局域网抓包工具使用教程
一、Wireshark
Wireshark是一款抓包软件,比较易用,在平常可以利用它抓包分析协议或者监控网络。Wireshark有windows和Linux版本,界面、功能基本一样,下面以Linux下Wireshark为例介绍它的使用方法,Linux使用本次网络攻防环境中的攻击机BT5。
二、启动界面
①启动界面后点击选择选择网卡,本次试验是在虚拟机下进行,如图:
②选择eth0启动
③收集到的数据包很多,需要对其过滤,选择capture -> options设置捕捉过滤器。
④在Filter一栏可以填写筛选条件,常用的命令如下:
显示目的TCP端口为3128的封包:tcp dst port 3128
显示来源IP地址为10.1.1.1的封包ip src host 10.1.1.1
显示目的或来源IP地址为10.1.2.3的封包host 10.1.2.3
显示端口号在2000至2500范围内的封包src portrange 2000-2500
显示除了icmp以外的所有封包not imcp
可以多个条件过滤:
显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包:
src host 10.7.2.12 and not dst net 10.200.0.0/16
显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包:(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
⑤对抓到的数据包进行分析:
NO.是捕获数据的编号,Time是捕获数据的相对时间,从开始捕获算为0.000秒,Source和Destination指的是数据包从源地址123.125.115.43发往目标地址192.168.200.64,Protocol指的是协议类型为TCP,数据帧的大小为60字节。
点开后可知,数据帧从源地址的80端口发往目标地址的1667端口,源地址和目标地址的mac地址也可以看出来。
⑥抓取ftp登录口令:ftp登录口令以明文方式传输
Windows下类似:
三、Tcpdump
Tcpdump也是一款功能强大的抓包软件,它不但可以分析封包的流向,连封包的内容也可以进行『监听』。Windows下windump与Linux下Tcpdump功能类似,下面以tcpdump 为例讲解下它的使用方法。
基本用法:tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae]
[-qX] [-r 档案] [所欲撷取的数据内容]
参数:
-i any : 监听所有接口,
-n : 不解析主机名
-nn : 不解析主机名和端口名
-X : 以16进制和ascii格式显示包
-XX : 和-X一样,但会显示以太网头
-v, -vv, -vvv : 获取包含信息量更多的包
-c : 获取指定数量的包,达到该数量后tcpdump停止
-S : 显示绝对序列号
-e : 获取以太网头
四、-q : 显示少量的协议信息
-E : 通过密钥来解密IPSEC交互
-s : 设置snaplength(snaplength是抓取的字节数)
常见的表示方法有:
'host foo', 'host 127.0.0.1' :针对单部主机来进行封包撷取
'net 192.168' :针对某个网域来进行封包的撷取;
'src host 127.0.0.1' 'dst net 192.168':同时加上来源(src)或目标(dst)限制
'tcp port 21':还可以针对通讯协议侦测,如tcp, udp, arp, ether 等
还可以利用and 与or 来进行封包数据的整合显示:
从10.5.2.3到端口3389的tcp交互:tcpdump -nnvvS and src 10.5.2.3 and dst port 3389 从网络192.168到网络10或172.16的交互:tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
实践过程:
打开tcpdump:
执行指令进行抓包:
运行指令tcpdump -nvX src net 192.168.0.0/16 and dst net 172.16.0.0/16进行ftp登录信息包抓取
Windump使用:在windows下打开命令提示行,进入Windump.exe存放目录,运行它,如下图所示为仅抓取udp数据包: