整理1-tcpdump+nmap+wireshark

 最近开始整理以前经常用到的工具和方法，今天把如下几个工具要点整理了下，这在系统运维网络分析中经常会用到。很实用。

分为两部分，

第一部分是自己出的自测训练题，均在机器上跑过。

第二部分，是粗略的知识要点，对于处理大部分网络分析已经够用了。

1-训练：

1. 1.tcpdump  eth0 接口 192.168.100.178 过来的所有包，并保存为pcap 文件供wireshark 分析。

 tcpdump -i eth0  host 192.168.100.178  -w 178.pcap

1. 2.tcpdumpeth0 接口目的地址为 192.168.100.178 80 端口的所有包

tcpdump -i eth0  host 192.168.100.178  and dst port 22  -nn

1. 3.tcpdumpetho接口源地址为192.168.100.178 ssh 协议的所有包

tcpdump -i eth0 src   host 192.168.100.178  and tcp dst  port 22  -nn

4.tcpdump eth0 接口192.168.100.178 所有udp 协议包。

 tcpdump -i eth0  host 192.168.100.178      and udp port 23

5.想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump -i eth0  host 192.168.0.128       and  \(192.168.200.6 or 192.168.200.5\) -nn

wireshark 表达式：

1. 1.显示wireshark  到192.168.0.128 的所有流量包

ip.addr==192.168.0.128 and tcp.port ==22

1. 2.显示wireshark 到192.168.0.128 ssh 协议所有流量

 ip.addr==192.168.0.128 and tcp.port ==22

1. 3.筛选某一网站的http 协议流量

http

1. 4.过滤某一源地址及目的地址  的指定协议端口。

Ip.src==192.168.100.178and  tcp.dstport ==80

1. 5.过滤 http 请求头为 get 的流量包

http.request.method== "GET"

nmap 规则：

1. 1.扫描某台主机192.168.100.178  开放了那些端口

nmap -O 192.168.100.178  /nmap-sV 192.168.100.178

2.扫描 192.168.100.0/24 网段有哪些Ip 已经使用

Nmap  -sP 192.168.100.0/24

3.扫描192.168.200/0/24 网段有那些机器开放了80,3306 端口

Nmap  -sU 192.168.0.0/24  -p 80,3306   -s[scan][类型

nmap -sS 192.168.0.0/24  -p 80,3306

]

1. 4.扫描 某一网段主机是否开启了udp 端口

 Nmap  -sU 192.168.0.0/24  -p 80,3306

5. 组合扫描(不ping、软件版本、内核版本、详细信息)
nmap -P0 -sV -O -v 192.168.30.251

2-要点：

Tcpdump 要点：

第一种是关于类型的关键字，主要包括host，net，port

第二种是确定传输方向的关键字，主要包括src，dst，dst or src，dst and src

第三种是协议的关键字，主要包括fddi，ip，arp，rarp，tcp，udp等类型

三种类型内部之间必须用表达式and,or ,not 进行分隔。

如果我们只需要列出送到80端口的数据包，用dst port；如果我们只希望看到返回80端口的数据包，用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80

Wireshark 过滤规则：

过滤 ip

ip.dst==10.10.10.10
ip.src==10.10.10.10
ip.addr==10.10.10.10

等号可以用 eq 替代，如 ip.dst eq 10.10.10.10

dst 表示过滤目标 ip, src 表示过滤来源 ip, addr 则同时过滤两者；

·        or 操作符可以同时使用多条过滤规则，如 ip.dst==10.10.10.10 orip.dst=10.10.10.11

过滤 端口

tcp.port==80
tcp.dstport==80
tcp.srcport==80

dstport 表示过滤目标端口，其它类似于 ip 过滤规则；

协议过滤

直接在过滤框输入协议名即可。如 http, tcp, udp, ftp 等

http 模式过滤

http.host=="www.baidu.com"
http.uri=="/img/logo-edu.gif"
http.request.method=="GET"
http.request.method=="POST"
http contains "baidu"

namp 规则：

-sS(TCP同步扫描(TCP SYN)：发出一个TCP同步包(SYN)，然后等待回对方应)

-sU（UDP扫描：nmap首先向目标主机的每个端口发出一个0字节的UDP包，如果我们收到

端口不可达的ICMP消息，端口就是关闭的，否则我们就假设它是打开的）

-p（ports的范围）

-sV(对服务版本的检测)

最后总结下常用的nmap参数

1、nmap -sP 59.69.139.0/24(扫描在线的主机)

2、nmap -sS 59.69.139-10 -p 80,22,23,52-300（SYN的扫描方式,可以加ip和端口的限制）
3、nmap -sV 59.69.139.1 -p1-65535（探测端口的服务和版本（Version））
4、nmap -O 192.168.1.1或者nmap  -A 192.168.1.1(探测操作系统的类型和版本)