c2f 7472 3e0a 3c74 723e 3c74 /td></tr>.<tr><t 0x0200 6420 616c 6967 6e3d 6365 6e74 6572 3e26 d.align=center>& 0x0210 6e62 7370 3b70 7726 6e62 7370 3b3c 2f74 nbsp;pw </t 0x0220 643e 3c74 6420 0a09 616c 6967 6e3d 6365 d><td...align=ce 0x0230 6e74 6572 3e26 6e62 7370 3b71 7765 7226 nter> qwer& 0x0240 6e62 7370 3b3c 2f74 643e 3c2f 7472 3e0a nbsp;</td></tr>. 0x0250 3c74 723e 3c74 6420 616c 6967 6e3d 6365 <tr><td.align=ce 0x0260 6e74 6572 3e26 6e62 7370 3b63 6f75 6e74 nter> count 0x0270 6572 266e 6273 703b 3c2f 7464 3e3c 7464 er </td><td 0x0280 200a 0961 6c69 676e 3d63 656e 7465 723e ...align=center> 0x0290 266e 6273 703b 3126 6e62 7370 3b3c 2f74  1 </t 0x02a0 643e 3c2f 7472 3e0a 3c2f 7461 626c 653e d></tr>.</table> 0x02b0 0a3c 212d 2d20 6465 6164 6265 6566 3132 .<!--.deadbeef12 0x02c0 3334 3536 3738 6465 6164 6265 6566 3132 345678deadbeef12 0x02d0 3334 3536 3738 202d 2d3e 0a3c 6872 3e0a 345678.-->.<hr>. 0x02e0 3c66 6f72 6d20 6d65 7468 6f64 3d70 6f73 <form.method=pos 0x02f0 7420 6163 7469 6f6e 2d2f 7374 6175 662f t.action-/stauf/ 0x0300 696e 6465 782e 7068 703e 0a3c 7461 626c index.php>.<tabl 0x0310 6520 626f 7264 6572 3d31 3e0a 3c74 723e e.border=1>.<tr> 0x0320 3c74 6420 616c 6967 6e3d 6365 6e74 6572 <td.align=center 0x0330 3e26 6e62 7370 3b55 7365 7269 643a 266e > Userid:&n 0x0340 6273 703b 203c 2f74 643e 3c74 6420 0a09 bsp;.</td><td... 0x0350 616c 6967 6e3d 6365 6e74 6572 3e26 6e62 align=center>&nb 0x0360 7370 3b3c 696e 7075 7420 7479 7065 3d74 sp;<input.type=t 0x0370 6578 7420 6e61 6d65 3d75 7365 7269 6420 ext.name=userid. 0x0380 0a09 7661 6c75 653d 2261 7364 6622 3e26 ..value="asdf">& 0x0390 6e62 7370 3b3c 2f74 643e 3c2f 7472 3e0a nbsp;</td></tr>. 0x03a0 3c74 723e 3c74 6420 616c 6967 6e3d 6365 <tr><td.align=ce 0x03b0 6e74 6572 3e26 6e62 7370 3b50 6173 7377 nter> Passw 0x03c0 6f72 643a 266e 6273 703b 3c2f 7464 3e3c ord: </td>< 0x03d0 7464 200a 0961 6c69 676e 3d63 656e 7465 td...align=cente 0x03e0 723e 266e 6273 703b 3c69 6e70 7574 2074 r> <input.t 0x03f0 7970 653d 7061 7373 776f 7264 200a 096e ype=password...n 0x0400 616d 653d 7077 3e26 6e62 7370 3b3c 2f74 ame=pw> </t 0x0410 643e 3c2f 7472 3e0a 3c74 723e 3c74 6420 d></tr>.<tr><td. 0x0420 616c 6967 6e3d 6365 6e74 6572 2063 6f6c align=center.col 0x0430 7370 616e 3d32 3e26 6e62 7370 3b3c 696e span=2> <in 0x0440 7075 7420 7479 7065 3d73 7562 6d69 7420 put.type=submit. 0x0450 0a09 6e61 6d65 3d4f 4b20 7661 6c75 653d ..name=OK.value= 0x0460 4f4b 3e26 6e62 7370 3b3c 696e 7075 7420 OK> <input. 0x0470 7479 7065 3d72 6573 6574 200a 096e 616d type=reset...nam 0x0480 653d 436c 6561 723e 3c69 6e70 7574 2074 e=Clear><input.t 0x0490 7970 653d 6869 6464 656e 206e 616d 653d ype=hidden.name= 0x04a0 636f 756e 7465 7220 0a09 7661 6c75 653d counter...value= 0x04b0 313e 266e 6273 703b 3c2f 7464 3e3c 2f74 1> </td></t 0x04c0 723e 0a3c 2f74 6162 6c65 3e0a 3c2f 666f r>.</table>.</fo 0x04d0 726d 3e0a 3c21 2d2d 2064 6561 6462 6565 rm>.<!--.deadbee 0x04e0 6635 3637 3835 3637 3864 6561 6462 6565 f56785678deadbee 0x04f0 6635 3637 3835 3637 3820 2d2d 3e0a 436f f56785678.-->.Co 0x0500 7079 7269 6768 7420 2663 6f70 793b 2032 pyright.©.2 0x0510 3030 3220 4365 6e74 7261 6c20 4f48 204c 002.Central.OH.L 0x0520 696e 7578 2055 7365 7220 4772 6f75 703c inux.User.Group< 0x0530 6272 3e0a 4d61 7374 6572 2061 743a 2068 br>.Master.at:.h 0x0540 7474 703a 2f2f 7777 772e 636f 6c75 672e ttp://www.colug. 0x0550 6e65 742f 7374 6175 662f 696e 6465 782e net/stauf/index. 0x0560 7068 703c 6272 3e0a 5365 653a 203c 6120 php<br>.See:.<a. 0x0570 6872 6566 3d22 6874 7470 3a2f 2f77 7777 href="http://www 0x0580 2e6f 776c 7269 7665 722e 636f 6d2f 7469 .owlriver.com/ti 0x0590 7073 2f22 2074 6172 6765 743d 225f 626c ps/".target="_bl 0x05a0 616e 6b22 3e20 0a09 6874 7470 3a2f 2f77 ank">...http://w 0x05b0 7777 2e6f 776c 7269 7665 722e 636f 6d2f ww.owlriver.com/ 0x05c0 7469 7073 2f20 3c2f 613e 0a3c 2f62 6f64 tips/.</a>.</bod 0x05d0 793e 3c2f 6874 6d6c 3e y></html> 00:38:30.177330 156.63.146.83.80 > 206.21.107.147.3247: F 1446:1446(0) ack 778 win 6993 <nop,nop,timestamp 5572301 2616988> (DF) 0x0000 4500 0034 3ea9 4000 4006 93df 9c3f 9253 E..4>.@.@....?.S 0x0010 ce15 6b93 0050 0caf cfee 3e08 cffb 2b2c ..k..P....>...+, 0x0020 8011 1b51 e72b 0000 0101 080a 0055 06cd ...Q.+.......U.. 0x0030 0027 ee9c .'.. [Client Ack] 00:38:30.234994 206.21.107.147.3247 > 156.63.146.83.80: . ack 1446 win 8670 <nop,nop,timestamp 2617002 5572301> (DF) 0x0000 4500 0034 c6be 4000 3106 1aca ce15 6b93 E..4..@.1.....k. 0x0010 9c3f 9253 0caf 0050 cffb 2b2c cfee 3e08 .?.S...P..+,..>. 0x0020 8010 21de e091 0000 0101 080a 0027 eeaa ..!..........'.. 0x0030 0055 06cd .U.. 00:38:30.242672 206.21.107.147.3247 > 156.63.146.83.80: F 778:778(0) ack 1447 win 8670 <nop,nop,timestamp 2617003 5572301> (DF) 0x0000 4500 0034 c6bf 4000 3106 1ac9 ce15 6b93 E..4..@.1.....k. 0x0010 9c3f 9253 0caf 0050 cffb 2b2c cfee 3e09 .?.S...P..+,..>. 0x0020 8011 21de e08e 0000 0101 080a 0027 eeab ..!..........'.. 0x0030 0055 06cd .U.. 00:38:30.242905 156.63.146.83.80 > 206.21.107.147.3247: . ack 779 win 6993 <nop,nop,timestamp 5572308 2617003> (DF) 0x0000 4500 0034 3eaa 4000 4006 93de 9c3f 9253 E..4>.@.@....?.S 0x0010 ce15 6b93 0050 0caf cfee 3e09 cffb 2b2d ..k..P....>...+- 0x0020 8010 1b51 e714 0000 0101 080a 0055 06d4 ...Q.........U.. 0x0030 0027 eeab .'.. [Server closes port 3247]