最近開始整理以前經(jīng)常用到的工具和方法，今天把如下幾個(gè)工具要點(diǎn)整理了下，這在系統(tǒng)運(yùn)維網(wǎng)絡(luò)分析中經(jīng)常會(huì)用到。很實(shí)用。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了南通免費(fèi)建站歡迎大家使用！

分為兩部分，

第一部分是自己出的自測(cè)訓(xùn)練題，均在機(jī)器上跑過。

第二部分，是粗略的知識(shí)要點(diǎn)，對(duì)于處理大部分網(wǎng)絡(luò)分析已經(jīng)夠用了。

1-訓(xùn)練：

1. 1.tcpdump  eth0接口 192.168.100.178 過來(lái)的所有包，并保存為pcap 文件供wireshark 分析。

 tcpdump -i eth0  host 192.168.100.178  -w 178.pcap

 

1. 2.tcpdumpeth0接口目的地址為 192.168.100.178 80 端口的所有包

tcpdump -i eth0  host 192.168.100.178  and dst port 22  -nn

 

1. 3.tcpdumpetho接口源地址為192.168.100.178 ssh 協(xié)議的所有包

tcpdump -i eth0 src   host 192.168.100.178  and tcp dst  port 22  -nn

4.tcpdump eth0接口192.168.100.178 所有udp 協(xié)議包。

 tcpdump -i eth0  host 192.168.100.178      and udp port 23

 

5.想要截獲主機(jī)210.27.48.1 和主機(jī)210.27.48.2 或210.27.48.3的通信

tcpdump -i eth0  host 192.168.0.128       and  \(192.168.200.6 or 192.168.200.5\) -nn

 

wireshark表達(dá)式：

1. 1.顯示wireshark  到192.168.0.128 的所有流量包

ip.addr==192.168.0.128 and tcp.port ==22

 

1. 2.顯示wireshark 到192.168.0.128 ssh 協(xié)議所有流量

 ip.addr==192.168.0.128 and tcp.port ==22

 

1. 3.篩選某一網(wǎng)站的http 協(xié)議流量

http

 

1. 4.過濾某一源地址及目的地址  的指定協(xié)議端口。

Ip.src==192.168.100.178and  tcp.dstport ==80

1. 5.過濾 http 請(qǐng)求頭為 get 的流量包

http.request.method== "GET"

 

 

nmap規(guī)則：

 

1. 1.掃描某臺(tái)主機(jī)192.168.100.178  開放了那些端口

nmap -O 192.168.100.178  /nmap-sV 192.168.100.178

 

2.掃描 192.168.100.0/24 網(wǎng)段有哪些Ip 已經(jīng)使用

Nmap  -sP 192.168.100.0/24

 

3.掃描192.168.200/0/24 網(wǎng)段有那些機(jī)器開放了80,3306 端口

Nmap  -sU 192.168.0.0/24  -p 80,3306   -s[scan][類型

nmap -sS 192.168.0.0/24  -p 80,3306

]

1. 4.掃描 某一網(wǎng)段主機(jī)是否開啟了udp 端口

 Nmap  -sU 192.168.0.0/24  -p 80,3306

 

5.組合掃描(不ping、軟件版本、內(nèi)核版本、詳細(xì)信息)
nmap -P0 -sV -O -v 192.168.30.251

 

2-要點(diǎn)：

Tcpdump要點(diǎn)：

第一種是關(guān)于類型的關(guān)鍵字，主要包括host，net，port

第二種是確定傳輸方向的關(guān)鍵字，主要包括src，dst，dst or src，dst and src

第三種是協(xié)議的關(guān)鍵字，主要包括fddi，ip，arp，rarp，tcp，udp等類型

 

三種類型內(nèi)部之間必須用表達(dá)式and,or ,not 進(jìn)行分隔。

 

如果我們只需要列出送到80端口的數(shù)據(jù)包，用dst port；如果我們只希望看到返回80端口的數(shù)據(jù)包，用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80

 

 

Wireshark過濾規(guī)則：

過濾 ip

ip.dst==10.10.10.10
ip.src==10.10.10.10
ip.addr==10.10.10.10

等號(hào)可以用 eq 替代，如 ip.dst eq 10.10.10.10

dst表示過濾目標(biāo) ip, src 表示過濾來(lái)源 ip, addr 則同時(shí)過濾兩者；

·        or操作符可以同時(shí)使用多條過濾規(guī)則，如 ip.dst==10.10.10.10 orip.dst=10.10.10.11

過濾 端口

tcp.port==80
tcp.dstport==80
tcp.srcport==80

dstport表示過濾目標(biāo)端口，其它類似于 ip 過濾規(guī)則；

協(xié)議過濾

直接在過濾框輸入?yún)f(xié)議名即可。如 http, tcp, udp, ftp 等

http模式過濾

http.host=="www.baidu.com"
http.uri=="/img/logo-edu.gif"
http.request.method=="GET"
http.request.method=="POST"
http contains "baidu"

 

namp規(guī)則：

-sS(TCP同步掃描(TCP SYN)：發(fā)出一個(gè)TCP同步包(SYN)，然后等待回對(duì)方應(yīng))

 

-sU（UDP掃描：nmap首先向目標(biāo)主機(jī)的每個(gè)端口發(fā)出一個(gè)0字節(jié)的UDP包，如果我們收到

端口不可達(dá)的ICMP消息，端口就是關(guān)閉的，否則我們就假設(shè)它是打開的）

 

-p（ports的范圍）

 

-sV(對(duì)服務(wù)版本的檢測(cè))

 

最后總結(jié)下常用的nmap參數(shù)

1、nmap -sP 59.69.139.0/24(掃描在線的主機(jī))

2、nmap -sS 59.69.139-10 -p 80,22,23,52-300（SYN的掃描方式,可以加ip和端口的限制）
3、nmap -sV 59.69.139.1 -p1-65535（探測(cè)端口的服務(wù)和版本（Version））
4、nmap -O 192.168.1.1或者nmap  -A 192.168.1.1(探測(cè)操作系統(tǒng)的類型和版本)

 

網(wǎng)站題目：整理1-tcpdump+nmap+wireshark
文章位置：http://aaarwkj.com/article18/pdiggp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊(cè)、動(dòng)態(tài)網(wǎng)站、虛擬主機(jī)、網(wǎng)站內(nèi)鏈、定制開發(fā)、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)