整理1-tcpdump+nmap+wireshark

 最近開始整理以前經常用到的工具和方法，今天把如下幾個工具要點整理了下，這在系統運維網絡分析中經常會用到。很實用。

分爲兩部分，

第一部分是自己出的自測訓練題，均在機器上跑過。

第二部分，是粗略的知識要點，對於處理大部分網絡分析已經夠用了。

1-訓練：

1. 1.tcpdump  eth0 接口 192.168.100.178 過來的所有包，並保存爲pcap 文件供wireshark 分析。

 tcpdump -i eth0  host 192.168.100.178  -w 178.pcap

 

1. 2.tcpdumpeth0 接口目的地址爲 192.168.100.178 80 端口的所有包

tcpdump -i eth0  host 192.168.100.178  and dst port 22  -nn

 

1. 3.tcpdumpetho接口源地址爲192.168.100.178 ssh 協議的所有包

tcpdump -i eth0 src   host 192.168.100.178  and tcp dst  port 22  -nn

4.tcpdump eth0 接口192.168.100.178 所有udp 協議包。

 tcpdump -i eth0  host 192.168.100.178      and udp port 23

 

5.想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信

tcpdump -i eth0  host 192.168.0.128       and  \(192.168.200.6 or 192.168.200.5\) -nn

 

wireshark 表達式：

1. 1.顯示wireshark  到192.168.0.128 的所有流量包

ip.addr==192.168.0.128 and tcp.port ==22

 

1. 2.顯示wireshark 到192.168.0.128 ssh 協議所有流量

 ip.addr==192.168.0.128 and tcp.port ==22

 

1. 3.篩選某一網站的http 協議流量

http

 

1. 4.過濾某一源地址及目的地址  的指定協議端口。

Ip.src==192.168.100.178and  tcp.dstport ==80

1. 5.過濾 http 請求頭爲 get 的流量包

http.request.method== "GET"

 

 

nmap 規則：

 

1. 1.掃描某臺主機192.168.100.178  開放了那些端口

nmap -O 192.168.100.178  /nmap-sV 192.168.100.178

 

2.掃描 192.168.100.0/24 網段有哪些Ip 已經使用

Nmap  -sP 192.168.100.0/24

 

3.掃描192.168.200/0/24 網段有那些機器開放了80,3306 端口

Nmap  -sU 192.168.0.0/24  -p 80,3306   -s[scan][類型

nmap -sS 192.168.0.0/24  -p 80,3306

]

1. 4.掃描 某一網段主機是否開啓了udp 端口

 Nmap  -sU 192.168.0.0/24  -p 80,3306

 

5. 組合掃描(不ping、軟件版本、內核版本、詳細信息)
nmap -P0 -sV -O -v 192.168.30.251

 

2-要點：

Tcpdump 要點：

第一種是關於類型的關鍵字，主要包括host，net，port

第二種是確定傳輸方向的關鍵字，主要包括src，dst，dst or src，dst and src

第三種是協議的關鍵字，主要包括fddi，ip，arp，rarp，tcp，udp等類型

 

三種類型內部之間必須用表達式and,or ,not 進行分隔。

 

如果我們只需要列出送到80端口的數據包，用dst port；如果我們只希望看到返回80端口的數據包，用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80

 

 

Wireshark 過濾規則：

過濾 ip

ip.dst==10.10.10.10
ip.src==10.10.10.10
ip.addr==10.10.10.10

等號可以用 eq 替代，如 ip.dst eq 10.10.10.10

dst 表示過濾目標 ip, src 表示過濾來源 ip, addr 則同時過濾兩者；

·        or 操作符可以同時使用多條過濾規則，如 ip.dst==10.10.10.10 orip.dst=10.10.10.11

過濾 端口

tcp.port==80
tcp.dstport==80
tcp.srcport==80

dstport 表示過濾目標端口，其它類似於 ip 過濾規則；

協議過濾

直接在過濾框輸入協議名即可。如 http, tcp, udp, ftp 等

http 模式過濾

http.host=="www.baidu.com"
http.uri=="/img/logo-edu.gif"
http.request.method=="GET"
http.request.method=="POST"
http contains "baidu"

 

namp 規則：

-sS(TCP同步掃描(TCP SYN)：發出一個TCP同步包(SYN)，然後等待回對方應)

 

-sU（UDP掃描：nmap首先向目標主機的每個端口發出一個0字節的UDP包，如果我們收到

端口不可達的ICMP消息，端口就是關閉的，否則我們就假設它是打開的）

 

-p（ports的範圍）

 

-sV(對服務版本的檢測)

 

最後總結下常用的nmap參數

1、nmap -sP 59.69.139.0/24(掃描在線的主機)

2、nmap -sS 59.69.139-10 -p 80,22,23,52-300（SYN的掃描方式,可以加ip和端口的限制）
3、nmap -sV 59.69.139.1 -p1-65535（探測端口的服務和版本（Version））
4、nmap -O 192.168.1.1或者nmap  -A 192.168.1.1(探測操作系統的類型和版本)