欢迎来到云服务器

系统配置

关于Linux下抓包东西tcpdump利用的先容

  在传统的网络阐明和测试技能中,嗅探器(sniffer)是最常见,也是最重要的技能之一。sniffer东西首先是为网络打点员和网络措施员举办网络阐明而设计的。那么进修啦小编就要在这里先容下Linux下抓包东西tcpdump利用要领了。

  匹配ether广播包。ether广播包的特征是mac全1.故如下即可匹配:

  tcpdump 'ether dst ff:ff:ff:ff:ff:ff'

  [email protected]:~$ sudo tcpdump -c 1 'ether dst ff:ff:ff:ff:ff:ff'

  tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

  listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

  10:47:57.784099 arp who-has 192.168.240.77 tell 192.168.240.189

  在此,只匹配1个包就退出了。第一个是arp请求包,arp请求包的是回收广播的方法发送的,被匹配那是当之无愧的。

  匹配ether组播包,ether的组播包的特征是mac的最高位为1,其它位用来暗示组播组编号,假如你想匹配其的多播组,知道它的组MAC地点即可。如

  tcpdump 'ether dst ' Mac_Address暗示地点,填上适当的即可。假如想匹配所有的ether多播数据包,那么临时请放下,下面会继承为你讲授更高级的应用。

  (2)匹配arp包

  arp包用于IP到Mac址转换的一种协议,包罗arp请求和arp承诺两种报文,arp请求报文是ether广播方法发送出去的,也即 arp请求报文的mac地点是全1,因此用ether dst FF;FF;FF;FF;FF;FF可以匹配arp请求报文,但不能匹配承诺报文。因此要匹配arp的通信进程,则只有利用arp来指定协议。

  tcpdump 'arp' 即可匹配网络上arp报文。

  [email protected]:~$ arping -c 4 192.168.240.1>/dev/null& sudo tcpdump -p 'arp'

  [1] 9293

  WARNING: interface is ignored: Operation not permitted

  tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

  listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

  11:09:25.042479 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

  11:09:25.042702 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

  11:09:26.050452 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

  11:09:26.050765 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

  11:09:27.058459 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

  11:09:27.058701 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

  11:09:33.646514 arp who-has ylin.local tell 192.168.240.1

  11:09:33.646532 arp reply ylin.local is-at 00:19:21:1d:75:e6 (oui Unknown)

  本例中利用arping -c 4 192.168.240.1发生arp请求和吸收承诺报文,,而tcpdump -p 'arp'匹配出来了。此处-p选项是使网络事情于正常模式(非稠浊模式),这样是利便查察匹配功效。

  (3)匹配IP包

  众所周知,IP协议是TCP/IP协议中最重要的协议之一,正是因为它才气把Internet互联起来,它可谓功不行没,下面阐明匹配IP包的表达式。

  对IP举办匹配

  tcpdump 'ip src 192.168.240.69'

  [email protected]:~$ sudo tcpdump -c 3 'ip src 192.168.240.69'

  tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

  listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

  11:20:00.973605 IP ylin.local.51486 > walnut.crossbeamsys.com.ssh: S 2706301341:2706301341(0) win 5840

  11:20:00.974328 IP ylin.local.32849 > 192.168.200.150.domain: 5858+ PTR? 20.200.168.192.in-addr.arpa. (45)

  11:20:01.243490 IP ylin.local.51486 > walnut.crossbeamsys.com.ssh: . ack 2762262674 win 183

  IP广播组播数据包匹配:只需指明广播或组播地点即可

  tcpdump 'ip dst 240.168.240.255'

  [email protected]:~$ sudo tcpdump 'ip dst 192.168.240.255'

  tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

  listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

  11:25:29.690658 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 1, length 64

  11:25:30.694989 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 2, length 64

  11:25:31.697954 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 3, length 64

  11:25:32.697970 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 4, length 64

  11:25:33.697970 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 5, length 64

  11:25:34.697982 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 6, length 64

  此处匹配的是ICMP的广播包,要发生此包,只需要同一个局域网的另一台主机运行ping -b 192.168.240.255即可,虽然还可发生组播包,由于没有适合的软件举办模仿发生,在此不举例子。

  (4)匹配TCP数据包

腾讯云代理

Copyright © 2003-2021 MFISP.COM. 国外vps服务器租用 梦飞云服务器租用 版权所有 粤ICP备11019662号