一、抓包并保存
Linux下最方便就是tcpdump,ethreal带的命令行工具没有试过;
tcpdump采集的包可以用-w保存(注意先用-s参数设置snaplen)
当需要支持正则表达式匹配的时候, 可以考虑ngrep这个grep的网络版替代tcpdump
二、转换包格式
ethreal的包格式转换功能比较好,可以转换libcap、sniffer等各种格式
三、分析数据包
ethreal分析协议的功能很强大(注意它还有一定的统计分析功能),并且跨平台、支持格式多,贴近开发者
sniffer也不错
四、修改包和发包
sniffer中修改包比较方便,发包也不错
国内出了个科来数据包生成器,支持ip/icmp/tcp/udp,windows版,比较简便,可惜模板不够开放扩展不方便
Linux下最好发包工具的是SendIP命令行工具
nessus也用的比较多(Nessus主要是用于安全扫描)
测试一般可采用SENDIP 和SNIFFER 相结合
五、回放数据包工具
tcpreplay可以回放tcpdump抓的包,有了这个工具,测试就具有基准
六、特殊包构造类工具
hping2能发送自定义的ICMP/UDP/TCP包到目标地址并且显示包的响应情况。它有一个方便的traceroute模式,并且支持IP分片。这个工具在traceroute、ping和探测防火墙后的主机时特别有用。
Nemesis是一个很好的测试防火墙、入侵检测系统、路由器的工具。Nemesis和hping2两者补相互之不足。
Fragroute能够截取、修改和重写向外发送的报文,实现了大部分的IDS攻击功能。其规则设置语言可模拟实现延迟、复制、丢弃、碎片、重叠、打印、重排、分割、源路由或其他一些向目标主机发送数据包的攻击。
Dsniff 包括一套小巧好用的小工具,进行网络渗透测试,工具包中的arpspoof,macof等工具可以令人满意的捕获交换机环境下的主机敏感数据。
七、包文件.cap操作
tcpslice可对cap文件进行分割、合并等操作(如依据时间)。
八、应用协议工具,这一类就比较多了,比如
http协议的:httpwatch
voip协议的:rtptools
一些协议仿真器
另外Netcat(网络瑞士军刀)也可用于应用层的调试
Linux下最方便就是tcpdump,ethreal带的命令行工具没有试过;
tcpdump采集的包可以用-w保存(注意先用-s参数设置snaplen)
当需要支持正则表达式匹配的时候, 可以考虑ngrep这个grep的网络版替代tcpdump
二、转换包格式
ethreal的包格式转换功能比较好,可以转换libcap、sniffer等各种格式
三、分析数据包
ethreal分析协议的功能很强大(注意它还有一定的统计分析功能),并且跨平台、支持格式多,贴近开发者
sniffer也不错
四、修改包和发包
sniffer中修改包比较方便,发包也不错
国内出了个科来数据包生成器,支持ip/icmp/tcp/udp,windows版,比较简便,可惜模板不够开放扩展不方便
Linux下最好发包工具的是SendIP命令行工具
nessus也用的比较多(Nessus主要是用于安全扫描)
测试一般可采用SENDIP 和SNIFFER 相结合
五、回放数据包工具
tcpreplay可以回放tcpdump抓的包,有了这个工具,测试就具有基准
六、特殊包构造类工具
hping2能发送自定义的ICMP/UDP/TCP包到目标地址并且显示包的响应情况。它有一个方便的traceroute模式,并且支持IP分片。这个工具在traceroute、ping和探测防火墙后的主机时特别有用。
Nemesis是一个很好的测试防火墙、入侵检测系统、路由器的工具。Nemesis和hping2两者补相互之不足。
Fragroute能够截取、修改和重写向外发送的报文,实现了大部分的IDS攻击功能。其规则设置语言可模拟实现延迟、复制、丢弃、碎片、重叠、打印、重排、分割、源路由或其他一些向目标主机发送数据包的攻击。
Dsniff 包括一套小巧好用的小工具,进行网络渗透测试,工具包中的arpspoof,macof等工具可以令人满意的捕获交换机环境下的主机敏感数据。
七、包文件.cap操作
tcpslice可对cap文件进行分割、合并等操作(如依据时间)。
八、应用协议工具,这一类就比较多了,比如
http协议的:httpwatch
voip协议的:rtptools
一些协议仿真器
另外Netcat(网络瑞士军刀)也可用于应用层的调试