Enviar código fuente del mensaje arp
Para más detalles, lee a continuación, pero debes tener paciencia.
Los rastreadores son casi tan antiguos como Internet. Sniffer es un método común para recopilar datos útiles, que pueden ser cuentas de usuario y contraseñas, algunos datos comerciales confidenciales, etc. Con la creciente popularidad de Internet y el comercio electrónico, la seguridad de Internet ha atraído cada vez más atención. El sniffer, que desempeña un papel importante en los riesgos de seguridad de Internet, está recibiendo cada vez más atención, por eso hoy quiero presentarles el sniffer y cómo detenerlo.
La mayoría de los piratas informáticos sólo quieren detectar hosts en la intranet y hacerse con el control. Sólo los piratas informáticos ambiciosos instalarán troyanos y puertas traseras y borrarán registros para tomar el control de toda la red. Lo que suelen utilizar es instalar un sniffer.
En la intranet, la forma más efectiva para que los piratas informáticos obtengan rápidamente una gran cantidad de cuentas (incluidos nombres de usuario y contraseñas) es utilizar un programa "rastreador". Este método requiere que el host que ejecuta el programa sniffer y el host monitoreado estén en el mismo segmento de Ethernet, por lo que ejecutar Sniffer en un host externo no es válido. Además, debe utilizar el programa rastreador como root para escuchar el tráfico en el segmento Ethernet. Cuando hablamos de rastreadores de Ethernet, debemos hablar de rastreadores de Ethernet.
Entonces, ¿qué es un rastreador de Ethernet?
El rastreo de Ethernet se refiere a interceptar paquetes de datos transmitidos en un dispositivo Ethernet y descubrir paquetes de interés. Si encuentra un paquete calificado, guárdelo en el archivo de registro.
Vamos. Estas condiciones generalmente se establecen para paquetes que contienen "nombre de usuario" o "contraseña". Su propósito es poner la capa de red en modo promiscuo para que pueda hacer algo.
El modo promiscuo significa que todos los dispositivos de la red escuchan los datos que se transmiten en el bus, no solo sus propios datos. De acuerdo con la introducción básica al principio de funcionamiento de Ethernet en el Capítulo 2, podemos saber que cuando un dispositivo quiere enviar datos a un determinado objetivo, los transmite a Ethernet. Los dispositivos conectados al bus Ethernet reciben datos todo el tiempo. Pero simplemente pase sus propios datos a la aplicación en esta computadora.
Al utilizar esta función, puede configurar la conexión de red de su computadora para que acepte todas las redes Ethernet.
Datos en el bus de red para lograr el sniffing.
Sniffer generalmente se ejecuta en un enrutador o en un host con funcionalidad de enrutador. Esto permite monitorear grandes cantidades de datos. Olfatear es un ataque secundario. Normalmente, el atacante ya obtuvo acceso al sistema objetivo y luego utiliza un rastreador para obtener más información.
Sniffer no sólo puede obtener contraseñas o nombres de usuario, sino también obtener más información, como información importante, información financiera transmitida a través de Internet, etc. Un rastreador puede detectar casi cualquier paquete transmitido a través de Ethernet. Los piratas informáticos utilizarán varios métodos para hacerse con el control del sistema y dejar una puerta trasera para una nueva intrusión, garantizando así que se pueda ejecutar el rastreador. En las plataformas Solaris 2.x, los programas rastreadores generalmente se instalan en el directorio /usr/bin o /dev. Los piratas informáticos también modificarán inteligentemente el tiempo para que el programa rastreador parezca estar instalado al mismo tiempo que otros programas del sistema.
La mayoría de los programas rastreadores de Ethernet se ejecutan en segundo plano y envían los resultados a un archivo de registro. Los piratas informáticos suelen modificar el programa ps, lo que dificulta a los administradores del sistema encontrar programas de detección en ejecución.
El programa rastreador de Ethernet configura la interfaz de red del sistema en modo mixto. De esta manera, puede escuchar todos los paquetes que fluyen a través del mismo segmento de Ethernet, independientemente de si su destinatario o remitente es el host que ejecuta el rastreador. El programa almacena nombres de usuario, contraseñas y otros datos de interés para los piratas informáticos en archivos de registro. El hacker esperará un tiempo, digamos una semana, y luego volverá aquí para descargar los archivos registrados.
Dicho todo esto, ¿qué palabras comunes se pueden utilizar para presentar a los rastreadores?
Las redes informáticas son diferentes a los circuitos telefónicos. Las redes informáticas comparten canales de comunicación.
* * * Compartir significa que una computadora puede recibir información enviada a otras computadoras. La captura de información de datos transmitida en la red se denomina escucha clandestina.
Ethernet es el método más utilizado de conexión en red informática. El protocolo Ethernet envía información de paquetes a todos los hosts en el mismo anillo. El encabezado del paquete contiene la dirección correcta del host de destino. Normalmente, sólo el host con esa dirección aceptará el paquete. Si el host puede recibir todos los paquetes independientemente del contenido del encabezado del paquete, este modo a menudo se denomina modo "promiscuo".
Porque en un entorno de red normal, la información de cuenta y contraseña se transmite en texto claro a través de Ethernet. Una vez que un intruso obtiene privilegios de root en uno de los hosts, puede ponerlo en modo promiscuo para espiar la red. data. , es posible invadir todos los ordenadores de la red.
En resumen, el sniffer es una herramienta de piratería informática y una herramienta de escucha ilegal.
2. Cómo funciona el sniffer
En términos generales, todas las interfaces de red en el mismo segmento de red tienen la capacidad de acceder a todos los datos transmitidos en el medio físico. Cada interfaz también debería hacerlo. tener una dirección de hardware que sea diferente de las direcciones de hardware de otras interfaces de red presentes en la red. Además, cada red debe tener al menos una dirección de transmisión. (Representando todas las direcciones de interfaz), en circunstancias normales, las interfaces de red legales solo deben responder a dos tipos de tramas de datos:
1. El área de destino de la trama tiene una dirección de hardware que coincide con la red local. interfaz.
2. El área de destino del marco tiene una "dirección de transmisión".
Al recibir los paquetes de datos en las dos situaciones anteriores, nc genera una interrupción de hardware a través de la CPU, que puede atraer la atención del sistema operativo y luego transmitir los datos contenidos en la trama al sistema para procesamiento posterior.
Sniffer es un software que puede establecer el estado nc local en el estado Promiscuos. Cuando nc está en este modo "promiscuo", nc tiene una "dirección de transmisión" que genera una interrupción de hardware para cada trama encontrada para alertar al sistema operativo para que procese cada paquete que fluye a través del medio físico. (La mayoría de los NC tienen la capacidad de ingresar al modo promiscuo).
Se puede ver que el rastreador funciona en la parte inferior del entorno de la red, intercepta todos los datos que se transmiten en la red y los procesa en tiempo real. software correspondiente. Analizar el contenido de estos datos para analizar el estado de la red y el diseño general. Vale la pena señalar que los rastreadores son extremadamente silenciosos y constituyen un ataque de seguridad pasivo.
En términos generales, lo que debería preocuparle a un rastreador se puede dividir en las siguientes categorías:
1. Contraseñas
Creo que este es el uso más ilegal del rastreador. razones. Sniffer puede registrar el ID de usuario y la contraseña transmitidos en texto claro. Incluso si utiliza datos cifrados durante la transmisión de red, los datos registrados por el rastreador pueden permitir que un intruso intente descifrar su algoritmo mientras come kebabs en casa.
2. Número de cuenta financiera
Muchos usuarios se sienten cómodos usando sus tarjetas de crédito o cuentas de efectivo en línea, pero los rastreadores pueden interceptar fácilmente los nombres, contraseñas, números de tarjetas de crédito y fechas de vencimiento de los usuarios. Número de cuenta y pin para transferencia en línea.
3.Husmear en información y datos confidenciales o sensibles.
Al interceptar paquetes, un intruso puede registrar fácilmente la transmisión de información confidencial entre otros o simplemente interceptar conversaciones de correo electrónico completas.
4. Detectar información de protocolo de bajo nivel.
Esto da mucho miedo, creo que al registrar el protocolo de información subyacente, como registrar la dirección de la interfaz de red entre dos hosts, la dirección IP de la interfaz de red remota, la información de enrutamiento IP y la secuencia de bytes de la conexión TCP. número. Si esta información es controlada por intrusos ilegales, causará un gran daño a la seguridad de la red. Por lo general, solo hay una razón por la cual alguien usa un rastreador para recopilar esta información: está cometiendo fraude (generalmente el fraude de dirección IP requiere que usted inserte con precisión el número de secuencia de bytes de la conexión TCP, lo cual se señalará en un artículo posterior). . Si alguien está muy preocupado por este problema, el sniffer es solo un preludio para él, y el problema será mucho mayor en el futuro.
Para los piratas informáticos avanzados, creo que esta es la única razón para utilizar rastreadores.
2. Entorno de trabajo del sniffer
Sniffffer es un dispositivo que puede capturar mensajes de red. El uso adecuado de un sniffer es analizar el tráfico de la red para descubrir posibles problemas en la red de interés. Por ejemplo, una determinada red no funciona bien y los mensajes se envían muy lentamente. No sabemos dónde radica el problema. En este momento, podemos utilizar el sniffer para hacer un juicio preciso sobre el problema.
Los rastreadores varían en funcionalidad y diseño de muchas maneras. Algunos sólo pueden analizar un protocolo, mientras que otros pueden analizar cientos de protocolos. En términos generales, la mayoría de los rastreadores pueden analizar al menos los siguientes protocolos:
1. Ethernet estándar
2. TCP/IP
3. utilizado (Internet Packet eXchange)
4.DECNet
Los rastreadores suelen ser una combinación de software y hardware. Los rastreadores especializados son muy caros. Los rastreadores gratuitos, por otro lado, no cuestan mucho y no tienen tanto soporte.
Los rastreadores son diferentes de los programas generales de captura de teclado. Los programas de captura de teclado capturan los valores clave ingresados en el terminal, mientras que los rastreadores capturan mensajes de red reales. El rastreador hace esto colocando una tarjeta de red en la interfaz de red; por ejemplo, configurando la tarjeta Ethernet en modo varios. Para comprender el modo de recopilación misceláneo, primero explique cómo funciona LAN.
Los datos se transmiten en la red en pequeñas unidades llamadas tramas (FTame). Un marco consta de varias partes y diferentes partes realizan diferentes funciones. (Por ejemplo, los primeros 12 bytes de Ethernet almacenan las direcciones de origen y destino, que le indican a la red el origen y el destino de los datos. Las otras partes de la trama Ethernet almacenan los datos reales del usuario, encabezados TCP/IP o encabezados IPX, etc.).
Los marcos se moldean mediante un software especial llamado controlador de red y luego se envían a la línea de red a través de la tarjeta de red. Llegue a la máquina de destino a través del cable de red y realice el proceso inverso en un extremo de la máquina de destino. La tarjeta Ethernet de la máquina receptora captura estas tramas, le dice al sistema operativo que han llegado y luego las almacena. Es durante este proceso de transmisión y recepción cuando los rastreadores pueden causar problemas de seguridad.
Cada estación de trabajo de la LAN tiene su dirección de hardware. Estas direcciones representan de forma única máquinas en la red (similar al sistema de direcciones de Internet). Cuando los usuarios envían mensajes, estos mensajes se envían a todas las máquinas disponibles en la LAN.
En circunstancias normales, todas las máquinas de la red pueden "escuchar" el tráfico que pasa, pero no responderán a mensajes que no les pertenecen (en otras palabras, la estación de trabajo A no capturará datos que pertenezcan a estación de trabajo B y simplemente ignórelos).
Si la interfaz de red de la estación de trabajo está en modo de recepción miscelánea, puede capturar todos los mensajes y tramas de la red. Si una estación de trabajo está configurada de esta manera, (incluido su software) es un rastreador.
Posibles daños causados por los rastreadores:
1.
2. Posibilidad de capturar información privada o confidencial.
3. Puede utilizarse para comprometer la seguridad de los vecinos de la red u obtener mayores niveles de acceso.
De hecho, si tiene rastreadores no autorizados en su red, significa que su sistema ha estado expuesto a otros. (Puedes probar la función de rastreo de Skywalker 2).
Por lo general, solo rastreamos los primeros 200 a 300 bytes de cada mensaje. El usuario y la contraseña están incluidos en este apartado que es lo que realmente nos importa. Los trabajadores también pueden detectar todos los mensajes en una interfaz determinada. Si tienen suficiente espacio para almacenar y procesar, encontrarán otras cosas muy interesantes...
Simplemente poner un objeto rastreador en cualquier lugar es inútil. Coloque un rastreador cerca de la máquina o red atacada y capturará muchas contraseñas. Otra forma mejor es ponerlo en la puerta de enlace. Si es así, podemos capturar el proceso de autenticación entre esta red y otras redes. Este enfoque aumenta exponencialmente el alcance que podemos atacar.
3. ¿Quién utiliza un sniffer?
Tal vez todo el mundo sepa quién sabe cómo utilizar los sniffers, pero no todos los que los utilizan son expertos en redes, porque muchos sniffers se han vuelto tontos ahora, y el sniffer oicq era el más utilizado hace algún tiempo. Creo que aquellos amigos a los que les gusta comprobar las IP de sus amigos deberían recordarlo. Jaja, lo he usado antes, ¡pero por supuesto que no lo uso ahora!
Por supuesto, los administradores de sistemas utilizan rastreadores para analizar el tráfico de la red y descubrir dónde radica el problema en la red. Un administrador de seguridad puede utilizar varios rastreadores al mismo tiempo y distribuirlos por la red para formar un sistema de alarma contra intrusiones. Sniffer es una gran herramienta para los administradores de sistemas, pero también es una herramienta que suelen utilizar los piratas informáticos. Los piratas informáticos instalan rastreadores para obtener nombres de usuario y cuentas, números de tarjetas de crédito, información personal y otra información, que puede causarle mucho daño a usted o a su empresa si algo sale mal. Cuando tienen esta información, los piratas informáticos pueden utilizar las contraseñas para atacar otros sitios web e incluso revender números de tarjetas de crédito.
3. Cómo se implementa el sniffer en Internet
Antes de hablar de este tema, conviene hablar también de la comunicación Ethernet. En términos generales, todas las interfaces de red en el mismo segmento de red tienen la capacidad de acceder a todos los datos transmitidos en el medio. Cada interfaz de red también debe tener una dirección de hardware que sea diferente de las direcciones de hardware de otras interfaces de red que ya están en la red. Además, cada red debe tener al menos una dirección de transmisión. En circunstancias normales, una interfaz de red legal solo debe responder a dos tipos de tramas de datos:
1? El área de destino de la trama tiene una dirección de hardware que coincide con la interfaz de red local.
2? El área de destino del marco tiene una "dirección de transmisión".
Al recibir los paquetes de datos en las dos situaciones anteriores, la tarjeta de red genera una interrupción de hardware a través de la CPU. Una interrupción puede llamar la atención del sistema operativo, que luego puede transferir los datos contenidos en el marco al sistema para su posterior procesamiento. Sniffer es un software que puede configurar el estado de la tarjeta de red local en modo promiscuo. Cuando la tarjeta está en modo promiscuo, la tarjeta tiene una "dirección de transmisión" que genera una interrupción de hardware para cada cuadro que encuentra para alertar al sistema operativo para que procese cada paquete. (La mayoría de las tarjetas de red se pueden configurar en modo promiscuo.
Se puede ver que el rastreador funciona en la parte inferior del entorno de red e intercepta todos los datos que se transmiten en la red. A través del procesamiento de software correspondiente, se puede analizado en tiempo real El contenido de estos datos se utiliza para analizar el estado de la red y el diseño general. Vale la pena señalar que los rastreadores son extremadamente silenciosos y son un ataque de seguridad pasivo.
4. ¿sniffer?
Los sniffers de los que estamos hablando se utilizan principalmente en sistemas Unix, y esos sniffers oicq no están dentro del alcance de nuestra discusión.
Sniffer es uno de los más utilizados. Métodos de intrusión por parte de piratas informáticos. Puede aprobarlo. Ejecute rastreadores en su red para comprender con qué eficacia compromete la seguridad de las máquinas locales.
Los rastreadores pueden ser de hardware o de software. Actualmente, los rastreadores de software son los más diversos y. ampliamente utilizado La mayoría de los piratas informáticos también utilizan rastreadores de software
Las siguientes son algunas herramientas de rastreo que también se usan ampliamente para depurar problemas de red:
(1) Rastreadores comerciales:
p. >1. Network General.
Network Universal ha desarrollado una variedad de productos, los más importantes de los cuales son rastreadores expertos que no solo pueden detectar, sino también enviar/recibir a través de sistemas dedicados de alto rendimiento. .
Para algunos sitios comerciales, puede ser necesario ejecutar varios protocolos al mismo tiempo: NetBEUI, IPX/SPX, TCP/IP, 802.3 y SNA. Es difícil encontrar un rastreador que ayude a resolver problemas de red. , porque muchos rastreadores tienden a tratar algunos paquetes de protocolo correctos como paquetes de error.
Net Monitor de Microsoft (anteriormente Bloodhound) puede resolver este problema. Diferencia correctamente entre paquetes de control Netware y paquetes únicos, como las transmisiones del servicio de nombres NT NetBios. (etherfind sólo reconocerá estos paquetes como paquetes de difusión del tipo 0000). Esta herramienta se ejecuta en la plataforma MS Windows. Incluso puede monitorear estadísticas de red e información de sesión por dirección MAC (o nombre de host). Simplemente haga clic en una sesión para obtener la salida estándar de tcpdump. La configuración de filtrado también es la más sencilla: simplemente haga clic en el host que desea monitorear en un cuadro de diálogo.
(2). Sniffer, un software gratuito
1.Sniffit fue desarrollado por el Laboratorio Lawrence Berkeley y se ejecuta en plataformas Solaris, SGI y Linux. Puede seleccionar las direcciones o conjuntos de direcciones de origen y destino, así como el puerto, el protocolo y la interfaz de red para escuchar. De forma predeterminada, este rastreador solo acepta los primeros 400 bytes del paquete, lo cual está bien para una sesión de inicio de sesión.
Snort: este rastreador tiene muchas opciones para usar y es portátil. Puede registrar cierta información de conexión para rastrear algunas actividades de la red.
3.TCPDUMP: Este sniffer es muy famoso. Linux y FreeBSD todavía están conectados al sistema. Es una herramienta profesional de gestión de redes considerada por muchos expertos en UNIX. Recuerdo que Tsutomu Shimomura (debería llamarse Shimomura Invasion) usó su propia versión modificada de TCPDUMP para registrar el ataque de KEVINMITNICK a su propio sistema. Más tarde cooperó con el FBI y atrapó a Kevin Mitnick. Más tarde, escribió un artículo: Usando estos registros para describir el ataque, CómoMitnick Hackett SutomushimomurawithaniPS EquanceTack.
(/~lspitz/snoop.html
(4). Herramienta Sniffer en Linux
Herramienta Sniffer en Linux, recomiendo Tcpdump.
[1]. Instalar tcpdump
La instalación de tcpdump en Linux es muy simple. Generalmente hay dos métodos de instalación: uno es instalarlo en forma de paquete rpm. programa fuente.
1. El paquete rpm está instalado.
Este formulario de instalación es el método de instalación más simple. Una vez compilado el software, el paquete rpm está en formato binario. se instalará directamente a través del comando rpm sin modificar nada Utilice el siguiente comando para iniciar sesión como superusuario:
#rpm -ivh tcpdump-3_4a5.rpm
De esta manera, tcpdump. se puede utilizar instalado correctamente en su sistema Linux.
2. Instalación del programa fuente
Dado que la instalación del paquete rpm es muy simple, ¿por qué utilizar el más complicado? ¿Qué pasa con la instalación del programa fuente? De hecho, uno de los mayores atractivos de Linux es que contiene muchos programas que proporcionan programas fuente. Las personas pueden modificar los programas fuente para satisfacer sus propias necesidades especiales. utilice este método de instalación del programa fuente.
El primer paso es obtener el programa fuente. En términos del método de instalación del programa fuente, primero debe obtener el paquete de distribución del programa fuente tcpdump. paquete.tcpdump-3_4a5.tar.Z), el otro es el paquete de distribución rpm (tcpdump-3_4a5.src.rpm). El contenido de estos dos formularios es el mismo, la única diferencia es el método de compresión.
El paquete comprimido tar se puede descomprimir usando el siguiente comando:
#tar xvfz tcpdump-3_4a5.tar.Z
El paquete rpm se puede instalar usando el siguiente comando:
#rpm -ivh tcpdump-3_4a5.src.rpm
De esta manera, el código fuente de tcpdump se extrae al directorio /usr/src/redhat/SOURCES.
El segundo paso es hacer los preparativos antes de compilar el programa fuente.
Antes de compilar el programa fuente, es mejor asegurarse de que se haya instalado el archivo de biblioteca libpcap. Este es el archivo de biblioteca requerido por el software tcpdump. Asimismo, también deberías tener un compilador de C estándar. En Linux, el compilador de lenguaje C estándar es generalmente gcc. En el directorio del programa fuente de tcpdump. Un archivo es Makefile.in y el comando de configuración genera automáticamente Makefile a partir del archivo Makefile.in. En el archivo Makefile.in, las definiciones de macro de BINDEST y MANDEST se pueden modificar según la configuración del sistema. El valor predeterminado es
BINDEST = @sbindir @
MANDEST = @mandir @
El primer valor de macro representa el nombre de la ruta del archivo binario donde se encuentra tcpdump. instalado, y el segundo Los dos valores de macro representan el nombre de ruta de la página de manual de tcpdump. Puede modificarlos para adaptarlos a los requisitos de su sistema.
El tercer paso es compilar el programa fuente.
Utiliza un script de configuración en el directorio de origen, que lee varias propiedades requeridas del sistema. Y genere automáticamente un Makefile para compilar basado en el archivo Makefile.in. Utilice el comando make para compilar el programa fuente de tcpdump de acuerdo con las reglas del Makefile. Utilice el comando make install para instalar el binario compilado de tcpdump.
En resumen:
# tar xvfz tcpdump-3_4a5.tar.Z
# vi Makefile.in
# ./config
#Manufactura
#Instalación
[2].Uso de tcpdump
Tcpdump utiliza la línea de comando y su formato de comando es :
Tcpdump [-adeflnNOpqStvx] [-c cantidad] [-F nombre de archivo]
[-i interfaz de red] [-r nombre de archivo] [-s snaplen]
[-T tipo] [-w nombre de archivo] [expresión]
Introducción a las opciones para 1.
tcpdump
-a convierte direcciones de red y direcciones de transmisión en nombres;
-d proporciona el código de paquetes coincidentes en formato ensamblador comprensible para los humanos
-dd; proporciona el código del paquete coincidente en formato de segmento de programa en lenguaje C
-ddd proporciona el código del paquete coincidente en forma decimal
-e imprime en la línea de salida Enlace de datos; información del encabezado de la capa;
-f imprime direcciones de Internet externas en forma numérica;
-l produce una salida estándar en forma de líneas almacenadas en el buffer;
-n hacer no convertir direcciones de red en nombres
-t no imprimir una marca de tiempo en cada línea de salida
-v generar información un poco más detallada, como ttl y información del tipo de servicio; se puede incluir en paquetes ip;
-vv genera información detallada del mensaje
-c tcpdump se detendrá después de recibir el número especificado de paquetes
-F; lee expresiones del archivo especificado e ignora otras expresiones
-i especifica la interfaz de red para escuchar
-r lee del archivo especificado Obtener paquetes (estos paquetes generalmente se generan); mediante la opción -w);
-w escribe el paquete directamente en el archivo, sin necesidad de análisis e impresión
-T interpreta directamente el mensaje interceptado para tipos específicos de; mensajes, los tipos comunes incluyen rpc (llamada a procedimiento remoto) y snmp (protocolo simple de administración de red);)
2. Introducción a la expresión tcpdump
La expresión es una expresión regular, utilizada por tcpdump. como condición para filtrar mensajes. Si un mensaje cumple las condiciones de la expresión, será capturado. Si no se dan condiciones, todos los paquetes de la red serán interceptados.
Suele haber los siguientes tipos de palabras clave en las expresiones. El primer tipo de palabras clave incluye principalmente host, red y puerto. Por ejemplo, host 210.27.48.2 significa que 210.27.48.2 es el host y red 202.0.0.0 significa 202.0.0. Si no se especifica ningún tipo, el tipo predeterminado es host.
La segunda es la palabra clave para determinar la dirección de propagación, que incluye principalmente src, dst, dst o src, dst, src, que indica la dirección de propagación. Por ejemplo, src 210.27.48.2 indica que la dirección de origen en el paquete IP es 210.27.48.2 y DST NET 202.0.0.0 indica que la dirección de red de destino es 202.0.0. Si no se especifica la palabra clave de dirección, el valor predeterminado es la palabra clave src o dst.
El tercero son las palabras clave del protocolo, que incluyen principalmente fddi, ip, arp, rarp, tcp, udp y otros tipos. Fddi significa un protocolo de red específico sobre fddi (Red de interfaz de datos de fibra óptica distribuida), pero en realidad es un alias de "Ethernet". FDDI y ether tienen direcciones de origen y destino similares, por lo que los paquetes del protocolo FDDI se pueden procesar y analizar como paquetes ether. Varias otras palabras clave indican el contenido del protocolo del paquete monitoreado. Si no se especifica ningún protocolo, tcpdump escuchará paquetes de todos los protocolos.
Además de estos tres tipos de palabras clave, otras palabras clave importantes son las siguientes: puerta de enlace, transmisión, menos, mayor y tres operaciones lógicas. ¡La operación negativa es "no"! y la operación es 'y', '; amp; "o" la operación es "o", ";"
Estas palabras clave se pueden combinar para formar condiciones de combinación poderosas para satisfacer las necesidades de las personas. A continuación se muestran algunos ejemplos para ilustrar.
(1) Interceptar todos los paquetes de datos enviados y recibidos por el host 210.27.48.1:
#tcpdump host 210.27.48.1
(2) Para interceptar el host 210.27 .48.1 Para comunicarse con el host 210.27.48.2 o 210.27.48.3, use el comando: (Cuando use paréntesis en la línea de comando, asegúrese de
#tcpdump hosts 210.27.48.1 y \(210.27.48.2 o 210.27 .48.3 \)
(3) Si desea que los paquetes IP del host 210.27.48.1 se comuniquen con todos los hosts excepto el host 210.27.48.2, utilice el siguiente comando:
#tcpdump ip host 210.27.48.1 y! 210.27.48.2
(4) Si desea obtener los paquetes telnet recibidos o enviados por el host 210.27.48.1, utilice el siguiente comando:
#tcpdump tcp puerto 23 host 210.27.48.1
3. Introducción a los resultados de salida de tcpdump
Aquí presentamos la información de salida de varios comandos típicos de tcpdump. >(1) Información del encabezado de la capa de enlace de datos
Utilice el comando ice #tcpdump-ehost
Ice es un host Linux y su dirección MAC es 0: 90: 27: 58: AF: 1A
H219 es una estación de trabajo SUN y su dirección MAC es 8: 0: 20: 79: 5b: 46. El resultado del comando anterior es el siguiente:
t 0: 0(0) ack 22535 win 8760 (DF)
Análisis: 21: 50: 12 es el tiempo de visualización, 847509 es el número de ID, eth0 indica que el paquete de datos se envía desde la interfaz de red dispositivo, 8:0 :20:79:5b:46 es la dirección MAC del host H219, lo que indica que el paquete de datos se envía desde la dirección de origen H219 0:90:27:58:af:1a es la dirección MAC de. host ICE, que indica la dirección de destino del paquete de datos. Sí. Ice.telnet indica que el paquete se envía desde el puerto 33357 del host Ice al puerto TELNET (23) del host Ice. 222535. El tamaño de la ventana de envío es 8760.
(Información de salida TCPDUMP de paquetes ARP
Utilice el comando #tcpdump arp.
El resultado de salida es:
22:32 : 42.802509 eth 0 gt; arp who-tiene ruta tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth 0 lt; la ruta de respuesta arp es -at 0: 90 :27:12:10:66(0:90:27:58:af:1a)
Análisis: 22:32:42 es la marca de tiempo, 802509 es el número de identificación, eth 0>; significa que el paquete de datos se envía desde el host, arp indica un paquete de solicitud ARP y who-has ROUTE tell ICE indica la dirección MAC del host ICE que solicita la ruta del host 0:90:27:58: af:1a es la MAC. dirección del ICE anfitrión.
(Información de salida de los paquetes TCP
La información de salida general de los paquetes TCP capturados por TCPDUMP es:
src gtdst: ventana de confirmación del número de secuencia de datos de bandera urgente Opciones
src gtDst: indica desde la dirección de origen a la dirección de destino, flags es la información del indicador en el paquete TCP, s es el indicador SYN, F (FIN), P (PUSH), R (RST ) "(. No marcado); Data-seqno es el número de secuencia de los datos en el paquete, ack es el siguiente número de secuencia esperado, ventana es el tamaño de la ventana del búfer de recepción y urgente indica si hay un puntero urgente en el paquete.
(Información de salida de los paquetes UDP
La información de salida general de los paquetes UDP capturados por TCPDUMP es:
ruta. puerto 1 gt; hielo. puerto2: longitud udp
UDP es muy simple La línea de salida anterior muestra que el paquete UDP enviado desde el puerto 1 del host ICE se envía al puerto 2 del host ICE y la longitud del paquete está por encima de la longitud. Introducción detallada a la instalación y el uso de TCPDUMP. Espero que sea útil para todos. Si desea dominar el uso de la herramienta de detección TCPDUMP en el entorno LINUX, debe resumir la experiencia en la práctica y aprovecharla al máximo. power.
(plataforma Windows. Sniffer en Internet
Recomiendo el software netxray y sniffer pro. Todos deben haberlo usado. Aquí hay una breve introducción al uso de netxray
p>1.1.1.1-2.2 2-3.3 3-4.4 4 Esta es una LAN conectada a través de ShareHub, que es un puerto 8080.
Comienza a capturar