网络安全培训案例分析.pptxVIP

1 4.1 unix系统抓包命令TCPDUMP-1 tcpdump采用命令行方式，它的命令格式为：    　　tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]　　　　　　　　　　[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]　　　　　　　　　　[ -T 类型 ] [ -w 文件名 ] [表达式 ] 选项介绍： -c 指定抓包数量 -l 使标准输出变为缓冲模式 -i 指定监听的网络接口 –w 保存包 -T 指定监听类型rpc、snmp、tcp等 -v 显示稍微详细报文，-vv 显示详细的报文，-r可以读取监听包 如：tcpdump –r spa080401.cap |grep 39 表达式介绍：作为过滤抓包的条件 1、第一类关键字：host、port、net 指明类型 2、第二类关键字：src、dst、dst or src、src and dst 指明传输方向 3、第三类关键字：tcp、ip、arp、udp、rarp 指明抓包协议 tcpdump ip host and ! 想获取主机A与主机B外所有通信 tcpdump tcp port 23 host 监听telnet包 tcpdump host and \ ( or \) 监听主机A与B或者C的通信包 2 4.2 UNIX系统抓包命令TCPDUMP-1 实例1：抓包NMSC与WAP之间交互消息 tcpdump -xls 0 -w pe0804.cap -i bond0 port 18080 and host -xls 0 标示抓包的大小不限制 -i 指定网络接口为bond0 指定端口为18080 指定主机为 （不指定源，即src和dst都抓） 如果指定src 说明只抓来自host的消息流，如果是dst，说明由本端出口到host的消息流 实例2：抓包NMSC与SP之间交互消息 tcpdump -xls 0 –w spa0804.cap -i en1 tcp and host 68 -xls 0 标示抓包的大小不限制 -i 指定网络接口为en1 指定端口为18080 指定主机为68 实例3：抓包NMSC与外部网元FTP交互消息 tcpdump -xls 0 –w spa080401.cap -i en0 port 21 and ftp -xls 0 标示抓包的大小不限制 -i 指定网络接口为en1 指定端口为21 指定协议为ftp 抓包说明：先确定好要抓包的端口，尤其注意多网卡是，需要确定网卡。 AIX系统抓的包，在FTP上传至跳板机时，需要使用BIN模式上传。 3 4.3 UNIX系统抓包命令-snoop Snoop用于solaris系统抓包工具，显示网络通讯情况。 -a 抓全部信息 -d 指定设备le ie 网络端口 -s 指定抓包长度 -c 指定抓包数量 -S 报告抓包大小 -i 预览抓包后的文件 -p 显示抓包的第N-N+50个包 -V 显示所有高级别信息 -v 显示所有详细信息，包括rpc、udp、ip等协议 。-p 关闭混杂模式 -o FILE 指定保存的包名称 -t a|r|d Time: Relative, Absolute or Delta 记录时间 snoop -d e1000g –ta -x 54 50 and port 23520 and tcp ta记录当前时间 -x0 标示显示整个IP包内容、-x54显示应用协议 snoop -o file2 A and B and (tcp or udp) and port 80 监听主机A和主机B间所有TCP 80 端口或UDP80端口的包 snoop -o file1 -d le0 port 123 指定网口和端口 snoop - i file rpc nfs and A and B 查看A和B之间的rpc和nfs包 snoop -i file -o file2 rpc nfs A B 将符合条件的保存至file2中 snoop -o file1 -d pcn0 dst host Katty and tcp port 23 指定网卡、主机、端口 snoop -i file1 -p 99,108 查看99到108个包内容 snoop -i file1 -v -p101 查看P101详细包 snoop broadcast 监听所有的广播包 snoop |grep –