文档库

最新最全的文档下载
当前位置:文档库 > 网络嗅探、数据包分析工具

网络嗅探、数据包分析工具

网络嗅探、数据包分析工具

1、抓包工具的使用

1)tcpdump(传输/网络层)-->字符界面使用

tcpdump -i eth0

tcpdump -i eth0 -vnn

-v:显示包含有TTL,TOS值等等更详细的信息

-n:不要做IP解析为主机名

-nn:不做名字解析和端口解析

更有针对性的抓包:

针对IP,网段,端口,协议

# tcpdump -i eth0 -vnn host 192.168.0.154 --主机地址里边只要包含地址有:192.168.0.154

# tcpdump -i eth0 -vnn net 192.168.0.0/24 --抓取一个网段数据包

# tcpdump -i eth0 -vnn port 22

# tcpdump -i eth0 -vnn udp

# tcpdump -i eth0 -vnn icmp

# tcpdump -i eth0 -vnn arp

# tcpdump -i eth0 -vnn ip

eg:

# tcpdump -i eth0 -vnn host 192.168.0.179

192.168.0.182.43197 > 192.168.0.179.22: Flags [.], cksum 0x6498 (correct), ack 2773824, win 890, options [nop,nop,TS val 17226356 ecr 16232639], length 0 22:44:12.447874 IP (tos 0x10, ttl 64, id 25957, offset 0, flags [DF], proto TCP (6), length 644)

192.168.0.179.22 > 192.168.0.182.43197: Flags [P.], cksum 0x8530 (incorrect -> 0xad4b), seq 2773824:2774416, ack 2449, win 1499, options [nop,nop,TS val 16232640 ecr 17226356], length 592

22:44:12.448580 IP (tos 0x10, ttl 64, id 25958, offset 0, flags [DF], proto TCP (6), length 388)

# tcpdump -i eth0 -vnn src host 192.168.0.154

# tcpdump -i eth0 -vnn dst host 192.168.0.154

# tcpdump -i eth0 -vnn src port 22

# tcpdump -i eth0 -vnn src host 192.168.0.253 and dst port 22

# tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22

# tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22

2)wireshark --> 图形界面下使用

wireshark(windows sniffer)

抓取网络数据包并进行逐层分解的协议分析软件

# yum -y install wireshark-gnome wireshark

抓捉包操作:

1、在图形界面下执行wireshark &

2、指定抓包的网卡

3、执行数据包的抓取/或者指定过滤规则抓包

4、查看抓包的信息

3)iptraf

IPTraf 是一个基于控制台的网络监视工具,主要用于收集TCP 连接包和字节计数、接口统计和活动指示、TCP/UDP 交通分析、以及LAN 站点包和字节计数之类的数据。IPTraf 的功能包括:

1.一个显示TCP 标志信息、包和字节计数、ICMP 细节、OSPF 包类型、以及超大IP包警告的IP 通信监视器

2.显示IP、TCP、UDP、ICMP、非IP 及其它IP 包计数,IP 查验值错误,界面接口活动及包大小计数的接口统计

3.一个为公用TCP 和UDP 程序端口显示进入和出去的包计数的TCP 和UDP 服务监视器

4.一个发现活跃主机并显示它们的活动统计的LAN 统计模块

5.TCP、UDP 和其它协议显示过滤器(因而您可以只查看您想看的通信数据)

6.记录日志

7.对以太网、FDDI、ISDN、SLIP、PPP、和回环接口的支持

8.对Linux内核的内建原始套接字界面的利用,因而它能够在类型广泛的被支持的网卡上使用

安装:

# yum -y install iptraf

使用:

1)按IP数据连接查看eth0网卡中的数据通信情况

# iptraf -i eth0

2)按不同网络接口查看系统中的总体数据通信情况

# iptraf -g

3)按TCP、UDP协议分别查看数据通信情况

# iptraf s eth0

4)按数据包大小查看eth0网卡中的数据通信情况

# iptraf z eth0

5)查看eth0网卡中各类网络通信数据的详细统计信息,并写入到日志文件

# iptraf -d eth0 -L /var/log/iptraf/traflog.eth0

4)iftop

a)、安装:

# wget

ftp://http://www.wendangku.net/doc/95940359a1c7aa00b42acb87.html/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hyqhy q_3:/branches:/home:/Warhammer40k:/some_stuff/CentOS_CentOS-6/x86_64/ifto p-0.99.2-144.1.x86_64.rpm

# yum -y localinstall iftop-0.99.2-144.1.x86_64.rpm

b)、常用参数了解

-i设定监测的网卡,如:# iftop -i eth1

-B 以bytes为单位显示流量(默认是bits),如:# iftop -B

-n使host信息默认直接都显示IP,如:# iftop -n

-N使端口信息默认直接都显示端口号,如: # iftop -N

-F显示特定网段的进出流量,如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0 -h(display this message),帮助,显示参数信息

-p使用这个参数后,中间的列表显示的本地主机信息,出现了本机以外的IP信息;

-b使流量图形条默认就显示;

-f这个暂时还不太会用,过滤计算包用的;

-P使host信息及端口信息默认就都显示;

-m设置界面最上边的刻度的最大值,刻度分五个大段显示,例:# iftop -m 100M

c)、示例

执行了iftop -N -n -i eth0 之后

网络嗅探、数据包分析工具

说明:

第一行:带宽显示

中间部分:外部连接列表,即记录了哪些ip正在和本机的网络连接

中间部分右边:实时参数分别是该访问ip连接到本机2秒,10秒和40秒的平均流量=>代表发送数据,<= 代表接收数据

底部三行:表示发送,接收和全部的流量

底部三行第二列:为你运行iftop到目前流量

底部三行第三列:为高峰值

底部三行第四列:为平均值

TX:发送流量

RX:接收流量

TOTAL:总流量

Cumm:运行iftop到目前时间的总流量

peak:流量峰值

rates:分别表示过去2s 10s 40s 的平均流量

通过iftop的界面很容易找到哪个ip在霸占网络流量,这个是ifstat做不到的。不过iftop的流量显示单位是Mb,这个b是bit,是位,不是字节,而ifstat的KB,这个B就是字节了,byte是bit的8倍。初学者容易被误导。

2、nmap --网络/主机扫描探测的命令行软件

nmap [扫描类型] [选项] 扫描目标

常用的扫描类型

-sS TCP SYN半扫描

-sT TCP连接扫描

-P0 忽略ping测试反馈结果

-sP ping目标主机

-sU UDP扫描

-O 尝试探测操作系统类型

常用的命令选项

-p 指定扫描的目标端口

-n 不进行反向DNS解析

-oN 可以把扫描的结果输出到指定的文件夹

# yum -y install nmap

# nmap -sS -n -p 21 192.168.0.0/24

扫描192.168.0.0/24网络中哪些主机开了FTP(21号端口)服务

Nmap scan report for 192.168.1.107

Host is up (0.00076s latency).

PORT STATE SERVICE

21/tcp open ftp

MAC Address: 00:0C:29:7E:A2:65 (VMware)

# nmap -n -p T:21-25,80,110,3128,3389 -sS 192.168.0.10 192.168.0.1 # nmap -sT -P0 192.168.0.1

# nmap -O 192.168.0.254

# nmap -sP -oN ipandmaclist.txt 192.168.1.0/24

# nmap -sU -PU -p 1-65535 localhost

# nmap -P0 -sS -sU -PU -p 1-65535 -O 192.168.0.110

# vim ipandmaclist.txt --删除一些不需要的注释行然后再处理

# cat ipandmaclist.txt | grep -oE '((.){2}\:){5}(.){2}' > b.txt

# cat ipandmaclist.txt | grep -oE '(([0-9]){1,3}\.){3}[0-9]{1,3}'> a.txt # paste a.txt b.txt > /etc/ethers