抓包及抓包分析中的那些事儿(文库发布版本)

抓包及抓包分析中的那些事儿(文库发布版本)

课程介绍、目录及截图:
抓包及抓包分析的那些事儿
随着网络的发展越来越广泛，我们的信息流失的途径有很多。偷盗行为、泄密行为、骗子行为也随之
越来越多。除了自己注册、公用部门败类泄密外，还有一个途径可以获取到一些个人信息。那就是——从
网络通讯链路上捕获，这也就是所谓的——抓包。
我们下面讨论的抓包，仅仅局限于我们被允许的、有益于工作问题定位的范围。
在平时的工作过程中，我们应用服务器大致分为Unix、Linux 和Windows。针对微软的平台，抓包工具
简直就是海量，免费的、收费的，百度一下，无限可能。
我们仅仅针对unix 或linux 平台做下介绍。
1.1 常用抓包方法
Solaris/Unix 服务器上的方法是snoop 命令；Linux 服务器有一个强大的命令tcpdump；windows 下有轻
量的抓包工具sniffer，easyspy 等等。
在如上三种平台上都可以使用wireshark 来操作。
但是平时工作中使用snoop/tcpdump 命令较多。大都使用wireshark 进行分析cap 包。
所以，我们对snoop 和tcpdump 做下常用总结。
1.1.1 Snoop
命令使用，参见man 手册。
snoop [-aqrCDNPSvV] [-t [r | a | d]] [-c maxcount]
[-d device] [-i filename] [-n filename] [-o filename]
[-p first [, last]] [-s snaplen] [-x offset [, length]]
[expression]
常用：
A、 不针对网卡抓包；
B、 针对网卡抓包；
C、 经常加上-x54，将tcp 包的报头去掉。
1.1.1.1 不针对网卡抓文本包
snoop -ta -x54 ip 地址 and port 端口号
举例：
# snoop -tax 54 10.10.126.173 and port 22
Using device e1000g0 (promiscuous mode)
16:33:41.25716 10.10.126.127 -> smias-solaris TCP D=22 S=1449 Ack=1979599451
Seq=1920026158 Len=0 Win=63168
攻城狮论坛 bbs.vlan5.com #^_^# 版 权 归 原 作 者 所 有 本 资 料 仅.供试读
攻城狮论坛(技术+生活)群 2258097
抓包及分析的那些事儿 野牛整理
2
16:33:42.08157 smias-solaris -> 10.10.126.127 TCP D=1449 S=22 Push Ack=1920026158 Seq=1979599451 Len=148 Win=49640
附录：
A、 如果在网络不好的情况下，可以将该抓包先保存到一个文件中； snoop -tax 54 10.10.126.173 and port 22 > filename.zb
B、 网络情况还好的情况下，前台显示，还能保存到一个文件中： snoop -tax 54 10.10.126.173 and port 22 |tee filename.zb
1.1.1.2 针对网卡抓 针对网卡抓 针对网卡抓 针对网卡抓 文本 包
snoop -d 网卡名 -ta -x54 ip地址 and port 端口号
获取网卡方法：ifconfig -a
举例：
# ifconfig -a
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000 e1000g0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.10.126.173 netmask ffffff00 broadcast 10.10.126.255
ether 0:23:7d:b6:2e:17 注释：在多网卡的情况下，会有多个，请注意选择。
# snoop -d e1000g0 -tax 54 10.10.126.173 and port 22
Using device e1000g0 (promiscuous mode)
16:38:54.05544 smias-solaris -> 10.10.126.127 TCP D=1449 S=22 Push Ack=1920028322 Seq=1979607575 Len=68 Win=49640
16:38:54.05545 smias-solaris -> 10.10.126.127 TCP D=1449 S=22 Push Ack=1920028322 Seq=1979607643 Len=68 Win=49640
16:38:54.05563 10.10.126.127 -> smias-solaris TCP D=22 S=1449 Ack=1979607643 Seq=1920028322 Len=0 Win=64100
16:38:54.05658 10.10.126.127 -> smias-solaris TCP D=22 S=1449 Push Ack=1979607711 Seq=1920028322 Len=52 Win=64032
16:38:54.12001 smias-solaris -> 10.10.126.127 TCP D=1449 S=22 Ack=1920028374 Seq=1979607711 Len=0 Win=49640 警示：在现网曾经遇到过，发包和收包是从不同网卡走的。也需要关注。
1.1.1.3 抓取二进制 抓取二进制 抓取二进制 capcap 包
snoop -o snapcap.cap -ta -x54 ip地址 and port 端口号

下载链接:

游客，如果您要查看本帖隐藏内容请回复

论坛便捷链接:

最新视频发布?--->点这里	下载链接失效?--->点这里	求视频/帮助?--->点这里
免费领金币?--->点这里	解压缩密码?--->点这里	关注微信/微博?---> 点这里

能帮助您和更多的人找到自己想要的资料并取得更大进步,是我们最大的愿望。

                                                                                                                                                                                      

轻松3步 无限次刷金币 每次200 只需20秒 http://bbs.vlan5.com/thread-14477-1-1.html

感谢楼主 感谢攻城狮论坛 每天签到得积分(连续签到金币翻倍) 希望越办越好

有需要的资料可以在这里发帖让别人帮你找 攻城狮论坛 http://bbs.vlan5.com/forum-97-1.html

你知道么? 通过论坛客服报名CCNA,CCNP,CCIE 最高可省2000元培训费. 联系QQ 80766391

感谢楼主 感谢攻城狮论坛 每天签到得积分(连续签到金币翻倍) 希望越办越好

轻松3步 无限次刷金币 每次200 只需20秒http://bbs.vlan5.com/thread-14477-1-1.html

你知道么? 加思科华为网络技术讨论群2258097 然后私聊群主 可以领取100论坛金币

攻城狮论坛弄的不错 请大家多多支持 http://bbs.vlan5.com

你知道么? 通过论坛客服报名CCNA,CCNP,CCIE 最高可省2000元培训费. 联系QQ 80766391