Linux命令抓包如何分包

使用tcpdump可以。

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供封丘網(wǎng)站建設(shè)、封丘做網(wǎng)站、封丘網(wǎng)站設(shè)計(jì)、封丘網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、封丘企業(yè)網(wǎng)站模板建站服務(wù)，十多年封丘做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

tcpdump是一個(gè)功能強(qiáng)大的命令行數(shù)據(jù)包分析器，它是通過監(jiān)聽服務(wù)器的網(wǎng)卡來獲取數(shù)據(jù)包，所有通過網(wǎng)絡(luò)訪問的數(shù)據(jù)包都能獲取到。

它也提供了過濾器的功能，可以獲取指定的網(wǎng)絡(luò)、端口或協(xié)議的數(shù)據(jù)包程序員日常排查問題，最常用的是使用過濾器功能獲取指定端口的數(shù)據(jù)包，用來分析服務(wù)器是否收到請(qǐng)求、請(qǐng)求數(shù)據(jù)是否完整。

linux下怎么抓包

tcpdump，就可以用這個(gè)抓包了，具體使用 tcpdump -vvv -nn -port 80 -w /tmp/file，你也可以用man tcpdump 查看此命令的具體使用

在linux命令行環(huán)境下如何抓取網(wǎng)絡(luò)數(shù)據(jù)包？

? 眾所周知，在Windows下開發(fā)運(yùn)行環(huán)境下，在調(diào)試網(wǎng)絡(luò)環(huán)境時(shí)，可以可以很方便的借助wireshark等軟件進(jìn)行抓包分析；并且在linux或者Ubuntu等桌面版里也可以進(jìn)行安裝抓包工具進(jìn)行抓包分析，但總有一些情況，無法直接運(yùn)用工具（比如一些沒有界面的linux環(huán)境系統(tǒng)中），則此時(shí)我們就需要使用到最簡(jiǎn)單的tcpdump命令進(jìn)行網(wǎng)絡(luò)抓包。

? 一般的，linux下抓包時(shí)，抓取特定的網(wǎng)絡(luò)數(shù)據(jù)包到當(dāng)前文件夾下的文件中，再把文件拷貝出來利用Windows下的wireshark軟件進(jìn)行分析。

tcpdump命令詳解：（簡(jiǎn)單舉例）

? 1、抓取到的文件為filename.cap，然后將此文件拷貝到Windows下，使用wireshar打開后，即可對(duì)此文件進(jìn)行分析。

? 2、eth0 是主機(jī)的網(wǎng)絡(luò)適配器名稱，具體的參數(shù)值可以在linux命令行窗口中通過 ifconfig 指令查詢。

Linux 系統(tǒng)掃描nmap與tcpdump抓包

NMAP掃描

一款強(qiáng)大的網(wǎng)絡(luò)探測(cè)利器工具

支持多種探測(cè)技術(shù)

--ping掃描

--多端口掃描

-- TCP/IP指紋校驗(yàn)

為什么需要掃描?

以獲取一些公開/非公開信息為目的

--檢測(cè)潛在風(fēng)險(xiǎn)

--查找可攻擊目標(biāo)

--收集設(shè)備/主機(jī)/系統(tǒng)/軟件信息

--發(fā)現(xiàn)可利用的安全漏洞

基本用法

nmap [掃描類型] [選項(xiàng)] 掃描目標(biāo)...

常用的掃描類型

常用選項(xiàng)

-sS TCP SYN掃描(半開) 該方式發(fā)送SYN到目標(biāo)端口，如果收到SYN/ACK回復(fù)，那么判斷端口是開放的；如果收到RST包，說明該端口是關(guān)閉的。簡(jiǎn)單理解就是3次握手只完成一半就可以判斷端口是否打開,提高掃描速度

-sT TCP 連接掃描(全開)

-sU UDP掃描

-sP ICMP掃描

-sV 探測(cè)打開的端口對(duì)應(yīng)的服務(wù)版本信息

-A 目標(biāo)系統(tǒng)全面分析 (可能會(huì)比較慢)

-p 掃描指定端口

1 ) 檢查目標(biāo)主機(jī)是否能ping通

2）檢查目標(biāo)主機(jī)所開啟的TCP服務(wù)

3 ) 檢查192.168.4.0/24網(wǎng)段內(nèi)哪些主機(jī)開啟了FTP、SSH服務(wù)

4）檢查目標(biāo)主機(jī)所開啟的UDP服務(wù)

5 ) 探測(cè)打開的端口對(duì)應(yīng)的服務(wù)版本信息

6）全面分析目標(biāo)主機(jī)192.168.4.100的操作系統(tǒng)信息

tcpdump

命令行抓取數(shù)據(jù)包工具

基本用法

tcpdump [選項(xiàng)] [過濾條件]

常見監(jiān)控選項(xiàng)

-i，指定監(jiān)控的網(wǎng)絡(luò)接口（默認(rèn)監(jiān)聽第一個(gè)網(wǎng)卡）

-A，轉(zhuǎn)換為 ACSII 碼，以方便閱讀

-w，將數(shù)據(jù)包信息保存到指定文件

-r，從指定文件讀取數(shù)據(jù)包信息

常用的過濾條件：

類型：host、net、port、portrange

方向：src、dst

協(xié)議：tcp、udp、ip、wlan、arp、……

多個(gè)條件組合：and、or、not

案例1

案例2:使用tcpdump分析FTP訪問中的明文交換信息

1 ) 安裝部署vsftpd服務(wù)

2 ) 并啟動(dòng)tcpdump等待抓包

執(zhí)行tcpdump命令行，添加適當(dāng)?shù)倪^濾條件，只抓取訪問主機(jī)192.168.4.100的21端口的數(shù)據(jù)通信 ，并轉(zhuǎn)換為ASCII碼格式的易讀文本。

3 ) case100作為客戶端訪問case254服務(wù)端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w選項(xiàng)可以將抓取的數(shù)據(jù)包另存為文件，方便后期慢慢分析。

6 ) tcpdump命令的-r選項(xiàng)，可以去讀之前抓取的歷史數(shù)據(jù)文件

Linux下如何抓指定IP的包

用tcpdum命令可以抓指定IP的包，具體命令為：

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

參數(shù)解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置，用來過濾數(shù)據(jù)報(bào)的類型。

-i eth1 : 只抓經(jīng)過接口eth1的包

-t : 不顯示時(shí)間戳

-s 0 : 抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長(zhǎng)度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包

-c 100 : 只抓取100個(gè)數(shù)據(jù)包

dst port? 22 : 抓取目標(biāo)端口是22的數(shù)據(jù)包

src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

擴(kuò)展資料

tcpdump語法格式：

tcpdump [-adeflnNOpqStvx][-c數(shù)據(jù)包數(shù)目][-dd][-ddd][-F表達(dá)文件][-i網(wǎng)絡(luò)界面][-r數(shù)據(jù)包文件][-s數(shù)據(jù)包大小][-tt][-T數(shù)據(jù)包類型][-vv][-w數(shù)據(jù)包文件][輸出數(shù)據(jù)欄位]

tcpdump主要參數(shù)說明：

1、-a 嘗試將網(wǎng)絡(luò)和廣播地址轉(zhuǎn)換成名稱。

2、-c數(shù)據(jù)包數(shù)目 收到指定的數(shù)據(jù)包數(shù)目后，就停止進(jìn)行傾倒操作。

3、-d 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成可閱讀的格式，并傾倒到標(biāo)準(zhǔn)輸出。

4、-dd 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成C語言的格式，并傾倒到標(biāo)準(zhǔn)輸出。

5、-ddd 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成十進(jìn)制數(shù)字的格式，并傾倒到標(biāo)準(zhǔn)輸出。

6、-e 在每列傾倒資料上顯示連接層級(jí)的文件頭。

7、-f 用數(shù)字顯示網(wǎng)際網(wǎng)絡(luò)地址。

8、-F表達(dá)文件 指定內(nèi)含表達(dá)方式的文件。

9、-i網(wǎng)絡(luò)界面 使用指定的網(wǎng)絡(luò)截面送出數(shù)據(jù)包。

10、-l 使用標(biāo)準(zhǔn)輸出列的緩沖區(qū)。

11、-n 不把主機(jī)的網(wǎng)絡(luò)地址轉(zhuǎn)換成名字。

12、-N 不列出域名。