整理1-tcpdump+nmap+wireshark

发布时间:2020-06-24 17:50:21 作者:TIMES2020
来源:网络 阅读:1348

 最近开始整理以前经常用到的工具和方法,今天把如下几个工具要点整理了下,这在系统运维网络分析中经常会用到。很实用。


分为两部分,

第一部分是自己出的自测训练题,均在机器上跑过。

第二部分,是粗略的知识要点,对于处理大部分网络分析已经够用了。



1-训练:


  1. 1.tcpdump  eth0 接口 192.168.100.178 过来的所有包,并保存为pcap 文件供wireshark 分析。

 tcpdump -i eth0  host 192.168.100.178  -w 178.pcap

 


  1. 2.tcpdumpeth0 接口目的地址为 192.168.100.178 80 端口的所有包

tcpdump -i eth0  host 192.168.100.178  and dst port 22  -nn

 

  1. 3.tcpdumpetho接口源地址为192.168.100.178 ssh 协议的所有包

tcpdump -i eth0 src   host 192.168.100.178  and tcp dst  port 22  -nn



4.tcpdump eth0 接口192.168.100.178 所有udp 协议包。

 tcpdump -i eth0  host 192.168.100.178      and udp port 23

 


5.想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump -i eth0  host 192.168.0.128       and  \(192.168.200.6 or 192.168.200.5\) -nn

 



wireshark 表达式:

  1. 1.显示wireshark  到192.168.0.128 的所有流量包

ip.addr==192.168.0.128 and tcp.port ==22

 

  1. 2.显示wireshark 到192.168.0.128 ssh 协议所有流量

 ip.addr==192.168.0.128 and tcp.port ==22

 

  1. 3.筛选某一网站的http 协议流量

http

 

  1. 4.过滤某一源地址及目的地址  的指定协议端口。

Ip.src==192.168.100.178and  tcp.dstport ==80


  1. 5.过滤 http 请求头为 get 的流量包

http.request.method== "GET"

 

 

nmap 规则:

 

  1. 1.扫描某台主机192.168.100.178  开放了那些端口

nmap -O 192.168.100.178  /nmap-sV 192.168.100.178

 

2.扫描 192.168.100.0/24 网段有哪些Ip 已经使用

Nmap  -sP 192.168.100.0/24

 

3.扫描192.168.200/0/24 网段有那些机器开放了80,3306 端口

Nmap  -sU 192.168.0.0/24  -p 80,3306   -s[scan][类型

nmap -sS 192.168.0.0/24  -p 80,3306

]


  1. 4.扫描 某一网段主机是否开启了udp 端口

 Nmap  -sU 192.168.0.0/24  -p 80,3306

 


5. 组合扫描(不ping、软件版本、内核版本、详细信息)
nmap -P0 -sV -O -v 192.168.30.251

 




2-要点:



Tcpdump 要点:

第一种是关于类型的关键字,主要包括host,net,port

第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src

第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型

 

三种类型内部之间必须用表达式and,or ,not 进行分隔。

 

如果我们只需要列出送到80端口的数据包,用dst port;如果我们只希望看到返回80端口的数据包,用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80

 

 

Wireshark 过滤规则:

过滤 ip

ip.dst==10.10.10.10
ip.src==10.10.10.10
ip.addr==10.10.10.10

等号可以用 eq 替代,如 ip.dst eq 10.10.10.10

dst 表示过滤目标 ip, src 表示过滤来源 ip, addr 则同时过滤两者;

·        or 操作符可以同时使用多条过滤规则,如 ip.dst==10.10.10.10 orip.dst=10.10.10.11

过滤 端口

tcp.port==80
tcp.dstport==80
tcp.srcport==80

dstport 表示过滤目标端口,其它类似于 ip 过滤规则;

协议过滤

直接在过滤框输入协议名即可。如 http, tcp, udp, ftp 等

http 模式过滤

http.host=="www.baidu.com"
http.uri=="/img/logo-edu.gif"
http.request.method=="GET"
http.request.method=="POST"
http contains "baidu"

 

namp 规则:

-sS(TCP同步扫描(TCP SYN):发出一个TCP同步包(SYN),然后等待回对方应)

 

-sUUDP扫描:nmap首先向目标主机的每个端口发出一个0字节的UDP包,如果我们收到

端口不可达的ICMP消息,端口就是关闭的,否则我们就假设它是打开的)

 

-pports的范围)

 

-sV(对服务版本的检测)

 

最后总结下常用的nmap参数

1nmap -sP 59.69.139.0/24(扫描在线的主机)

2nmap -sS 59.69.139-10 -p 80,22,23,52-300SYN的扫描方式,可以加ip和端口的限制)
3
nmap -sV 59.69.139.1 -p1-65535(探测端口的服务和版本(Version
4
nmap -O 192.168.1.1或者nmap  -A 192.168.1.1(探测操作系统的类型和版本)

 




推荐阅读:
  1. sed用法整理
  2. Sed应用整理

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

tcpdump nmap wireshark

上一篇:pycharm激活1

下一篇:使用javascript实现前端分页效果的方法

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》