Kali學習筆記5:TCPDUMP詳細使用方法
阿新 • • 發佈:2018-05-10
CA 自己 ring int 十六 一行 全部 kali info
Kali自帶Wireshark,但一般的Linux系統是不帶的,需要自行下載,並且過程略復雜
而純字符界面的Linux系統無法使用Wireshark
但是,所有Linux系統都會安裝TCPDUMP:一種基於命令行的抓包工具
註意事項:默認只抓68字節,能夠獲得基本信息,但無法做到完整分析
1:開始抓包,-i 參數:eth0網卡,-s 0 表示抓取全部,-w a.cap 表示把抓到的內容放在a.cap文件中
隨意打開一個網站,然後Ctrl+c結束,發現抓了370個包
接下來我們看看抓取的包:
總覽信息:
詳細查看:這裏的-A 意思是以ASCII碼解析
還可以用十六進制的方式查看(-X):
剛才是抓取所有的包
類似Wireshark,TCPDUMP也有過濾器:
比如我這裏只抓80端口的數據包:
除了抓包篩選器,還可以顯示篩選(抓到之後篩選自己需要的數據包)
1.通過Linux系統手動篩選
-n 的意思是不解析域名,awk分隔開只看其中的某一列,sort -u 去重
2.用TCPDUMP的方法:
這裏我只抓取來源是222.199.191.32的數據包
不止來源,這裏設置只抓目的IP為:222.199.191.32的數據包
再比如:只抓域名解析數據包:
這些是基礎篩選,還有高級篩選:
TCP包頭結構如下,8個位為一個字節,每一行為四個字節,一共是32個位
源端口占了前面的16個位,兩個字節;目的端口一樣;第四行第三列是標簽位
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sequence Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Acknowledgment Nuber |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Date | |C|E|U|A|P|R|A|F| |
| Offset | Res.|W|C|R|C|S|S|Y|I| Windwos |
| | |R|E|G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Urgent Pointer |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Kali學習筆記5:TCPDUMP詳細使用方法