TCPDUMP(命令行操作)-抓包、篩選、高級(jí)篩選、過程文檔記錄_第1頁
TCPDUMP(命令行操作)-抓包、篩選、高級(jí)篩選、過程文檔記錄_第2頁
TCPDUMP(命令行操作)-抓包、篩選、高級(jí)篩選、過程文檔記錄_第3頁
TCPDUMP(命令行操作)-抓包、篩選、高級(jí)篩選、過程文檔記錄_第4頁
TCPDUMP(命令行操作)-抓包、篩選、高級(jí)篩選、過程文檔記錄_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

TCPDUMP

No-GUI的抓包分析工具

Linux、Unix系統(tǒng)默認(rèn)安裝TCPdump—–抓包

抓包

默認(rèn)只抓68個(gè)字節(jié)

tcpdump-ieth0-s0-wfile.pcap

tcpdump-ieth0port22

讀取抓包文件

Tcpdump-rfile.pcap選項(xiàng)介紹-A以ASCII格式打印出所有分組,并將鏈路層的頭最小化。

-c在收到指定的數(shù)量的分組后,tcpdump就會(huì)停止。

-C在將一個(gè)原始分組寫入文件之前,檢查文件當(dāng)前的大小是否超過了參數(shù)file_size中指定的大小。如果超過了指定大小,則關(guān)閉當(dāng)前文件,然后在打開一個(gè)新的文件。參數(shù)file_size的單位是兆字節(jié)(是1,000,000字節(jié),而不是1,048,576字節(jié))。

-d將匹配信息包的代碼以人們能夠理解的匯編格式給出。

-dd將匹配信息包的代碼以c語言程序段的格式給出。

-ddd將匹配信息包的代碼以十進(jìn)制的形式給出。

-D打印出系統(tǒng)中所有可以用tcpdump截包的網(wǎng)絡(luò)接口。

-e在輸出行打印出數(shù)據(jù)鏈路層的頭部信息。

-E用spi@ipaddralgo:secret解密那些以addr作為地址,并且包含了安全參數(shù)索引值spi的IPsecESP分組。

-f將外部的Internet地址以數(shù)字的形式打印出來。

-F從指定的文件中讀取表達(dá)式,忽略命令行中給出的表達(dá)式。

-i指定監(jiān)聽的網(wǎng)絡(luò)接口。

-l使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式,可以把數(shù)據(jù)導(dǎo)出到文件。

-L列出網(wǎng)絡(luò)接口的已知數(shù)據(jù)鏈路。

-m從文件module中導(dǎo)入SMIMIB模塊定義。該參數(shù)可以被使用多次,以導(dǎo)入多個(gè)MIB模塊。

-M如果tcp報(bào)文中存在TCP-MD5選項(xiàng),則需要用secret作為共享的驗(yàn)證碼用于驗(yàn)證TCP-MD5選選項(xiàng)摘要(詳情可參考RFC2385)。

-b在數(shù)據(jù)-鏈路層上選擇協(xié)議,包括ip、arp、rarp、ipx都是這一層的。

-n不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字。

-nn不進(jìn)行端口名稱的轉(zhuǎn)換。

-N不輸出主機(jī)名中的域名部分。例如,‘‘只輸出’nic‘。

-t在輸出的每一行不打印時(shí)間戳。

-O不運(yùn)行分組分組匹配(packet-matching)代碼優(yōu)化程序。

-P不將網(wǎng)絡(luò)接口設(shè)置成混雜模式。

-q快速輸出。只輸出較少的協(xié)議信息。

-r從指定的文件中讀取包(這些包一般通過-w選項(xiàng)產(chǎn)生)。

-S將tcp的序列號(hào)以絕對(duì)值形式輸出,而不是相對(duì)值。

-s從每個(gè)分組中讀取最開始的snaplen個(gè)字節(jié),而不是默認(rèn)的68個(gè)字節(jié)。

-T將監(jiān)聽到的包直接解釋為指定的類型的報(bào)文,常見的類型有rpc遠(yuǎn)程過程調(diào)用)和snmp(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議;)。

-t不在每一行中輸出時(shí)間戳。

-tt在每一行中輸出非格式化的時(shí)間戳。

-ttt輸出本行和前面一行之間的時(shí)間差。

-tttt在每一行中輸出由date處理的默認(rèn)格式的時(shí)間戳。

-u輸出未解碼的NFS句柄。

-v輸出一個(gè)稍微詳細(xì)的信息,例如在ip包中可以包括ttl和服務(wù)類型的信息。

-vv輸出詳細(xì)的報(bào)文信息。

-w直接將分組寫入文件中,而不是不分析并打印出來。

root:~#tcpdump-htcpdumpversion4.3.0libpcapversion1.3.0Usage:tcpdump[-aAbdDefhHIJKlLnNOpqRStuUvxX][-Bsize][-ccount][-Cfile_size][-Ealgo:secret][-Ffile][-Gseconds][-iinterface][-jtstamptype][-Msecret][-rfile][-ssnaplen][-Ttype][-wfile][-Wfilecount][-ydatalinktype][-zcommand][-Zuser][expression]root:~#tcpdump-ieth0-s0-wa.cap//監(jiān)聽網(wǎng)絡(luò)接口字節(jié)為0保存到a.cap文件中tcpdump:listeningoneth0,link-typeEN10MB(Ethernet),capturesize65535bytes^C15packetscaptured15packetsreceicedbyfilter0packetsdroddedbykernel1234567891011121314151612345678910111213141516我們通過pingip的命令來產(chǎn)生一些SMP的數(shù)據(jù)流量??梢钥吹剑覀冏サ搅?5個(gè)數(shù)據(jù)包root:~#tcpdump-ra.cap//來讀取a.cap文件內(nèi)容11

root:~#tcpdump-A-ra.cap//以ASCII格式打印出所有的分組并且讀取此文件

root:~#tcpdump-X-ra.cap//以十六進(jìn)制格式打印出所有的分組并且讀取此文件

root:~#tcpdump-ieth0tcpport22只抓TCP,22端口的包,這里我們用nc來連一下另一臺(tái)虛擬機(jī)的22端口

TCPDUMP——篩選tcpdump-n-rhttp.cap|awk'{print$3}'|sort-u//-n是不對(duì)域名做解析,只以IP地址的形式來顯示;awk'{print$3}'顯示第三列的內(nèi)容;sort-u篩選掉重復(fù)的內(nèi)容tcpdump-nsrchost37-rhttp.cap//只有數(shù)據(jù)包的來源IP(源)37是這個(gè)的才提取tcpdump-ndsthost37-rhttp.cap//只有數(shù)據(jù)包是這個(gè)目標(biāo)地址37才顯示出來tcpdump-nport53-rhttp.cap//50端口tcpdump-nXport80-rhttp.cap//16進(jìn)制顯示80端口的信息1234512345

TCP包頭結(jié)構(gòu)如下,8個(gè)位為一個(gè)字節(jié),每一行為四個(gè)字節(jié),一共是32個(gè)位,源端口占了前面的16個(gè)位,兩個(gè)字節(jié);目的端口一樣;第四行第三列是標(biāo)簽位012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|SourcePort|DestinationPort|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|SequenceNumber|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|AcknowledgmentNuber|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Date||C|E|U|A|P|R|A|F|||Offset|Res.|W|C|R|C|S|S|Y|I|Windwos||||R|E|G|K|H|T|N|N||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Checksum|UrgentPointer|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Options|Padding|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|data|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+12345678910111213141516171819202122232425262728293031323334353637381234567891011121314151617181920212223242526272829303132333435363738tcpdump-A-n‘tcp[13]=24’-rhttp.cap//ascll碼只顯示tcp13位為24的

過程文檔記錄

Dradis

短期臨時(shí)小團(tuán)隊(duì)資源共享

各種插件導(dǎo)入文件

keepnote

Truecrypt

下面介紹一下keepnote

應(yīng)用程序—–>Office—–>KeepNote

NewNotebook

新建一個(gè)keepnote

TrueCrypt,是一款免費(fèi)開源的加密軟件,同時(shí)支持WindowsVista,7/XP,MacOSX,Linux等操作系統(tǒng)。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤,用戶可以按照盤符進(jìn)行訪問,所有虛擬磁盤上的文件都被自動(dòng)加密,需要通過密碼來進(jìn)行訪問。TrueCrypt提供多種加密算法,包括:AES-256,Blowfish(448-bitkey),CAST5,Serpent,TripleD

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論