189 8069 5689

网络安全之tcpdump工具-创新互联

引言

创新互联建站是一家集网站建设,黄山企业网站建设,黄山品牌网站建设,网站定制,黄山网站建设报价,网络营销,网络优化,黄山网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。

    wireshark是一款非常不错的抓包软件,在图形化界面占绝对统治地位;尽管其在字符界面下有些许选项可供使用,但终究不太方便,下面我再介绍一款NB的终端抓包工具 tcpdump

1、混杂模式

    linux的网卡有混杂模式一说,当开启混杂模式后,网卡可以抓取所有的数据包,不管这个包是不是发给自己或自己发出的。由于随意截取别人的数据包存在一定安全问题,因此linux对于网卡默认是关闭混杂模式的,切只有root用户能够开启网卡混杂模式,开启方式:

ifconfig ethX promisc

2、常用选项

参数参数说明样例
-D查看可通过哪些网卡抓包
-i name指定通过该name网卡抓包

tcpdump -i eth0

tcpdump -i any

-w file
将抓取的包存入file文件中(该文件可被wireshark使用),默认打印到终端tcpdump -i eth0 -w packet.pcap
-r file读取前面抓取的包,将其作为输入tcpdump -r file
-s length抓取数据包的长度,默认68个字节;设置为0,表示抓取全部数据
-c count
抓取的数据包个数
-t
不显示时间戳
-S
打印绝对的sequence number
-x/-xx
按HEX打印每个包的头信息/包含链路信息
-n
不要将ip转换为主机名
-nn
不要转换ip与端口为对应的名字tcpdump -nnSs 0 tcp port ! 22
-e
显示链路层信息,默认不显示
-F file
过滤条件从file文件内容获取,命令行内容忽略
-X/-XX
按HEX与ASCII打印每个包的头部信息/包含链路信息
-C file_size
指定每个文件大长度为30M,与 -W一起使用tcpdump -i eth0 -C 30 -W 50 -w /tmp/net.pcap
-W filecount
指定最多生成50个文件,与-C一起使用tcpdump -i eth0 -C 30 -W 50 -w /tmp/net.pcap

3、过滤器

3.1、host

  指定主机或网络抓取,可用ip或域名或网段

tcpdump host 192.168.12.1
tcpdump net 192.168.12.0/24

    也可以设置源或则目的端

tcpdump [src|dst] host 192.168.12.1

    指定抓取多个ip的包,不能加方向,如src或dst

tcpdump host 10.27.82.223 and \(10.27.82.222 or 10.27.82.221\)

    排除方式指定目标

tcpdump ip net 192.168.12.0/24 and ! 192.168.12.3

3.2、port / portrange

    指定端口/端口范围(0-1024)与主机,可同时指定方向

tcpdump tcp [src|dst] port 23 and [src|dst] host 192.168.12.1

    排除某个端口的数据包

tcpdump tcp port ! 22

3.3、循环覆盖抓取网络包,存储到30个文件中,每个文件大50M

tcpdump -i eth0 -C 30 -W 50 -w /tmp/net.pcap

4、高级特性

4.1、指定数据包标志位

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0' #获取开始或则结束的数据包
tcpdump 'tcp[tcpflags] & (tcp-fin) != 0'            #获取连接结束的数据包
tcpdump 'tcp[tcpflags] & (tcp-syn) != 0'            #获取连接开始的数据包

tcpdump -AXtnni eth0 'src host 192.168.12.1 and dst port 9876 and tcp[((tcp[12:1] & 0xf0) >> 2):4]=0x47455420'      #获取GET请求数据

5、输出结果

    打印格式:

    系统时间             来源主机.端口        > 目标主机.端口    数据包参数

eg:20:09:53.584715 IP 100.109.225.128.30207 >  10.27.82.228.443: Flags [R.], seq 241841040, ack 631822021, win 58, options [nop,nop,TS val 144058912 ecr 3829113521], length 0

6、问题

    加上-C选项后提示“Permission denied”

  解决办法是,加上 "-Z root"

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章名称:网络安全之tcpdump工具-创新互联
文章URL:http://jkwzsj.com/article/cehdds.html

其他资讯