页面“Php相关软件”与“Tcpdump”之间的差异
(页面间的差异)
跳到导航
跳到搜索
docker>Evan (→日志) |
docker>Evan (→参考) |
||
| 第1行: | 第1行: | ||
| − | |||
| − | |||
| − | + | ==tcpdump== | |
| + | <pre> | ||
| + | 简介 | ||
| + | 用简单的话来定义tcpdump,就是:dump traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 | ||
| − | [[category: | + | Usage: |
| + | |||
| + | -i interface | ||
| + | -i any,这个参数是监控所有的网络端口 | ||
| + | |||
| + | host IP,监控指定IP的所有协议的数据包。 | ||
| + | -w 保存文件名 | ||
| + | -s 包切片长度 | ||
| + | -c 抓的包的数量。 | ||
| + | </pre> | ||
| + | |||
| + | ==tcpdump密码嗅探== | ||
| + | <pre> | ||
| + | 在ftp server 监听 网卡eth0 上的 21 端口 | ||
| + | |||
| + | tcpdump -i eth1 -nn -X 'port 21' | ||
| + | tcpdump: verbose output suppressed, use -v or -vv for full protocol decode | ||
| + | listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes | ||
| + | |||
| + | |||
| + | 在client login | ||
| + | |||
| + | 然后回来就可以看到了 | ||
| + | |||
| + | 10:54:16.357663 IP 192.168.10.225.41624 > 192.168.30.56.21: Flags [P.], seq 21:31, ack 97, win 229, options [nop,nop,TS val 90850575 ecr 2797412999], length 10 | ||
| + | 0x0000: 4500 003e f19b 4000 3f06 9fb4 c0a8 0ae1 E..>..@.?....... | ||
| + | 0x0010: c0a8 1e38 a298 0015 df4f e322 519f d76e ...8.....O."Q..n | ||
| + | 0x0020: 8018 00e5 ece9 0000 0101 080a 056a 450f .............jE. | ||
| + | 0x0030: a6bd 2287 5553 4552 2066 7470 0d0a ..".USER.ftp.. | ||
| + | |||
| + | |||
| + | 10:54:16.358016 IP 192.168.10.225.41624 > 192.168.30.56.21: Flags [P.], seq 31:48, ack 131, win 229, options [nop,nop,TS val 90850575 ecr 2797412999], length 17 | ||
| + | 0x0000: 4500 0045 f19c 4000 3f06 9fac c0a8 0ae1 E..E..@.?....... | ||
| + | 0x0010: c0a8 1e38 a298 0015 df4f e32c 519f d790 ...8.....O.,Q... | ||
| + | 0x0020: 8018 00e5 dc39 0000 0101 080a 056a 450f .....9.......jE. | ||
| + | 0x0030: a6bd 2287 5041 5353 2065 7661 6e32 3233 ..".PASS.evan223 | ||
| + | 0x0040: 3335 350d 0a 355.. | ||
| + | |||
| + | 可见 可见 ftp软件为 vsftp , ftp 用户 为 ftp 密码为 evan223355 | ||
| + | </pre> | ||
| + | |||
| + | =例子= | ||
| + | <pre> | ||
| + | #自动生成分析文件 起因 连接 qq的相关业务老是timeout | ||
| + | tcpdump host domain -w tcp | ||
| + | |||
| + | |||
| + | 抓取所有经过eth1,目的或源地址是192.168.1.1的网络数据 | ||
| + | tcpdump -i eth1 host 192.168.1.1 | ||
| + | |||
| + | 指定源地址 | ||
| + | tcpdump -i eth1 src host 192.168.1.1 | ||
| + | |||
| + | 指定目的地址 | ||
| + | tcpdump -i eth1 dst host 192.168.1.1 | ||
| + | </pre> | ||
| + | |||
| + | =参考= | ||
| + | |||
| + | [http://blog.linuxchina.net/?p=2454 大话tcpdump] | ||
| + | |||
| + | [http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html Linux tcpdump命令详解] | ||
| + | |||
| + | [http://linuxwiki.github.io/NetTools/tcpdump.html tcpdump使用技巧] | ||
| + | |||
| + | [http://www.cnblogs.com/havenshen/p/3850167.html KeepAlive详解] | ||
| + | |||
| + | [http://blog.linuxchina.net/?p=3529 tcpdump密码嗅探] | ||
| + | |||
| + | [http://blog.csdn.net/whuslei/article/details/6667471 TCP协议中的三次握手和四次挥手(图解)] | ||
| + | |||
| + | [[category:ops]] [[category:linux]] | ||
2018年3月2日 (五) 03:45的版本
tcpdump
简介 用简单的话来定义tcpdump,就是:dump traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Usage: -i interface -i any,这个参数是监控所有的网络端口 host IP,监控指定IP的所有协议的数据包。 -w 保存文件名 -s 包切片长度 -c 抓的包的数量。
tcpdump密码嗅探
在ftp server 监听 网卡eth0 上的 21 端口 tcpdump -i eth1 -nn -X 'port 21' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 在client login 然后回来就可以看到了 10:54:16.357663 IP 192.168.10.225.41624 > 192.168.30.56.21: Flags [P.], seq 21:31, ack 97, win 229, options [nop,nop,TS val 90850575 ecr 2797412999], length 10 0x0000: 4500 003e f19b 4000 3f06 9fb4 c0a8 0ae1 E..>..@.?....... 0x0010: c0a8 1e38 a298 0015 df4f e322 519f d76e ...8.....O."Q..n 0x0020: 8018 00e5 ece9 0000 0101 080a 056a 450f .............jE. 0x0030: a6bd 2287 5553 4552 2066 7470 0d0a ..".USER.ftp.. 10:54:16.358016 IP 192.168.10.225.41624 > 192.168.30.56.21: Flags [P.], seq 31:48, ack 131, win 229, options [nop,nop,TS val 90850575 ecr 2797412999], length 17 0x0000: 4500 0045 f19c 4000 3f06 9fac c0a8 0ae1 E..E..@.?....... 0x0010: c0a8 1e38 a298 0015 df4f e32c 519f d790 ...8.....O.,Q... 0x0020: 8018 00e5 dc39 0000 0101 080a 056a 450f .....9.......jE. 0x0030: a6bd 2287 5041 5353 2065 7661 6e32 3233 ..".PASS.evan223 0x0040: 3335 350d 0a 355.. 可见 可见 ftp软件为 vsftp , ftp 用户 为 ftp 密码为 evan223355
例子
#自动生成分析文件 起因 连接 qq的相关业务老是timeout tcpdump host domain -w tcp 抓取所有经过eth1,目的或源地址是192.168.1.1的网络数据 tcpdump -i eth1 host 192.168.1.1 指定源地址 tcpdump -i eth1 src host 192.168.1.1 指定目的地址 tcpdump -i eth1 dst host 192.168.1.1
