抓包工具和抓包分析Word文件下载.doc
- 文档编号:3720898
- 上传时间:2023-05-02
- 格式:DOC
- 页数:6
- 大小:99.50KB
抓包工具和抓包分析Word文件下载.doc
《抓包工具和抓包分析Word文件下载.doc》由会员分享,可在线阅读,更多相关《抓包工具和抓包分析Word文件下载.doc(6页珍藏版)》请在冰点文库上搜索。
例如,”host10.2.2.2″与”srcordsthost10.2.2.2″是一样的。
Host(s):
可能的值:
net,port,host,portrange.
如果没有指定此值,则默认使用”host”关键字。
例如,”src10.1.1.1″与”srchost10.1.1.1″相同。
LogicalOperations(逻辑运算):
not,and,or.
否(“not”)具有最高的优先级。
或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
例如,
“nottcpport3128andtcpport23″与”(nottcpport3128)andtcpport23″相同。
“nottcpport3128andtcpport23″与”not(tcpport3128andtcpport23)”不同。
例子:
tcpdstport3128
//捕捉目的TCP端口为3128的封包。
ipsrchost10.1.1.1
//捕捉来源IP地址为10.1.1.1的封包。
host10.1.2.3
//捕捉目的或来源IP地址为10.1.2.3的封包。
etherhoste0-05-c5-44-b1-3c
//捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。
如果你想抓本机与所有外网通讯的数据包时,可以将这里的mac地址换成路由的mac地址即可。
srcportrange2000-2500
//捕捉来源为UDP或TCP,并且端口号在2000至2500范围内的封包。
notimcp
//显示除了icmp以外的所有封包。
(icmp通常被ping工具使用)
srchost10.7.2.12andnotdstnet10.200.0.0/16
//显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。
(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8
//捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。
srcnet192.168.0.0/24
srcnet192.168.0.0mask255.255.255.0
//捕捉源地址为192.168.0.0网络内的所有封包。
显示过滤器
snmp
||
dns
icmp
//显示SNMP或DNS或ICMP封包。
ip.addr==10.1.1.1
//显示来源或目的IP地址为10.1.1.1的封包。
ip.src!
=10.1.2.3orip.dst!
=10.4.5.6
//显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
换句话说,显示的封包将会为:
来源IP:
除了10.1.2.3以外任意;
目的IP:
任意
以及
任意;
除了10.4.5.6以外任意
=10.1.2.3andip.dst!
//显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。
同时须满足,目的IP:
tcp.port==25
//显示来源或目的TCP端口号为25的封包。
tcp.dstport==25
//显示目的TCP端口号为25的封包。
tcp.flags
//显示包含TCP标志的封包。
tcp.flags.syn==0×
02
//显示包含TCPSYN标志的封包。
如果过滤器的语法是正确的,表达式的背景呈绿色。
如果呈红色,说明表达式有误。
2.2TCPDUMP
tcpdump是一个运行在命令行下的嗅探工具。
它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。
tcpdump采用命令行方式,它的命令格式为:
tcpdump[-adeflnNOpqStvx][-c数量][-F文件名]
[-i网络接口][-r文件名][-ssnaplen]
[-T类型][-w文件名][表达式]
1.tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程
调用)和snmp(简单 网络管理协议;
)
2.tcpdump的表达式介绍
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表
达式的条件,则这个报文将会被捕获。
如果没有给出任何条件,则网络上所有的信息包将会
被截获。
在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,
net,port,例如host210.27.48.2,指明210.27.48.2是一台主机,net202.0.0.0指明
202.0.0.0是一个网络地址,port23指明端口号是23。
如果没有指定类型,缺省的类型是
host.
第二种是确定传输方向的关键字,主要包括src,dst,dstorsrc,dstandsrc,
这些关键字指明了传输的方向。
举例说明,src210.27.48.2,指明ip包中源地址是210.27.
48.2,dstnet202.0.0.0指明目的网络地址是202.0.0.0。
如果没有指明方向关键字,则
缺省是srcordst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。
Fddi指明是在
FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"
ether"
的别名,fddi和e
ther具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。
其他的几个关键字就是指明了监听的包的协议内容。
如果没有指定任何协议,则tcpdump将会
监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:
gateway,broadcast,less,
greater,还有三种逻辑运算,取非运算是'
not'
'
!
与运算是'
and'
'
&
'
;
或运算是'
o
r'
'
||'
;
这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来
说明。
(1)想要截获所有210.27.48.1的主机收到的和发出的所有的数据包:
#tcpdumphost210.27.48.1
(2)想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信,使用命令
:
(在命令行中适用 括号时,一定要
#tcpdumphost210.27.48.1and\(210.27.48.2or210.27.48.3\)
(3)如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
,使用命令:
#tcpdumpiphost210.27.48.1and!
210.27.48.2
(4)如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdumptcpport23host210.27.48.1
3.tcpdump的输出结果介绍
下面我们介绍几种典型的tcpdump命令的输出信息
(1)数据链路层头信息
使用命令#tcpdump--ehostice
ice是一台装有linux的主机,她的MAC地址是0:
90:
27:
58:
AF:
1A
H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:
0:
20:
79:
5B:
46;
上一条
命令的输出结果如下所示:
21:
50:
12.847509eth0<
8:
0:
20:
79:
5b:
460:
90:
27:
58:
af:
1aip60:
h219.33357>
ice.
telne
t0:
0(0)ack22535win8760(DF)
分析:
21:
50:
12是显示的时间,847509是ID号,eth0<
表示从网络接口eth0接受该
数据包,eth0>
表示从网络接口设备发送数据包,8:
46是主机H219的MAC地址,它
表明是从源地址H219发来的数据包.0:
1a是主机ICE的MAC地址,表示该数据包的
目的地址是ICE.ip是表明该数据包是IP数据包,60是数据包的长度,h219.33357>
telnet表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口.ack22535
表明对序列号是222535的包进行响应.win8760表明发送窗口的大小是8760.
(2)ARP包的TCPDUMP输出信息
使用命令#tcpdumparp
得到的输出结果是:
22:
32:
42.802509eth0>
arpwho-hasroutetellice(0:
1a)
42.802902eth0<
arpreplyrouteis-at0:
12:
10:
66(0:
af
:
分析:
22:
42是时间戳,802509是ID号,eth0>
表明从主机发出该数据包,arp表明是
ARP请求包,who-hasroutetellice表明是主机ICE请求主机ROUTE的MAC地址。
0:
5
8:
1a是主机ICE的MAC地址。
(3)TCP包的输出信息
用TCPDUMP捕获的TCP包的一般输出信息是:
src>
dst:
flagsdata-seqnoackwindowurgentoptions
表明从源地址到目的地址,flags是TCP包中的标志信息,S是SYN标志,F(F
IN),P(PUSH),R(RST)"
."
(没有标记);
data-seqno是数据包中的数据的顺序号,ack是
下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针.
Options是选项.
(4)UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1>
ice.port2:
udplenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机
ICE的port2端口,类型是UDP,包的长度是lenth
3抓包场景及步骤
3
3.1机顶盒抓包
如果有需要抓机顶盒交互的报文,则可以通过HUB和机顶盒连接进行抓包,可以通过windows的wireshark进行抓包,可以把所有交互的包抓下来,然后进行过滤分析,也可以通过过滤规则抓下来已经过滤后的包。
3.2Linux下抓包
软终端在通过SS5代理服务器进行接入IPTV环境时,可能需要到SS5所在的代理服务器上去抓包,抓包方式就是通过TCPDUMP命令来抓取,一般我们把与IPTV网口相关的所有包都抓下来存为PCAP文件进行分析。
抓包命令为tcpdump-ieth1-wxx.pcap,这样可以把抓过来的包保存到linux服务器的用户登录当前文件夹下,然后通过SSH传到本地进行分析,当然了也可以通过过滤规则抓包,详见TCPDUMP的常用命令。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 包工 分析