WINDUMP参数分析和总结.docx

转 WINDUMP 参数 [ 2006-04-25 11:07:40 am | 作者: 残月 ] 字体大小: 大 | 中 | 小 TCP 数据报头六个标志位 U （URG） Urgent pointer field significant 紧急指针,用到的时候值为,用来处理避免 TCP 数据流中断 A （ACK） Acknowledgment field significant 置 1 时表示确认号（Acknowledgment Number） 为合法，为 0 的时候表示数据段不包含确认信息，确认号被忽略 P （PSH） Push function. PUSH 标志的数据，置 1 时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送 R （RST） Reset the connection 用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和 请求。如果接收到 RST 位时候，通常发生了某些错误。 S （SYN） Synchronize sequence numbers 用来建立连接，在连接请求中，SYN=1，ACK=0，连 接响应时，SYN=1，ACK=1。即，SYN 和 ACK 来区分 Connection Request 和 Connection Accepted F （FIN） No more data from sender. 用来释放连接，表明发送方已经没有数据发送了 TCP 的三次握手过程: 首先客户端（请求方）在连接请求中，发送SYN=1，ACK=0 的 TCP 数据包给服务器端（接收请求端）， 表示要求同服务器端建立一个连接；然后如果服务器端响应这个连接，就返回一个 SYN=1，ACK=1 的数据报给客户端，表示服务器端同意这个连接，并要求客户端确认；最后客户端就再发送SYN=0，ACK=1 的数据包给服务器端，表示确认建立连接。 后面的范例种我们就利用这些标志位和 TCP 协议连接的三次握手特性来进行扫描探测的.基本的介绍就这么多了,对 TCP/IP 不太熟的,建议去看看 W.Richard Stevens 的鼎鼎大作《TCP/IP 详解》, 第 1 章 Windump 软件简介 概述 Windump 是 Windows 环境下基于命令行的网络数据包分析和嗅探工具，其 Unix 版本名称为 Tcpdump。它可以捕捉网络上两台电脑之间所有的数据包，供网络管理员/入侵分析员做进一步流量分析和入侵检测。在这种监视状态下，任何两台电脑之间都没有秘密可言，所有的流量、所有的数据都逃不过你的眼睛（当然加密的数据不在讨论范畴之内，而且，对数据包分析的结果依赖于你的 TCP/IP 知识和经验，不同水平的人得出的结果可能会大相径庭）。如果你做过 DEBUG 或者反汇编，你会发现二者是那么惊人的相似。 Windump 是免费软件，命令行下面使用，需要 WinPcap 驱动. 功能简介 运行 我们打开一个命令提示符，运行 windump 后出现： D:\windump windump:listening on\Device\Packet_{9D9A4413-7F41-463A-BA3C-B17145F4A626} /* 如果你看见屏幕上显示出这个信息，这表示 windump 正在监听我的网卡，网卡的设备名称是： \ Device\Packet_{9D9A4413-7F41-463A-BA3C-B17145F4A626},说明你的 winpcap 驱动已经正常安装，否则请下载并安装正确的驱动。 */ Windump 参数简介 windump 支持相当多的不同参数，如使用-i 参数指定 Windump 监听的网络界面，这在计算机具有多个网络界面时非常有用，使用-c 参数指定要监听的数据包数量，使用-w 参数指定将监听到的数据包写入文件中保存，等等。 Windump 的参数很多，运行 windump -h 可以看到： D:\windump -h windump version current-cvs.W, based on Windump version current-cvs.tc WinPcap version 3.0 alpha, based on libpcap version current-cvs.W Usage: windump [-aAdDeflnNOpqRStuvxX] [-B size] [-c count] [ -C file_size ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -E algo:secret ] [ expression ] Windump