linux 抓包分析qq号,linux下抓包号召--tcpdump的利用.
linux下抓包号召--tcpdump的利用.
(2011-07-24 02:13:00)
标签:
杂谈
例:tcpdump host 172.16.29.40 and port 4600 -X -s 500
tcpdump批准号召行措施,它的号召款式为:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 种类 ] [ -w 文件名 ] [表白式 ]
1. tcpdump的选项推荐
-a 将网络地址和广播地址改换成名字;
-d 将相称消息包的代码以人们能够会意的汇编款式给出;
-dd 将相称消息包的代码以c语言过程段的款式给出;
-ddd 将相称消息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部消息;
-f 将表面的Internet地址以数字的形式打印出来;
-l 使规范输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印工夫戳;
-v 输出一个轻微翔实的消息,例如在ip包中能够包括ttl和服务种类的消息;
-vv 输出翔实的报文消息;
-c 在收到指定的包的数目后,tcpdump就会静止;
-F 从指定的文件中读取表白式,疏忽其它的表白式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包等闲穿越-w选项发生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的种类的报文,常见的种类有rpc (长途过程
调用)和snmp(容易 网络管教协议;)
2. tcpdump的表白式推荐
表白式是一个正则表白式,tcpdump利用它作为过滤报文的条件,万一一个报文中意表
达式的条件,则这个报文将会被捉拿。万一未曾给出任何条件,则网络上所有的消息包将会
被截获。
在表白式中等闲如下几种种类的关键字,一种是关于种类的关键字,重要包括host,
net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0
指明
202.0.0.0是一个网络地址,port 23 指明端口号是23。万一未曾指定种类,缺省的种类是
host.
第二种是确定传输方向的关键字,重要包括src , dst ,dst or src, dst and src ,
这些关键字指明了传输的方向。示例解释,src 210.27.48.2 ,指明ip包中源地址是210.27.
48.2 , dst net 202.0.0.0 指明目标网络地址是202.0.0.0 。万一未曾指明方向关键字,则
缺省是src or dst关键字。
第三种是协议的关键字,重要包括fddi,ip ,arp,rarp,tcp,udp等种类。Fddi指明是在
FDDI(散布式光纤数据接口网络)上的特定的网络协议,切实上它是"ether"的别名,fddi和e
ther具有相仿的源地址和目标地址,因而能够将fddi协议包当作ether的包举行处理和分析。
其他的几个关键字即便指明了监听的包的协议内容。万一未曾指定任何协议,则tcpdump将会
监听所有协议的消息包。
除非这三种种类的关键字之外,其他重要的关键字如下:gateway, broadcast,less,
greater,还有三种逻辑计算,取非计算是 'not ' '! ',
与计算是'and','&&';或计算 是'o
r' ,'||';
这些关键字能够组合起来构成壮大的组合条件来中意人们的必需,下面举几个例子来
解释。
(1)想要截获所有210.27.48.1 的主机收到的和公布的所有的数据包:
#tcpdump host 210.27.48.1
(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,利用号召
:(在号召行中实用 括号时,定然要
#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3
/)
(3) 万一想要获得主机210.27.48.1除非和主机210.27.48.2之外所有主机通信的ip包
,利用号召:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4)万一想要获得主机210.27.48.1接收或公布的telnet包,利用如下号召:
#tcpdump tcp port 23 host 210.27.48.1
3. tcpdump 的输出收获推荐
下?**颐峭萍黾钢直瓯膖cpdump号召的输出消息
(1) 数据链路层头消息
利用号召#tcpdump --e host ice
ice 是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A
H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上一条
号召的输出收获如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46
0:90:27:58:af:1a ip 60: h219.33357 > ice.
telne
t 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是揭示的工夫, 847509是ID号,eth0
接受该
数据包,eth0 >表示从网络接口装备发送数据包,
8:0:20:79:5b:46是主机H219的MAC地址,它
阐明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的
目标地址是ICE . ip 是阐明该数据包是IP数据包,60 是数据包的长度, h219.33357 >
ice.
telnet 阐明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535
阐明对序列号是222535的包举行响应. win 8760阐明发送窗口的大小是8760www.g1sport.info.
(2) ARP包的TCPDUMP输出消息
利用号召#tcpdump arp
获得的输出收获是:
22:32:42.802509 eth0 > arp who-has route tell ice
(0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at
0:90:27:12:10:66 (0:90:27:58:af
:1a)
分析: 22:32:42是工夫戳, 802509是ID号, eth0 >阐明从主机公布该数据包,
arp阐明是
ARP哀求包, who-has route tell ice阐明是主机ICE哀求主机ROUTE的MAC地址。
0:90:27:5
8:af:1a是主机ICE的MAC地址。
(3) TCP包的输出消息
用TCPDUMP捉拿的TCP包的等闲输出消息是:
src > dst: flags data-seqno ack window urgent
options
src > dst:阐明从源地址到目标地址, flags是TCP包中的符号消息,S 是SYN符号,
F (F
IN), P (PUSH) , R (RST)
"www.theji9.info." (未曾符号);
data-seqno是数据包中的数据的次序号, ack是
下次渴望的次序号, window是接收缓存的窗口大小, urgent阐明数据包中是否有紧迫指针.
Options是选项.
(4) UDP包的输出消息
用TCPDUMP捉拿的UDP包的等闲输出消息是:
route.port1 > ice.port2: udp lenth
UDP极其容易,上面的输出行阐明从主机ROUTE的port1端口公布的一个UDP数据包到主机
ICE的port2端口,种类是UDP, 包的长度是lenth
(http://om)
代码审查是灭亡Bug最重要的措施之一,这些审查在大多数时候都尤其见效。
分享:
喜欢
0
赠金笔
加载中,请稍候......
评论加载中,请稍候...
发评论
登录名: 密码: 找回密码 注册记住登录状态
昵 称:
评论并转载此博文
发评论
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。
linux 抓包分析qq号,linux下抓包号召--tcpdump的利用.相关推荐
- linux怎么抓sip包,Ubuntu下使用Wireshark进行抓包分析(含SIP和RTP包)
遇到需要在Linux下抓包分析的问题,便用到了wireshark,非常强大的抓包分析软件,直接在系统里面安装,然后使用明亮抓包即可! 我这里用的是Ubuntuserver版,执行安装: 1.apt-g ...
- 抓包分析,一条Linux命令实现路由器自动登录深大校园网认证(Drcom Pt版)
先说结论,通过抓包分析简化最后可以得出,其登录过程只是一个简单的向服务器发送HTTP GET请求或HTTP POST请求.只要在路由器启动之后自动发送一段 HTTP 请求,即可实现自动登录. 对于 G ...
- 抓包分析arp攻击Linux,从抓包分析角度分析arp攻击
什么是arp攻击? ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP ...
- linux装Windows版QQ,在Linux下完美运行Windows PC版QQ/TIM教程
对于很多开发人员来说,Linux可能是他们的主要工作环境,然而与其相矛盾的是,QQ又是他们的主要通讯工具.然而,类似于腾讯消极维护Win10 UWP版本QQ的原因,Linux版本的QQ早在2008年就 ...
- 抓包分析以太网帧和IP数据包,头部那么多东东用来干啥的,扫盲篇
目录 抓包过程 以太网帧(也叫MAC帧)首部分析 IP数据包首部分析 抓包过程 使用了 Wireshark 进行抓包,用两个最常用的 curl 和 ping 命令来演示抓包情况,开启抓包. ## 先访 ...
- qq怎么看linux教程,腾讯QQ for Linux Preview体验
好久没用Ubuntu了,也好久没去Ubuntu论坛逛了,前些时候在G-LEIZ里看到QQ要出Linux的消息,一直还没怎么关注.今天去Ubuntu论坛逛了下,发现有QQ FOR Linux下载,就在同 ...
- wireshark抓包分析怎么看进程_WireShark抓包分析
简述:本文介绍了抓包数据含义,有TCP报文.Http报文.DNS报文.如有错误,欢迎指正. 1.TCP报文 TCP是4层工业标准中的传输层协议,使用三次握手协议建立连接,面向连接的,可靠的通信.当主动 ...
- wireshark抓包分析怎么看进程_wireshark 抓包分析
10205050232 Wireshark 抓包实例分析 (一) .WireShark 的使用: (1) 启动 WireShark . (2) 启动 PC 上的 IE 浏览器. (3) 开始分组捕获: ...
- linux显示文件内容行号,linux命令显示文件内容行号|linux将内容以行号显示出来...
linux命令 显示文件内容 通过命令+文件名查看内容.如下命令可以查看.1, cat :由第一行开始显示文件内容:2,tac:从最后一行开始显示,可以看出tac与cat字母顺序相反:3,nl:显示的 ...
最新文章
- java tcp read_【Java TCP/IP Socket】TCP Socket通信中由read返回值造成的的死锁问题(含代码)(转)...
- 算法与数据结构(希尔排序)
- 递归和分治思想及其应用
- linux的wc命令源代码,linux下的wc命令的源代码
- 树莓派到手第一步:上电启动、安装中文字体、虚拟键盘、开启SSH等
- 远程桌面连接如何重启计算机,如何使用“远程桌面连接”连接到另一台计算机...
- 反常识—股票暴跌收益会更高
- 学习日记--overflow去掉滑条
- 使用docker创建属于你的ChatGPT
- 用友畅捷通T+遭受批量勒索攻击处置手册
- cv2.findContours OpenCV图形轮廓函数python
- Charindex、Patindex、Convert函数
- LHS查询和RHS查询
- 如何解决mathtype公式拉大word中行间距的问题
- 现代密码学之椭圆曲线ECC
- Spring框架(基于尚硅谷视频)
- 手游SDK-登录界面
- 炸弹人游戏(DFS||BFS)
- 屏幕下雪特效的jQuery实现
- Win7/Win8.1新装备:谷歌推64位Chrome测试版