日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 运维知识 > linux >内容正文

linux

Linux抓包(wireshark+tcpdump)

發(fā)布時間:2023/12/31 linux 39 豆豆
生活随笔 收集整理的這篇文章主要介紹了 Linux抓包(wireshark+tcpdump) 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

文章目錄

  • 一、Wireshark
    • 1. 安裝wireshark工具
    • 2.打開Wireshark
    • 3. Wireshark基本使用
    • 4. 抓包信息
      • 1. 抓ping程序包
        • 請求信息
        • 響應信息
        • ARP協(xié)議
      • 2. 抓TCP三次握手、四次揮手
        • 三次握手
        • 四次揮手
    • 3.抓telnet包
      • 安裝 telnet
      • 用 Woreshark抓包
  • 二、tcpdump工具
    • 1. 查看arp緩存
    • 2. tcpdump基本使用
      • 抓 ping包
      • 保存抓包數(shù)據(jù)到指定文件
      • 其它用法

一、Wireshark

Wireshark是一款圖形化的抓包軟件,在LInux和Windows下都可以下載。

1. 安裝wireshark工具

用命令安裝 wireshark相關(guān)軟件包
命令:yum -y install wireshark* -y


rpm -ql wireshark查看安裝wireshark產(chǎn)生了哪些文件

2.打開Wireshark

直接通過命令打開
wireshark


或者是圖形化頁面點開就好


3. Wireshark基本使用

點擊Interface List,就可以看到接口列表,選擇需要抓哪個網(wǎng)卡的包

這里我選擇ens33網(wǎng)卡,點擊start開始抓包

我們ping我們的主機地址,看看抓包情況

ping 工具使用的就是 ICMP協(xié)議,ICMP是IP協(xié)議的附屬協(xié)議。IP層用它來與其他主機或路由器交換錯誤報文和其他重要信息。它主要是用來提供有關(guān)通向目的地址的路徑信息。

4. 抓包信息

通過 ip.addr == [端口號]可以過濾掉無關(guān)ip

1. 抓ping程序包

請求信息

數(shù)據(jù)幀

鏈路層


網(wǎng)絡層


應用層

響應信息

因為是ping的響應,要響應給windows,所以源變成了LInux本機,目的變成了windows。
接著是協(xié)議類型,ping的請求是8,響應變成了0

ARP協(xié)議

2. 抓TCP三次握手、四次揮手

三次握手

通過 Xshell連接Linux虛擬機

四次揮手


3.抓telnet包

安裝 telnet

telnet是和ssh類似的,都是用來遠程登錄Linux服務器,ssh的端口號是22,telnet的端口號是23

安裝命令:yum -y install telnet-server

安裝完后要啟動服務

命令:systemctl start telnet.socket


查看是否有telnet服務的端口號
命令:netstat -nltp | grep :23


查看該應用產(chǎn)生哪些文件


測試telnet
測試時記得開發(fā)23端口或者關(guān)閉防火墻
關(guān)閉防火墻命令:systemctl stop firewalld
添加端口號:firewall-cmd --zone=public --add-port=[端口號]
注意:telnet 默認是不允許root用戶登錄的,只能登錄普通用戶

用 Woreshark抓包

抓包后發(fā)現(xiàn),telnet傳輸?shù)氖敲魑臄?shù)據(jù)。仔細找還能看到密碼,所以這個命令基本是被淘汰了

二、tcpdump工具

tcpdump是 Linux下的抓包工具,但它是命令行的操作。用起來沒有Wireshark方便

ARP:(地址解析協(xié)議IP-MAC)和RARP(逆地址解析協(xié)議MAC-IP)是某些網(wǎng)絡接口(如以太網(wǎng))使用的特殊協(xié)議,用來轉(zhuǎn)換IP層和網(wǎng)絡接口層使用的地址下層協(xié)議給上層協(xié)議提供了一些功能支撐,上層協(xié)議要依賴下層協(xié)議

1. 查看arp緩存

命令:arp -n
作用:查看arp緩存

arp緩存里記錄了,我的主機曾經(jīng)向拿臺主機要過MAC地址

刪除arp緩存
命令:arp -d [ip]

2. tcpdump基本使用

常用語法:tcpdump -i [網(wǎng)卡名] -nn host [主機ip]

  • -i :指定網(wǎng)絡接口,對于多個網(wǎng)絡接口有用
  • -n :顯示IP地址,不查主機名。當DNS不起作用時常用到這個參數(shù)
  • -nn :不顯示協(xié)議和端口名。即顯示IP地址和端口

抓 ping包



每次詢問的MAC地址都會保存到,arp緩存里

保存抓包數(shù)據(jù)到指定文件

通過 -w 選項可以將抓包數(shù)據(jù)保存到指定文件里,再通過Woreshark打開

命令:tcpdump -i [網(wǎng)卡名] -nn host [主機ip] -w [文件名]


找到保存抓包信息的文件,打開

其它用法

下面的命令可以查看所有送到主機hostname的數(shù)據(jù)包
tcpdump -i eth0 dst host [主機ip]

總結(jié)

以上是生活随笔為你收集整理的Linux抓包(wireshark+tcpdump)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯,歡迎將生活随笔推薦給好友。