网络嗅探工具:
网络嗅探: 其实就是通过使用网络嗅探工具抓包, 分析和研究,
常用的工具有wireshark和tcpdump.
tcpdump :
1 指定网卡抓包
sudo tcpdump -i ens33 -vv
2 将抓到的包保存到文件中
sudo tcpdump -i ens33 -vv -w ./test.pcap
sudo tcpdump -l > mylog & tail -f mylog
sudo tcpdump -i ens33 -vv -l > mylog & tail -f mylog
3 指定主机--host
sudo tcpdump -i ens33 -vv host 192.168.26.33
4 指定源主机或者目的主机: src dst
sudo tcpdump -i ens33 -vv src 192.168.26.33
sudo tcpdump -i ens33 -vv dst 192.168.26.33
5 抓包时指定端口:port
sudo tcpdump -i ens33 -vv port 21
6 抓包的时候指定协议
sudo tcpdump -i ens33 -vv icmp
sudo tcpdump -i ens33 -vv tcp
sudo tcpdump -i ens33 -vv arp
wireshark
过滤条件:
使用协议: tcp udp
使用IP地址过滤: ip.src==xxxx ip.dst==xxxx ip.addr==xxxxx
使用端口过滤: tcp.port tcp.srcport tcp.dstport
可以使用逻辑运算符: or and !
如何分析IP TCP UDP协议
1 使用wireshark工具抓包
2 对照TCP IP UDP协议进行分析.
如何让普通用户也具有执行wireshark命令的权限.
修改/bin/wireshark /bin/dumpcap 文件的SUID位
sudo chmod u+s /bin/wireshark
sudo chmod u+s /bin/dumpcap
典型ip地址过滤表达式
ip.src==192.168.2.2 指定源ip
ip.dst==112.33.119.129 指定目的ip
ip.addr==112.33.119.129 指定ip,不分源ip和目的ip
ip.src==192.168.2.2 and ip.dst==112.33.119.129 指定源ip并且指定目标ip
ip.src==192.168.2.2 or ip.dst==112.33.119.129 指定源ip或者目标ip
典型端口过滤
tcp.port == 8883
tcp.dstport == 8883
tcp.srcport == 23