最近开始整理以前经常用到的工具和方法,今天把如下几个工具要点整理了下,这在系统运维网络分析中经常会用到。很实用。
分为两部分,
第一部分是自己出的自测训练题,均在机器上跑过。
第二部分,是粗略的知识要点,对于处理大部分网络分析已经够用了。
1-训练:
1.tcpdump eth0 接口 192.168.100.178 过来的所有包,并保存为pcap 文件供wireshark 分析。
tcpdump -i eth0 host 192.168.100.178 -w 178.pcap
2.tcpdumpeth0 接口目的地址为 192.168.100.178 80 端口的所有包
tcpdump -i eth0 host 192.168.100.178 and dst port 22 -nn
3.tcpdumpetho接口源地址为192.168.100.178 ssh 协议的所有包
tcpdump -i eth0 src host 192.168.100.178 and tcp dst port 22 -nn
4.tcpdump eth0 接口192.168.100.178 所有udp 协议包。
tcpdump -i eth0 host 192.168.100.178 and udp port 23
5.想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump -i eth0 host 192.168.0.128 and \(192.168.200.6 or 192.168.200.5\) -nn
wireshark 表达式:
1.显示wireshark 到192.168.0.128 的所有流量包
ip.addr==192.168.0.128 and tcp.port ==22
2.显示wireshark 到192.168.0.128 ssh 协议所有流量
ip.addr==192.168.0.128 and tcp.port ==22
3.筛选某一网站的http 协议流量
http
4.过滤某一源地址及目的地址 的指定协议端口。
Ip.src==192.168.100.178and tcp.dstport ==80
5.过滤 http 请求头为 get 的流量包
http.request.method== "GET"
nmap 规则:
1.扫描某台主机192.168.100.178 开放了那些端口
nmap -O 192.168.100.178 /nmap-sV 192.168.100.178
2.扫描 192.168.100.0/24 网段有哪些Ip 已经使用
Nmap -sP 192.168.100.0/24
3.扫描192.168.200/0/24 网段有那些机器开放了80,3306 端口
Nmap -sU 192.168.0.0/24 -p 80,3306 -s[scan][类型
nmap -sS 192.168.0.0/24 -p 80,3306
]
4.扫描 某一网段主机是否开启了udp 端口
Nmap -sU 192.168.0.0/24 -p 80,3306
5. 组合扫描(不ping、软件版本、内核版本、详细信息)
nmap -P0 -sV -O -v 192.168.30.251
2-要点:
Tcpdump 要点:
第一种是关于类型的关键字,主要包括host,net,port
第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型
三种类型内部之间必须用表达式and,or ,not 进行分隔。
如果我们只需要列出送到80端口的数据包,用dst port;如果我们只希望看到返回80端口的数据包,用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80
Wireshark 过滤规则:
过滤 ip
ip.dst==10.10.10.10
ip.src==10.10.10.10
ip.addr==10.10.10.10
等号可以用 eq 替代,如 ip.dst eq 10.10.10.10
dst 表示过滤目标 ip, src 表示过滤来源 ip, addr 则同时过滤两者;
· or 操作符可以同时使用多条过滤规则,如 ip.dst==10.10.10.10 orip.dst=10.10.10.11
过滤 端口
tcp.port==80
tcp.dstport==80
tcp.srcport==80
dstport 表示过滤目标端口,其它类似于 ip 过滤规则;
协议过滤
直接在过滤框输入协议名即可。如 http, tcp, udp, ftp 等
http 模式过滤
http.host=="www.baidu.com"
http.uri=="/img/logo-edu.gif"
http.request.method=="GET"
http.request.method=="POST"
http contains "baidu"
namp 规则:
-sS(TCP同步扫描(TCP SYN):发出一个TCP同步包(SYN),然后等待回对方应)
-sU(UDP扫描:nmap首先向目标主机的每个端口发出一个0字节的UDP包,如果我们收到
端口不可达的ICMP消息,端口就是关闭的,否则我们就假设它是打开的)
-p(ports的范围)
-sV(对服务版本的检测)
最后总结下常用的nmap参数
1、nmap -sP 59.69.139.0/24(扫描在线的主机)
2、nmap -sS 59.69.139-10 -p 80,22,23,52-300(SYN的扫描方式,可以加ip和端口的限制)
3、nmap -sV 59.69.139.1 -p1-65535(探测端口的服务和版本(Version))
4、nmap -O 192.168.1.1或者nmap -A 192.168.1.1(探测操作系统的类型和版本)
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。