整理1-tcpdump+nmap+wireshark

 最近开始整理以前经常用到的工具和方法,今天把如下几个工具要点整理了下,这在系统运维网络分析中经常会用到。很实用。

网站建设哪家好,找创新互联!专注于网页设计、网站建设、微信开发、小程序定制开发、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了南通免费建站欢迎大家使用!

分为两部分,

第一部分是自己出的自测训练题,均在机器上跑过。

第二部分,是粗略的知识要点,对于处理大部分网络分析已经够用了。

1-训练:

  1. 1.tcpdump  eth0接口 192.168.100.178 过来的所有包,并保存为pcap 文件供wireshark 分析。

 tcpdump -i eth0  host 192.168.100.178  -w 178.pcap

 

  1. 2.tcpdumpeth0接口目的地址为 192.168.100.178 80 端口的所有包

tcpdump -i eth0  host 192.168.100.178  and dst port 22  -nn

 

  1. 3.tcpdumpetho接口源地址为192.168.100.178 ssh 协议的所有包

tcpdump -i eth0 src   host 192.168.100.178  and tcp dst  port 22  -nn

4.tcpdump eth0接口192.168.100.178 所有udp 协议包。

 tcpdump -i eth0  host 192.168.100.178      and udp port 23

 

5.想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump -i eth0  host 192.168.0.128       and  \(192.168.200.6 or 192.168.200.5\) -nn

 

wireshark表达式:

  1. 1.显示wireshark  到192.168.0.128 的所有流量包

ip.addr==192.168.0.128 and tcp.port ==22

 

  1. 2.显示wireshark 到192.168.0.128 ssh 协议所有流量

 ip.addr==192.168.0.128 and tcp.port ==22

 

  1. 3.筛选某一网站的http 协议流量

http

 

  1. 4.过滤某一源地址及目的地址  的指定协议端口。

Ip.src==192.168.100.178and  tcp.dstport ==80

  1. 5.过滤 http 请求头为 get 的流量包

http.request.method== "GET"

 

 

nmap规则:

 

  1. 1.扫描某台主机192.168.100.178  开放了那些端口

nmap -O 192.168.100.178  /nmap-sV 192.168.100.178

 

2.扫描 192.168.100.0/24 网段有哪些Ip 已经使用

Nmap  -sP 192.168.100.0/24

 

3.扫描192.168.200/0/24 网段有那些机器开放了80,3306 端口

Nmap  -sU 192.168.0.0/24  -p 80,3306   -s[scan][类型

nmap -sS 192.168.0.0/24  -p 80,3306

]

  1. 4.扫描 某一网段主机是否开启了udp 端口

 Nmap  -sU 192.168.0.0/24  -p 80,3306

 

5.组合扫描(不ping、软件版本、内核版本、详细信息)
nmap -P0 -sV -O -v 192.168.30.251

 

2-要点:

Tcpdump要点:

第一种是关于类型的关键字,主要包括host,net,port

第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src

第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型

 

三种类型内部之间必须用表达式and,or ,not 进行分隔。

 

如果我们只需要列出送到80端口的数据包,用dst port;如果我们只希望看到返回80端口的数据包,用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80

 

 

Wireshark过滤规则:

过滤 ip

ip.dst==10.10.10.10
ip.src==10.10.10.10
ip.addr==10.10.10.10

等号可以用 eq 替代,如 ip.dst eq 10.10.10.10

dst表示过滤目标 ip, src 表示过滤来源 ip, addr 则同时过滤两者;

·        or操作符可以同时使用多条过滤规则,如 ip.dst==10.10.10.10 orip.dst=10.10.10.11

过滤 端口

tcp.port==80
tcp.dstport==80
tcp.srcport==80

dstport表示过滤目标端口,其它类似于 ip 过滤规则;

协议过滤

直接在过滤框输入协议名即可。如 http, tcp, udp, ftp 等

http模式过滤

http.host=="www.baidu.com"
http.uri=="/img/logo-edu.gif"
http.request.method=="GET"
http.request.method=="POST"
http contains "baidu"

 

namp规则:

-sS(TCP同步扫描(TCP SYN):发出一个TCP同步包(SYN),然后等待回对方应)

 

-sU(UDP扫描:nmap首先向目标主机的每个端口发出一个0字节的UDP包,如果我们收到

端口不可达的ICMP消息,端口就是关闭的,否则我们就假设它是打开的)

 

-p(ports的范围)

 

-sV(对服务版本的检测)

 

最后总结下常用的nmap参数

1、nmap -sP 59.69.139.0/24(扫描在线的主机)

2、nmap -sS 59.69.139-10 -p 80,22,23,52-300(SYN的扫描方式,可以加ip和端口的限制)
3、nmap -sV 59.69.139.1 -p1-65535(探测端口的服务和版本(Version))
4、nmap -O 192.168.1.1或者nmap  -A 192.168.1.1(探测操作系统的类型和版本)

 


当前文章:整理1-tcpdump+nmap+wireshark
本文地址:http://ybzwz.com/article/pdiggp.html