最近開始整理以前經常用到的工具和方法，今天把如下幾個工具要點整理了下，這在系統運維網絡分析中經常會用到。很實用。

網站建設哪家好，找創新互聯！專注于網頁設計、網站建設、微信開發、小程序定制開發、集團企業網站建設等服務項目。為回饋新老客戶創新互聯還提供了南通免費建站歡迎大家使用！

分為兩部分，

第一部分是自己出的自測訓練題，均在機器上跑過。

第二部分，是粗略的知識要點，對于處理大部分網絡分析已經夠用了。

1-訓練：

1. 1.tcpdump  eth0接口 192.168.100.178 過來的所有包，并保存為pcap 文件供wireshark 分析。

 tcpdump -i eth0  host 192.168.100.178  -w 178.pcap

 

1. 2.tcpdumpeth0接口目的地址為 192.168.100.178 80 端口的所有包

tcpdump -i eth0  host 192.168.100.178  and dst port 22  -nn

 

1. 3.tcpdumpetho接口源地址為192.168.100.178 ssh 協議的所有包

tcpdump -i eth0 src   host 192.168.100.178  and tcp dst  port 22  -nn

4.tcpdump eth0接口192.168.100.178 所有udp 協議包。

 tcpdump -i eth0  host 192.168.100.178      and udp port 23

 

5.想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信

tcpdump -i eth0  host 192.168.0.128       and  \(192.168.200.6 or 192.168.200.5\) -nn

 

wireshark表達式：

1. 1.顯示wireshark  到192.168.0.128 的所有流量包

ip.addr==192.168.0.128 and tcp.port ==22

 

1. 2.顯示wireshark 到192.168.0.128 ssh 協議所有流量

 ip.addr==192.168.0.128 and tcp.port ==22

 

1. 3.篩選某一網站的http 協議流量

http

 

1. 4.過濾某一源地址及目的地址  的指定協議端口。

Ip.src==192.168.100.178and  tcp.dstport ==80

1. 5.過濾 http 請求頭為 get 的流量包

http.request.method== "GET"

 

 

nmap規則：

 

1. 1.掃描某臺主機192.168.100.178  開放了那些端口

nmap -O 192.168.100.178  /nmap-sV 192.168.100.178

 

2.掃描 192.168.100.0/24 網段有哪些Ip 已經使用

Nmap  -sP 192.168.100.0/24

 

3.掃描192.168.200/0/24 網段有那些機器開放了80,3306 端口

Nmap  -sU 192.168.0.0/24  -p 80,3306   -s[scan][類型

nmap -sS 192.168.0.0/24  -p 80,3306

]

1. 4.掃描 某一網段主機是否開啟了udp 端口

 Nmap  -sU 192.168.0.0/24  -p 80,3306

 

5.組合掃描(不ping、軟件版本、內核版本、詳細信息)
nmap -P0 -sV -O -v 192.168.30.251

 

2-要點：

Tcpdump要點：

第一種是關于類型的關鍵字，主要包括host，net，port

第二種是確定傳輸方向的關鍵字，主要包括src，dst，dst or src，dst and src

第三種是協議的關鍵字，主要包括fddi，ip，arp，rarp，tcp，udp等類型

 

三種類型內部之間必須用表達式and,or ,not 進行分隔。

 

如果我們只需要列出送到80端口的數據包，用dst port；如果我們只希望看到返回80端口的數據包，用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80

 

 

Wireshark過濾規則：

過濾 ip

ip.dst==10.10.10.10
ip.src==10.10.10.10
ip.addr==10.10.10.10

等號可以用 eq 替代，如 ip.dst eq 10.10.10.10

dst表示過濾目標 ip, src 表示過濾來源 ip, addr 則同時過濾兩者；

·        or操作符可以同時使用多條過濾規則，如 ip.dst==10.10.10.10 orip.dst=10.10.10.11

過濾 端口

tcp.port==80
tcp.dstport==80
tcp.srcport==80

dstport表示過濾目標端口，其它類似于 ip 過濾規則；

協議過濾

直接在過濾框輸入協議名即可。如 http, tcp, udp, ftp 等

http模式過濾

http.host=="www.baidu.com"
http.uri=="/img/logo-edu.gif"
http.request.method=="GET"
http.request.method=="POST"
http contains "baidu"

 

namp規則：

-sS(TCP同步掃描(TCP SYN)：發出一個TCP同步包(SYN)，然后等待回對方應)

 

-sU（UDP掃描：nmap首先向目標主機的每個端口發出一個0字節的UDP包，如果我們收到

端口不可達的ICMP消息，端口就是關閉的，否則我們就假設它是打開的）

 

-p（ports的范圍）

 

-sV(對服務版本的檢測)

 

最后總結下常用的nmap參數

1、nmap -sP 59.69.139.0/24(掃描在線的主機)

2、nmap -sS 59.69.139-10 -p 80,22,23,52-300（SYN的掃描方式,可以加ip和端口的限制）
3、nmap -sV 59.69.139.1 -p1-65535（探測端口的服務和版本（Version））
4、nmap -O 192.168.1.1或者nmap  -A 192.168.1.1(探測操作系統的類型和版本)

 

網站題目：整理1-tcpdump+nmap+wireshark
文章位置：http://vcdvsql.cn/article18/pdiggp.html

成都網站建設公司_創新互聯，為您提供域名注冊、動態網站、虛擬主機、網站內鏈、定制開發、自適應網站

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯