Linux 基礎(chǔ)教程 29-tcpdump命令-1

? ? 在Linux中輸入命令man tcpdump給出的定義如下所示：

成都創(chuàng)新互聯(lián)云計(jì)算的互聯(lián)網(wǎng)服務(wù)提供商,擁有超過(guò)13年的服務(wù)器租用、四川主機(jī)托管、云服務(wù)器、雅安服務(wù)器托管、網(wǎng)站系統(tǒng)開(kāi)發(fā)經(jīng)驗(yàn)，已先后獲得國(guó)家工業(yè)和信息化部頒發(fā)的互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)許可證。專業(yè)提供云主機(jī)、雅安服務(wù)器托管、域名注冊(cè)、VPS主機(jī)、云服務(wù)器、香港云服務(wù)器、免備案服務(wù)器等。

是不是感覺(jué)很懵？我們用通俗、形象、學(xué)術(shù)的表達(dá)方式來(lái)全方位描述tcpdump:

常用選項(xiàng)如下所示：

1、第一個(gè)抓包示例

-i : 指定用來(lái)抓包的網(wǎng)絡(luò)接口，這個(gè)參數(shù)在服務(wù)器有多個(gè)網(wǎng)卡的時(shí)候非常有效

-nn : 不轉(zhuǎn)換協(xié)議和端口號(hào)，當(dāng)tcpdump遇到協(xié)議號(hào)或端口號(hào)，不需要將這些數(shù)字轉(zhuǎn)換為對(duì)應(yīng)的協(xié)議名稱或端口名稱，如22端口SSH端口，我們希望顯示22，而非SSH

-X : 將協(xié)議頭和包內(nèi)容原原本本的顯示出來(lái),tcpdump會(huì)同時(shí)以16進(jìn)制和ASCII的形式進(jìn)行顯示，在協(xié)議分析時(shí)非常好用。

'port 22' : 告訴tcpdump要有選擇的顯示所抓到的包，在該示例中，只顯示源端口或目的端口是22的數(shù)據(jù)包，其他的數(shù)據(jù)包則不顯示。

-c : 用來(lái)指定抓包的個(gè)數(shù)，示例設(shè)置的個(gè)數(shù)為1，則代表僅抓取一個(gè)包之后就退出不再抓包了。

2、-e 增加數(shù)據(jù)鏈路層的頭部信息

? ? 通過(guò)兩個(gè)命令的輸出對(duì)比，可以看到增加-e選項(xiàng)后，輸出的結(jié)果中增加MAC地址信息。而且在輸出內(nèi)容中會(huì)有 oui Unknown ，OUI即Organizationally unique identifier(組織唯一標(biāo)識(shí)符)，在任何一塊網(wǎng)卡中燒錄的6字節(jié)MAC地址中，前3個(gè)字節(jié)體現(xiàn)了OUI，其表明了網(wǎng)卡的制造組織，通常情況下，該標(biāo)識(shí)符是唯一的。在本例中，由于沒(méi)有識(shí)別出網(wǎng)卡的制造商，因此顯示為Unknown。

3、-l 將輸出變?yōu)樾芯彌_模式

? ? -l的作用是將tcpdump的輸出行為變?yōu)?行緩沖 方式，這樣可以保證tcpdump遇到換行符，就立即將緩沖的內(nèi)容輸出到標(biāo)準(zhǔn)輸出(stdout)，方便利用管道或重定向方式進(jìn)行后續(xù)處理，而不會(huì)造成延遲。

? ? 在Linux的標(biāo)準(zhǔn)I/O中提供了 全緩沖 、 行緩沖 、 無(wú)緩沖 三種緩沖方式。標(biāo)準(zhǔn)錯(cuò)誤是不帶緩沖的，而終端設(shè)備常為行緩沖，其他默認(rèn)則為全緩沖。

? ? 在該例中，將tcpdump輸出的內(nèi)容通過(guò)管道提取第5列，可以用來(lái)查看詳細(xì)的連接信息。而如果不加 -l 選項(xiàng)時(shí)，則只有當(dāng)緩沖區(qū)全部占滿時(shí)，tcpdump才會(huì)將緩沖區(qū)中的內(nèi)容輸出，這樣就有可能導(dǎo)致輸出不連續(xù)的，如果強(qiáng)行結(jié)束，則會(huì)影響下一行的完整性。

4、-t 輸出不加時(shí)間戳

? ? 在增加選項(xiàng) -t 選項(xiàng)后，時(shí)間23:48:03.193526就消失了。tcpdump默認(rèn)情況下是按微秒來(lái)計(jì)時(shí)，因此最一個(gè)時(shí)間精確到了第6位。

5、 -v 顯示詳細(xì)信息

? ? 在增加 -v 選項(xiàng)后，會(huì)在輸出的內(nèi)容中增加 tos 、 ttl 、 id 、 offset 、 協(xié)議編號(hào) 、 總長(zhǎng)度 等，如需要理解這些信息，就需要了解TCP/IP協(xié)議中的頭的具體定義了。

6、-F 指定過(guò)濾表達(dá)式所在的文件

? ? 在第一個(gè)示例中，命令行增加了 'port 22' ，而這一項(xiàng)就叫 過(guò)濾條件 ，如果設(shè)置了過(guò)濾條件，則tcpdump只抓取滿足過(guò)濾條件的數(shù)據(jù)包。如需要設(shè)置較為復(fù)雜的過(guò)濾條件或復(fù)用過(guò)濾條件時(shí)，這時(shí)可以將過(guò)濾條件保存為文件，然后通過(guò)-F加載該過(guò)濾文件。

7、 -w 將原始數(shù)據(jù)包信息保存到文件中

? ? 當(dāng)我們查看保存的文件時(shí)，出現(xiàn)的是亂碼。則代表無(wú)法直接查看，很有可能是二進(jìn)制文件。那么怎么查看保存的文件了？請(qǐng)看下一個(gè)示例。

7、 -r 從文件中讀取原始數(shù)據(jù)包

? ? 通過(guò)-w和-r選項(xiàng)即可實(shí)現(xiàn)抓包的錄制回放功能。

Linux 系統(tǒng)掃描nmap與tcpdump抓包

NMAP掃描

一款強(qiáng)大的網(wǎng)絡(luò)探測(cè)利器工具

支持多種探測(cè)技術(shù)

--ping掃描

--多端口掃描

-- TCP/IP指紋校驗(yàn)

為什么需要掃描?

以獲取一些公開(kāi)/非公開(kāi)信息為目的

--檢測(cè)潛在風(fēng)險(xiǎn)

--查找可攻擊目標(biāo)

--收集設(shè)備/主機(jī)/系統(tǒng)/軟件信息

--發(fā)現(xiàn)可利用的安全漏洞

基本用法

nmap [掃描類型] [選項(xiàng)] 掃描目標(biāo)...

常用的掃描類型

常用選項(xiàng)

-sS TCP SYN掃描(半開(kāi)) 該方式發(fā)送SYN到目標(biāo)端口，如果收到SYN/ACK回復(fù)，那么判斷端口是開(kāi)放的；如果收到RST包，說(shuō)明該端口是關(guān)閉的。簡(jiǎn)單理解就是3次握手只完成一半就可以判斷端口是否打開(kāi),提高掃描速度

-sT TCP 連接掃描(全開(kāi))

-sU UDP掃描

-sP ICMP掃描

-sV 探測(cè)打開(kāi)的端口對(duì)應(yīng)的服務(wù)版本信息

-A 目標(biāo)系統(tǒng)全面分析 (可能會(huì)比較慢)

-p 掃描指定端口

1 ) 檢查目標(biāo)主機(jī)是否能ping通

2）檢查目標(biāo)主機(jī)所開(kāi)啟的TCP服務(wù)

3 ) 檢查192.168.4.0/24網(wǎng)段內(nèi)哪些主機(jī)開(kāi)啟了FTP、SSH服務(wù)

4）檢查目標(biāo)主機(jī)所開(kāi)啟的UDP服務(wù)

5 ) 探測(cè)打開(kāi)的端口對(duì)應(yīng)的服務(wù)版本信息

6）全面分析目標(biāo)主機(jī)192.168.4.100的操作系統(tǒng)信息

tcpdump

命令行抓取數(shù)據(jù)包工具

基本用法

tcpdump [選項(xiàng)] [過(guò)濾條件]

常見(jiàn)監(jiān)控選項(xiàng)

-i，指定監(jiān)控的網(wǎng)絡(luò)接口（默認(rèn)監(jiān)聽(tīng)第一個(gè)網(wǎng)卡）

-A，轉(zhuǎn)換為 ACSII 碼，以方便閱讀

-w，將數(shù)據(jù)包信息保存到指定文件

-r，從指定文件讀取數(shù)據(jù)包信息

常用的過(guò)濾條件：

類型：host、net、port、portrange

方向：src、dst

協(xié)議：tcp、udp、ip、wlan、arp、……

多個(gè)條件組合：and、or、not

案例1

案例2:使用tcpdump分析FTP訪問(wèn)中的明文交換信息

1 ) 安裝部署vsftpd服務(wù)

2 ) 并啟動(dòng)tcpdump等待抓包

執(zhí)行tcpdump命令行，添加適當(dāng)?shù)倪^(guò)濾條件，只抓取訪問(wèn)主機(jī)192.168.4.100的21端口的數(shù)據(jù)通信 ，并轉(zhuǎn)換為ASCII碼格式的易讀文本。

3 ) case100作為客戶端訪問(wèn)case254服務(wù)端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w選項(xiàng)可以將抓取的數(shù)據(jù)包另存為文件，方便后期慢慢分析。

6 ) tcpdump命令的-r選項(xiàng)，可以去讀之前抓取的歷史數(shù)據(jù)文件

linux備份文件夾常用的命令有哪些？

linux備份文件夾的命令是什么?在Linux操作系統(tǒng)中，可用于備份文件夾的命令有兩個(gè)：cp命令、dump命令，本文為大家詳細(xì)介紹一下這兩個(gè)命令，希望能夠給你們帶來(lái)幫助。

1、dump命令

Linux dump命令用于備份文件系統(tǒng)。

dump為備份工具程序，可將目錄或整個(gè)文件系統(tǒng)備份至指定的設(shè)備，或備份成一個(gè)大文件。

語(yǔ)法：

dump[-cnu][-0123456789][-b

區(qū)塊大小][-B區(qū)塊數(shù)目][-d密度][-f設(shè)備名稱][-h層級(jí)][-s磁帶長(zhǎng)度][-T日期][目錄或文件系統(tǒng)]或dump[-wW]

參數(shù)：

-0123456789 備份的層級(jí)

-b區(qū)塊大小 指定區(qū)塊的大小，單位為KB

-B區(qū)塊數(shù)目 指定備份卷冊(cè)的區(qū)塊數(shù)目

-c 修改備份磁帶預(yù)設(shè)的密度與容量

-d密度 設(shè)置磁帶的密度，單位為BPI

-f設(shè)備名稱 指定備份設(shè)備

-h層級(jí) 當(dāng)備份層級(jí)等于或大于指定的層級(jí)時(shí)，將不備份用戶標(biāo)示為nodump的文件

-n 當(dāng)備份工作需要管理員介入時(shí)，向所有operator群組中的使用者發(fā)出通知

-s磁帶長(zhǎng)度 備份磁帶的長(zhǎng)度，單位為英尺

-T日期 指定開(kāi)始備份的時(shí)間與日期

-u 備份完畢后，在/etc/dumpdates中記錄備份的文件系統(tǒng)，層級(jí)，日期與時(shí)間等

-w 與-W類似，但僅顯示需要備份的文件

-W 顯示需要備份的文件及其最后一次備份的層級(jí)，時(shí)間與日期。

2、cp命令

Linux cp命令主要用于復(fù)制文件或目錄。

語(yǔ)法：

①cp [options] source dest

②cp [options] source... directory

參數(shù)：

-a 此選項(xiàng)通常在復(fù)制目錄時(shí)使用，它保留鏈接、文件屬性，并復(fù)制目錄下的所有內(nèi)容，其作用等于dpR參數(shù)組合

-d 復(fù)制時(shí)保留鏈接，這里所說(shuō)的鏈接相當(dāng)于Windows系統(tǒng)中的快捷方式

-f 覆蓋已經(jīng)存在的目標(biāo)文件而不給出提示

-i 與-f選項(xiàng)相反，在覆蓋目標(biāo)文件之前給出提示，要求用戶確認(rèn)是否覆蓋，回答y時(shí)目標(biāo)文件將被覆蓋

-p 除復(fù)制文件的內(nèi)容外，還把修改時(shí)間和訪問(wèn)權(quán)限也復(fù)制到新文件中

-r 若給出的源文件是一個(gè)目錄文件，此時(shí)將復(fù)制該目錄下所有的子目錄和文件

-l 不復(fù)制文件，只是生成鏈接文件。

文章題目：linux抓dump命令,linux dump進(jìn)程
當(dāng)前路徑：http://jinyejixie.com/article40/hojiho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、域名注冊(cè)、網(wǎng)站設(shè)計(jì)、網(wǎng)站導(dǎo)航、企業(yè)建站、做網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)