關註上方 浩道Linux ,回復 資料 ,即可獲取海量 L inux 、 Python 、 網路通訊、網路安全 等學習資料!
前言
大家好,這裏是 浩道Linux ,主要給大家分享 L inux 、 P ython 、 網路通訊、網路安全等 相關的IT知識平台。
今天浩道跟大家分享2款IT運維生涯中必不可少的神器Wireshark及Tcpdump,掌握這2個神器的使用,運維排查故障基本就是如魚得水。可以這麽說,一名合格的IT運維,不僅要懂Wireshark抓包,還要會Tcpdump抓包!
一、wireshark是什麽?
wireshark是非常流行的網路封包分析軟體,簡稱小鯊魚,功能十分強大。可以截取各種網路封包,顯示網路封包的詳細資訊。
wireshark是開源軟體,可以放心使用。可以執行在Windows和Mac OS上。對應的,linux下的抓包工具是 tcpdump。使用wireshark的人必須了解網路協定,否則就看不懂wireshark了。
二、Wireshark常用套用場景
1. 網路管理員會使用wireshark來檢查網路問題
2. 軟體測試工程師使用wireshark抓包,來分析自己測試的軟體
3. 從事socket編程的工程師會用wireshark來偵錯
4. 運維人員用於日常工作,應急響應等等
總之跟網路相關的東西,都可能會用到wireshark
三、Wireshark抓包原理
Wireshark使用WinPCAP作為介面,直接與網卡進行資料包交換。
Wireshark使用的環境大致分為兩種,一種是電腦直連網路的單機環境,另外一種就是套用比較多的網路環境,即連線交換機的情況。
「單機情況」下,Wireshark直接抓取本機網卡的網路流量;
「交換機情況」下,Wireshark透過埠映像、ARP欺騙等方式獲取區域網路中的網路流量。
埠映像:利用交換機的介面,將區域網路的網路流量轉發到指定電腦的網卡上。
ARP欺騙:交換機根據MAC地址轉發數據,偽裝其他終端的MAC地址,從而獲取區域網路的網路流量。
四、Wireshark軟體安裝
軟體下載路徑:
https://www.wireshark.org/
按照系統版本選擇下載,下載完成後,按照軟體提示一路Next安裝。
五、Wireshark抓包範例
先介紹一個使用wireshark工具抓取ping命令操作的範例,可以上手操作感受一下抓包的具體過程。
1、開啟wireshark,主界面如下:
2、選擇選單欄上 捕獲 -> 選項,勾選WLAN網卡。這裏需要根據各自電腦網卡使用情況選擇,簡單的辦法可以看使用的IP對應的網卡。點選Start,啟動抓包。
3、wireshark啟動後,wireshark處於抓包狀態中。
4、執行需要抓包的操作,如在cmd視窗下執行ping www.baidu.com 。
5、操作完成後相關封包就抓取到了,可以點選 停止捕獲分組 按鈕。
6、為避免其他無用的封包影響分析,可以透過在過濾欄設定過濾條件進行封包列表過濾,獲取結果如下。說明:ip.addr == 183.232.231.172 and icmp 表示只顯示ICPM協定且主機IP為183.232.231.172的封包。說明:協定名稱icmp要小寫。
7、wireshark抓包完成,並把本次抓包或者分析的結果進行保存,就這麽簡單。關於wireshark顯示過濾條件、抓包過濾條件、以及如何檢視封包中的詳細內容在後面介紹。
六、Wireshakr抓包界面介紹
Wireshark 的主界麵包含6個部份:
選單欄 :用於偵錯、配置
工具列 :常用功能的捷徑
過濾欄 :指定過濾條件,過濾封包
封包列表 :核心區域,每一行就是一個封包
封包詳情 :封包的詳細數據
封包字節 :封包對應的字節流,二進制
說明:封包列表區中不同的協定使用了不同的顏色區分。協定顏色標識定位在選單欄 檢視 --> 著色規則。如下所示
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器)
用於設定過濾條件進行封包列表過濾。選單路徑:分析 --> Display Filters。
2. Packet List Pane(封包列表)
顯示捕獲到的封包,每個封包包含編號,時間戳,源地址,目標地址,協定,長度,以及封包資訊。不同協定的封包使用了不同的顏色區分顯示。
3. Packet Details Pane(封包詳細資訊)
在封包列表中選擇指定封包,在封包詳細資訊中會顯示封包的所有詳細資訊內容。封包詳細資訊面板是最重要的,用來檢視協定中的每一個欄位。各行資訊分別為
(1)Frame: 實體層的數據幀概況
(2)Ethernet II: 數據鏈路層乙太網路幀頭部資訊
(3)Internet Protocol Version 4: 互聯網層IP包頭部資訊
(4)Transmission Control Protocol: 傳輸層T的數據段頭部資訊,此處是TCP
(5)Hypertext Transfer Protocol: 套用層的資訊,此處是HTTP協定
TCP包的具體內容
從下圖可以看到wireshark捕獲到的TCP包中的每個欄位。
4. Dissector Pane(封包字節區)
報文原始內容。
七、Wireshark過濾器設定
初學者使用wireshark時,將會得到大量的冗余封包列表,以至於很難找到自己需要抓取的封包部份。wireshark工具中內建了兩種型別的過濾器,學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的資訊。
1.抓包過濾器
捕獲過濾器的選單欄路徑為 捕獲 --> 捕獲過濾器。用於在抓取封包前設定。
如何使用呢?設定如下。
ip host 183.232.231.172表示只捕獲主機IP為183.232.231.172的封包。獲取結果如下:
2. 顯示過濾器
顯示過濾器是用於在抓取封包後設定過濾條件進行過濾封包。
通常是在抓取封包時設定條件相對寬泛或者沒有設定導致抓取的封包內容較多時使用顯示過濾器設定條件過濾以方便分析。
同樣上述場景,在捕獲時未設定抓包過濾規則直接透過網卡進行抓取所有封包。
執行ping www.baidu.com獲取的封包列表如下
觀察上述獲取的封包列表,含有大量的無效數據。這時可以透過設定顯視器過濾條件進行提取分析資訊。ip.addr == 183.232.231.172,並進行過濾。
上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網不復雜或者流量不大情況下,使用顯視器過濾器進行抓包後處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區別。
八、wireshark過濾器運算式的規則
1. 抓包過濾器語法和例項
抓包過濾器型別Type(host、net、port)、方向Dir(src、dst)、協定Proto(ether、ip、tcp、udp、http、icmp、ftp等)、邏輯運算子(&&與、|| 或、!非)
(1)協定過濾
比較簡單,直接在抓包過濾框中直接輸入協定名即可。
tcp,只顯示TCP協定的封包列表
http,只檢視HTTP協定的封包列表
icmp,只顯示ICMP協定的封包列表
(2)IP過濾
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
(3)埠過濾
port 80
src port 80
dst port 80
(4)邏輯運算子&&與、|| 或、!非
src host 192.168.1.104 &&dst port 80 抓取主機地址為192.168.1.80、目的埠為80的封包
host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的封包
!broadcast 不抓取廣播封包
2. 顯示過濾器語法和例項
(1)比較操作符
比較操作符有
== 等於、!= 不等於、> 大於、< 小於、>= 大於等於、<=小於等於
(2)協定過濾
比較簡單,直接在Filter框中直接輸入協定名即可。註意:協定名稱需要輸入小寫。
tcp,只顯示TCP協定的封包列表
http,只檢視HTTP協定的封包列表
icmp,只顯示ICMP協定的封包列表
(3) ip過濾
ip.src ==112.53.42.42 顯示源地址為112.53.42.42的封包列表
ip.dst==112.53.42.42, 顯示目標地址為112.53.42.42的封包列表
ip.addr == 112.53.42.42 顯示源IP地址或目標IP地址為112.53.42.42的封包列表
(4)埠過濾
tcp.port ==80, 顯示源主機或者目的主機埠為80的封包列表。
tcp.srcport == 80, 只顯示TCP協定的源主機埠為80的封包列表。
tcp.dstport == 80,只顯示TCP協定的目的主機埠為80的封包列表。
(5) http模式過濾
http.request.method=="GET", 只顯示HTTP GET方法的。
(6)邏輯運算子為 and/or/not
過濾多個條件組合時,使用and/or。比如獲取IP地址為192.168.0.104的ICMP封包運算式為ip.addr == 192.168.0.104 and icmp
(7)按照封包內容過濾
假設我要以ICMP層中的內容進行過濾,可以單擊選中界面中的碼流,在下方進行選中數據。
右鍵單擊選中後出現如下界面
選中後在過濾器中顯示如下
後面條件運算式就需要自己填寫。如下我想過濾出data封包中包含"abcd"內容的數據流。關鍵詞是contains,完整條件運算式為data contains "abcd"
看到這, 基本上對wireshak有了初步了解。
3. 常見用顯示過濾需求及其對應運算式
數據鏈路層 :
篩選mac地址為04:f9:38:ad:13:26的封包
eth.src == 04:f9:38:ad:13:26
篩選源mac地址為04:f9:38:ad:13:26的封包----
eth.src == 04:f9:38:ad:13:26
網路層 :
篩選ip地址為192.168.1.1的封包
ip.addr == 192.168.1.1
篩選192.168.1.0網段的數據
ip contains "192.168.1"
傳輸層:
篩選埠為80的封包
tcp.port == 80
篩選12345埠和80埠之間的封包
tcp.port == 12345 &&tcp.port == 80
篩選從12345埠到80埠的封包
tcp.srcport == 12345 &&tcp.dstport == 80
套用層 :
特別說明: http中http.request表示請求頭中的第一行(如GET index.jsp HTTP/1.1) http.response表示響應頭中的第一行(如HTTP/1.1 200 OK),其他頭部都用http.header_name形式。
篩選url中包含.php的http封包
http.request.uri contains ".php"
篩選內容包含username的http封包
http contains "username"
九、Wireshark抓包分析TCP三次握手
1. TCP三次握手連線建立過程
Step1:客戶端發送一個SYN=1,ACK=0標誌的封包給伺服端,請求進行連線,這是第一次握手;
Step2:伺服端收到請求並且允許連線的話,就會發送一個SYN=1,ACK=1標誌的封包給發送端,告訴它,可以通訊了,並且讓客戶端發送一個確認封包,這是第二次握手;
Step3:伺服端發送一個SYN=0,ACK=1的封包給客戶端端,告訴它連線已被確認,這就是第三次握手。TCP連線建立,開始通訊。
2. Wireshark抓包獲取存取指定伺服端封包
Step1:啟動wireshark抓包,開啟瀏覽器輸入www.baidu.com。
Step2:使用ping www.baidu.com獲取IP。
Step3:輸入過濾條件獲取待分析封包列表 ip.addr == 183.232.231.172
圖中可以看到wireshark截獲到了三次握手的三個封包。第四個包才是HTTPS的, 這說明HTTPS的確是使用TCP建立連線的。
第一次握手封包
客戶端發送一個TCP,標誌位為SYN,序列號為0, 代表客戶端請求建立連線。
封包的關鍵內容如下:
SYN :標誌位,表示請求建立連線
Seq = 0 :初始建立連線值為0,封包的相對序列號從0開始,表示當前還沒有發送數據
Ack =0:初始建立連線值為0,已經收到包的數量,表示當前沒有接收到數據
第二次握手的封包
伺服器發回確認包, 標誌位為 SYN,ACK。將確認序號(Acknowledgement Number)欄位+1,即0+1=1。
封包的關鍵內容如下:
[SYN + ACK]: 標誌位,同意建立連線,並回送SYN+ACK
Seq = 0 :初始建立值為0,表示當前還沒有發送數據
Ack = 1:表示當前端成功接收的數據位數,雖然客戶端沒有發送任何有效數據,確認號還是被加1,因為包含SYN或FIN標誌位。(並不會對有效數據的計數產生影響,因為含有SYN或FIN標誌位的包並不攜帶有效數據)
第三次握手的封包
客戶端再次發送確認包(ACK) SYN標誌位為0,ACK標誌位為1。並且把伺服器發來ACK的序號欄位+1,放在確定欄位中發送給對方,並且在Flag段寫ACK的+1:
封包的關鍵內容如下:
ACK :標誌位,表示已經收到記錄
Seq = 1 :表示當前已經發送1個數據
Ack = 1 : 表示當前端成功接收的數據位數,雖然伺服端沒有發送任何有效數據,確認號還是被加1,因為包含SYN或FIN標誌位(並不會對有效數據的計數產生影響,因為含有SYN或FIN標誌位的包並不攜帶有效數據)。
就這樣透過了TCP三次握手,建立了連線。開始進行數據互動
十、Wireshark分析常用操作
調整封包列表中時間戳顯示格式。調整方法為 檢視 -->時間顯示格式 --> 日期和時間。調整後格式如下:
一般Wireshark軟體也可以與各主流廠家的模擬器一起使用,更適合於計畫準確配置。
tcpdump前世今生
tcpdump 是一個用於截取網路分組,並輸出分組內容的工具。tcpdump憑借強大的功能和靈活的截取策略,使其成為類UNIX系統下用於網路分析和問題排查的首選工具。
tcpdump提供了原始碼,公開了介面,因此具備很強的可延伸性,對於網路維護和入侵者都是非常有用的工具。tcpdump存在於基本的Linux系統 中,由於它需要將網路界面設定為混雜模式,普通使用者不能正常執行,但具備root許可權的使用者可以直接執行它來獲取網路上的資訊。因此系統中存在網路分析工具主要不是對本機安全的威脅,而是對網路上的其他電腦的安全存在威脅。
說白了tcpdump就是linux下的一款抓包工具。 通常用於故障診斷、網路分析,功能十分的強大。 了解了tcpdump是何物之後,讓我們透過實戰去一一掀開它神秘的面紗。
tcpdump命令參數
tcpdump 作為一個命令使用,其具有多樣的參數選項。
tcpdump基本命令如下:
tcpdump [option] [proto] [dir] [type]
其中:
1、 option : 即可選參數,可以指定相關參數,輸出特定資訊。
可選參數很多,主要有以下:
-A 以ASCII格式打印出所有分組,並將鏈路層的頭最小化。-c 在收到指定的數量的分組後,tcpdump就會停止。-C 在將一個原始分組寫入檔之前,檢查檔當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小,則關閉當前檔,然後在開啟一個新的檔。參數 file_size 的單位是兆字節(是1,000,000字節,而不是1,048,576字節)。-d 將匹配資訊包的程式碼以人們能夠理解的組譯格式給出。-dd 將匹配資訊包的程式碼以c語言程式段的格式給出。-ddd 將匹配資訊包的程式碼以十進制的形式給出。-D 打印出系統中所有可以用tcpdump截包的網路介面。-e 在輸出行打印出數據鏈路層的頭部資訊。-E 用spi@ipaddr algo:secret解密那些以addr作為地址,並且包含了安全參數索引值spi的IPsec ESP分組。-f 將外部的Internet地址以數位的形式打印出來。-F 從指定的檔中讀取運算式,忽略命令列中給出的運算式。-i 指定監聽的網路介面。-l 使標準輸出變為緩沖行形式,可以把數據匯出到檔。-L 列出網路介面的已知數據鏈路。-m 從檔module中匯入SMI MIB模組定義。該參數可以被使用多次,以匯入多個MIB模組。-M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要(詳情可參考RFC 2385)。-b 在數據-鏈路層上選擇協定,包括ip、arp、rarp、ipx都是這一層的。-n 不把網路地址轉換成名字。-nn 不進行埠名稱的轉換。-N 不輸出主機名中的網域名稱部份。例如,‘nic.ddn.mil‘只輸出’nic‘。-t 在輸出的每一行不打印時間戳。-O 不執行分組分組匹配(packet-matching)程式碼最佳化程式。-P 不將網路介面設定成混雜模式。-q 快速輸出。只輸出較少的協定資訊。-r 從指定的檔中讀取包(這些包一般透過-w選項產生)。-S 將tcp的序列號以絕對值形式輸出,而不是相對值。-s 從每個分組中讀取最開始的snaplen個字節,而不是預設的68個字節。-T 將監聽到的包直接解釋為指定的型別的報文,常見的型別有rpc遠端程序呼叫)和snmp(簡單網路管理協定;)。-t 不在每一行中輸出時間戳。-tt 在每一行中輸出非格式化的時間戳。-ttt 輸出本行和前面一行之間的時間差。-tttt 在每一行中輸出由date處理的預設格式的時間戳。-u 輸出未解碼的NFS控制代碼。-v 輸出一個稍微詳細的資訊,例如在ip包中可以包括ttl和服務型別的資訊。-vv 輸出詳細的報文資訊。-w 直接將分組寫入檔中,而不是不分析並打印出來。
2、 proto : 即類過濾器,指定過濾某種協定的封包。如tcp、udp、ip、arp、icmp等。
3、 dir : 即類過濾器,根據數據流向進行過濾,可辨識的關鍵字有src、dst、 src or dst等。
4、 type : 即類過濾器,可辨識的關鍵字有:host, net, port, port range等,這些關鍵字後邊需要再接具體參數。
tcpdump安裝
1、linux系統預設沒有安裝tcpdump工具的,所以需要我們自己安裝,這裏我透過 yum 進行安裝。
yum -y install tcpdump
2、安裝完成,透過 tcpdump -h 檢視它相關版本資訊。
[root@haodaolinux1 ~]# tcpdump -htcpdump version 4.9.2libpcap version 1.5.3OpenSSL 1.0.2k-fips 26 Jan 2017Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q|-P in|out|inout ] [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ] [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ expression ][root@haodaolinux1 ~]#
tcpdump實戰
下面透過常見的具體抓包例項,讓你加深其使用技巧。
1、常用抓包命令1
tcpdump -i eno16777736
該命令參數列示抓取
網口eno16777736
上所有的封包。
2、常用抓包命令2
tcpdump -i eno16777736 -s 0 -w hao1.cap
該命令參數大概意思是針對網口eno16777736抓取不限制大小的報文,保存為檔hao1.cap
3、常用抓包命令3
tcpdump -ni eno16777736 -c 10 dst host 192.168.3.165
該命令參數列示抓取網口 eno16777736 發往目的主機192.168.3.165的封包,並且抓取10個包後,自動停止抓包。
4、常用抓包命令4
tcpdump -r hao1.cap
該命令是讀取抓包檔hao1.cap,結果如下:
[root@haodaolinux1 ~]# tcpdump -r hao1.cap reading from file hao1.cap, link-type EN10MB (Ethernet)15:22:42.826813 IP 192.168.3.199.ssh > 192.168.3.165.8162: Flags [P.], seq 211541184:211541316, ack 3983093332, win 255, length 13215:22:42.862614 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 546175073, win 16293, length 015:22:43.026135 IP 192.168.3.165.8162 > 192.168.3.199.ssh: Flags [.], ack 132, win 16425, length 015:22:43.609384 IP 192.168.3.199 > 183.232.231.172: ICMP echo request, id 9275, seq 7, length 6415:22:43.621431 IP 183.232.231.172 > 192.168.3.199: ICMP echo reply, id 9275, seq 7, length 6415:22:43.621610 IP 192.168.3.199.ssh > 192.168.3.165.armtechdaemon: Flags [P.], seq 1:133, ack 0, win 255, length 13215:22:43.821278 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 133, win 16260, length 015:22:44.610696 IP 192.168.3.199 > 183.232.231.172: ICMP echo request, id 9275, seq 8, length 6415:22:44.624632 IP 183.232.231.172 > 192.168.3.199: ICMP echo reply, id 9275, seq 8, length 6415:22:44.624842 IP 192.168.3.199.ssh > 192.168.3.165.armtechdaemon: Flags [P.], seq 133:265, ack 0, win 255, length 13215:22:44.824397 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 265, win 16227, length 0
5、常用抓包命令5
tcpdump -i eno16777736 host 183.232.231.172 and tcp port 80
即表示抓取主機183.232.231.172所有在TCP 80埠的封包。
6、常用抓包命令6
tcpdump -i eno16777736 host 183.232.231.172 and dst port 80
即表示抓取HTTP主機183.232.231.172在80埠接收到的封包。
7、常用抓包命令7
tcpdump -i eno16777736 port 80
即表示抓取所有經過eno16777736,目的或源埠是80的網路數據。
8、常用抓包命令8
tcpdump -i eno16777736 icmp
即表示過濾出icmp包。如下圖所示:
9、常用抓包命令9
tcpdump host 192.168.20.110
即表示 監聽本機跟主機192.168.20.110之間往來的通訊包。
備註:出、入的包都會被監聽。
10、常用抓包命令10
tcpdump port 8080
即表示 監聽特定埠8080的通訊包。
11、常用抓包命令11
tcpdump tcp
即表示 監聽TCP的通訊包。
12、常用抓包命令12
tcpdumptcpport 22 andsrchost 192.168.20.110
即表示 監聽來自主機 192.168.20.110 在埠 22 上的TCP封包 。
13、常用抓包命令13
tcpdumpiphost 192.168.20.110and 192.168.20.120
即表示 監聽來自主機 192.168.20.110 和主機192.168.20.120之間的封包 。
tcpdumpiphost 192.168.20.110and ! 192.168.20.120
即表示 監聽來自主機 192.168.20.110 除了和主機192.168.20.120之外的主機之間的封包 。
14、常用抓包命令14
tcpdump tcp -i eth1 -t -s 0 -c 100and dst port ! 22and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的型別;
(2)-i eth1 : 只抓經過介面eth1的包;
(3)-t : 不顯示時間戳;
(4)-s 0 : 抓取封包時預設抓取長度為68字節。加上-S 0 後可以抓到完整的封包;
(5)-c 100 : 只抓取100個封包;
(6)dst port ! 22 : 不抓取目標埠是22的封包;
(7)src net 192.168.1.0/24 : 封包的源網路地址為192.168.1.0/24(8)-w ./target.cap : 保存成cap檔,方便用ethereal(即wireshark)分析 。
15、常用抓包命令15
tcpdump-s 1024 -l-A-nhost 192.168.9.56tcpdump-s 1024 -l-Asrc 192.168.9.56ordst 192.168.9.56sudotcpdump-A-s 1492 dstport 80
即表示 監聽 檢視http請求的header 封包 。
16、常用抓包命令16
tcpdump -i eth0 port httptcpdump -i eth0 port http or port smtp or port imap or port pop3 -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|userna me:|password:|login:|pass |user '
即表示 監聽 檢視網卡eth0的http請求的tcp包 。
17、常用抓包命令17
tcpdump -n -v tcp or udp or icmp andnot port 22
即表示 監聽 檢視tcp,upd,icmp非ssh的包 。
18、常用抓包命令18
sudo tcpdump -i eth0 port 80 -w -
即表示 監聽 檢視http請求的request 包 。
19、常用抓包命令19
sudo tcpdump -i en1 -n -s 0 -w - | grep -a -o -E "GET \/.*|Host\: .*"
即表示 過濾http響應的get host頭資訊包 。
20、常用抓包命令20
sudo tcpdump -i en0 'udp port 53'
即表示監聽 DNS查詢請求響應包 。
21、常用抓包命令21
tcpdumptcpport 22 andhost 192.168.20.110
即表示監聽 主機 192.168.20.110 接收和發出的 tcp 協定的 ssh 的封包 。
22、常用抓包命令22
tcpdumpicmpandsrc 192.168.20.110-iens33-n
即表示 過濾 icmp 報文並且源 IP 是 192.168.20.110 。
23、常用抓包命令23
tcpdumpsrchost 192.168.20.110-iens33-n-c 5
即表示 過濾源 IP 地址是 192.168.20.110 的包 。
24、常用抓包命令24
tcpdumpdsthost 192.168.20.110-iens33-n-c 5
即表示 過濾目的 IP 地址是 192.168.20.110 的包 。
25、常用抓包命令25
tcpdump port 22 -i ens33 -n -c 5
即表示 過濾 埠號為 22, 即 ssh 協定的 的包 。
26、常用抓包命令26
tcpdump portrange 22-433 -i ens33 -n -c 8
即表示 過濾 過濾埠號 22-433 內的數據 包 。
更多精彩
關註公眾號 「 浩道Linux 」
浩道Linux ,專註於 Linux系統 的相關知識、 網路通訊 、 網路安全 、 Python相關 知識以及涵蓋IT行業相關技能的學習, 理論與實戰結合,真正讓你在學習工作中真正去用到所學。同時也會分享一些面試經驗,助你找到高薪offer,讓我們一起去學習,一起去進步,一起去漲薪!期待您的加入~~~ 關註回復「資料」可 免費獲取學習資料 (含有電子書籍、視訊等)。
喜歡的話,記得 點「贊」 和 「在看」 哦
