Linux命令抓包如何分包

使用tcpdump可以。

創(chuàng)新互聯(lián)為企業(yè)級(jí)客戶提高一站式互聯(lián)網(wǎng)+設(shè)計(jì)服務(wù)，主要包括網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、App定制開發(fā)、微信小程序定制開發(fā)、宣傳片制作、LOGO設(shè)計(jì)等，幫助客戶快速提升營銷能力和企業(yè)形象，創(chuàng)新互聯(lián)各部門都有經(jīng)驗(yàn)豐富的經(jīng)驗(yàn)，可以確保每一個(gè)作品的質(zhì)量和創(chuàng)作周期，同時(shí)每年都有很多新員工加入，為我們帶來大量新的創(chuàng)意。 

tcpdump是一個(gè)功能強(qiáng)大的命令行數(shù)據(jù)包分析器，它是通過監(jiān)聽服務(wù)器的網(wǎng)卡來獲取數(shù)據(jù)包，所有通過網(wǎng)絡(luò)訪問的數(shù)據(jù)包都能獲取到。

它也提供了過濾器的功能，可以獲取指定的網(wǎng)絡(luò)、端口或協(xié)議的數(shù)據(jù)包程序員日常排查問題，最常用的是使用過濾器功能獲取指定端口的數(shù)據(jù)包，用來分析服務(wù)器是否收到請(qǐng)求、請(qǐng)求數(shù)據(jù)是否完整。

Linux 系統(tǒng)掃描nmap與tcpdump抓包

NMAP掃描

一款強(qiáng)大的網(wǎng)絡(luò)探測利器工具

支持多種探測技術(shù)

--ping掃描

--多端口掃描

-- TCP/IP指紋校驗(yàn)

為什么需要掃描?

以獲取一些公開/非公開信息為目的

--檢測潛在風(fēng)險(xiǎn)

--查找可攻擊目標(biāo)

--收集設(shè)備/主機(jī)/系統(tǒng)/軟件信息

--發(fā)現(xiàn)可利用的安全漏洞

基本用法

nmap [掃描類型] [選項(xiàng)] 掃描目標(biāo)...

常用的掃描類型

常用選項(xiàng)

-sS TCP SYN掃描(半開) 該方式發(fā)送SYN到目標(biāo)端口，如果收到SYN/ACK回復(fù)，那么判斷端口是開放的；如果收到RST包，說明該端口是關(guān)閉的。簡單理解就是3次握手只完成一半就可以判斷端口是否打開,提高掃描速度

-sT TCP 連接掃描(全開)

-sU UDP掃描

-sP ICMP掃描

-sV 探測打開的端口對(duì)應(yīng)的服務(wù)版本信息

-A 目標(biāo)系統(tǒng)全面分析 (可能會(huì)比較慢)

-p 掃描指定端口

1 ) 檢查目標(biāo)主機(jī)是否能ping通

2）檢查目標(biāo)主機(jī)所開啟的TCP服務(wù)

3 ) 檢查192.168.4.0/24網(wǎng)段內(nèi)哪些主機(jī)開啟了FTP、SSH服務(wù)

4）檢查目標(biāo)主機(jī)所開啟的UDP服務(wù)

5 ) 探測打開的端口對(duì)應(yīng)的服務(wù)版本信息

6）全面分析目標(biāo)主機(jī)192.168.4.100的操作系統(tǒng)信息

tcpdump

命令行抓取數(shù)據(jù)包工具

基本用法

tcpdump [選項(xiàng)] [過濾條件]

常見監(jiān)控選項(xiàng)

-i，指定監(jiān)控的網(wǎng)絡(luò)接口（默認(rèn)監(jiān)聽第一個(gè)網(wǎng)卡）

-A，轉(zhuǎn)換為 ACSII 碼，以方便閱讀

-w，將數(shù)據(jù)包信息保存到指定文件

-r，從指定文件讀取數(shù)據(jù)包信息

常用的過濾條件：

類型：host、net、port、portrange

方向：src、dst

協(xié)議：tcp、udp、ip、wlan、arp、……

多個(gè)條件組合：and、or、not

案例1

案例2:使用tcpdump分析FTP訪問中的明文交換信息

1 ) 安裝部署vsftpd服務(wù)

2 ) 并啟動(dòng)tcpdump等待抓包

執(zhí)行tcpdump命令行，添加適當(dāng)?shù)倪^濾條件，只抓取訪問主機(jī)192.168.4.100的21端口的數(shù)據(jù)通信 ，并轉(zhuǎn)換為ASCII碼格式的易讀文本。

3 ) case100作為客戶端訪問case254服務(wù)端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w選項(xiàng)可以將抓取的數(shù)據(jù)包另存為文件，方便后期慢慢分析。

6 ) tcpdump命令的-r選項(xiàng)，可以去讀之前抓取的歷史數(shù)據(jù)文件

在linux命令行環(huán)境下如何抓取網(wǎng)絡(luò)數(shù)據(jù)包？

? 眾所周知，在Windows下開發(fā)運(yùn)行環(huán)境下，在調(diào)試網(wǎng)絡(luò)環(huán)境時(shí)，可以可以很方便的借助wireshark等軟件進(jìn)行抓包分析；并且在linux或者Ubuntu等桌面版里也可以進(jìn)行安裝抓包工具進(jìn)行抓包分析，但總有一些情況，無法直接運(yùn)用工具（比如一些沒有界面的linux環(huán)境系統(tǒng)中），則此時(shí)我們就需要使用到最簡單的tcpdump命令進(jìn)行網(wǎng)絡(luò)抓包。

? 一般的，linux下抓包時(shí)，抓取特定的網(wǎng)絡(luò)數(shù)據(jù)包到當(dāng)前文件夾下的文件中，再把文件拷貝出來利用Windows下的wireshark軟件進(jìn)行分析。

tcpdump命令詳解：（簡單舉例）

? 1、抓取到的文件為filename.cap，然后將此文件拷貝到Windows下，使用wireshar打開后，即可對(duì)此文件進(jìn)行分析。

? 2、eth0 是主機(jī)的網(wǎng)絡(luò)適配器名稱，具體的參數(shù)值可以在linux命令行窗口中通過 ifconfig 指令查詢。