10.10-Linux下抓包

原創 Evan's 2020-06-19 05:05

有时也许想看一下某个网卡上都有哪些数据包,尤其是当你初步判定服务器上有流量攻击时,使用抓包工具来抓取数据包就可以知道有哪些 IP 在攻击了。

tcpdump 工具

[root@evan-01 ~]# tcpdump
-bash: tcpdump: command not found
[root@evan-01 ~]# yum install -y tcpdump

ifconfig 查看网卡信息

[root@evan-01 ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.94.128  netmask 255.255.255.0  broadcast 192.168.94.255
        inet6 fe80::dc8f:bbc8:e3f6:6009  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:ef:0d:47  txqueuelen 1000  (Ethernet)
        RX packets 103  bytes 9412 (9.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 83  bytes 9883 (9.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 40  bytes 3128 (3.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 40  bytes 3128 (3.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@evan-01 ~]# 

[root@evan-01 ~]# tcpdump -nn -i ens33

在这里插入图片描述回车后会出现密密麻麻的一对字符串,在按 Ctrl+c 之前,这些字符串一直在刷屏,刷屏越快说明网卡上的数据包越多。我们只需要关注第3列和第4列,他们显示的信息为哪一个 IP+端口号在连接哪一个IP+端口号。后面的信息是该数据包的相关信息。

-i 选项后面跟设备名称,如果想抓取其他网卡的数据包,后面则要跟其他网卡的名字。
-nn 选项的作用是让第3列和第4列显示成“IP+端口号”的形式,如果不加 -nn 选项则显示 “主机名+服务名称”

指定端口抓包
指定抓端口 22 的包

[root@evan-01 ~]# tcpdump -nn -i ens33 port 22

在这里插入图片描述

指定不抓端口 22 的包

[root@evan-01 ~]# tcpdump -nn -i ens33 not port 22

在这里插入图片描述

指定抓不带 22 端口的,host 为 192.168.94.128的包

[root@evan-01 ~]# tcpdump -nn -i ens33 not port 22 and host 192.168.94.128

指定抓包数量,抓够了自动退出

[root@evan-01 ~]# tcpdump -nn -i ens33 -c 20

在这里插入图片描述

指定抓包数量,抓够了存起来

[root@evan-01 ~]# tcpdump -nn -i ens33 -c 20 -w /tmp/bag.txt
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
20 packets captured
20 packets received by filter
0 packets dropped by kernel
[root@evan-01 ~]# #

查看保存的文件信息

[root@evan-01 ~]# file /tmp/bag.txt
/tmp/bag.txt: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)
[root@evan-01 ~]#

不能 cat 会乱码的

[root@evan-01 ~]# cat /tmp/bag.txt

在这里插入图片描述非要查看的话这么做

[root@evan-01 ~]# tcpdump -r /tmp/bag.txt
reading from file /tmp/bag.txt, link-type EN10MB (Ethernet)
17:20:10.435887 IP evan-01.ssh > 192.168.94.1.51017: Flags [P.], seq 1497515368:1497515500, ack 3398625503, win 255, length 132
17:20:10.436008 IP 192.168.94.1.51017 > evan-01.ssh: Flags [.], ack 132, win 8211, length 0
17:20:15.438980 ARP, Request who-has 192.168.94.1 tell evan-01, length 28
17:20:15.439271 ARP, Reply 192.168.94.1 is-at 00:50:56:c0:00:08 (oui Unknown), length 46
17:20:56.427613 IP 192.168.94.1.mdns > 224.0.0.251.mdns: 0 A (QM)? wpad.local. (28)
17:20:56.428243 IP6 fe80::88e9:9626:f187:f24d.mdns > ff02::fb.mdns: 0 A (QM)? wpad.local. (28)
17:20:56.428844 IP 192.168.94.1.mdns > 224.0.0.251.mdns: 0 AAAA (QM)? wpad.local. (28)
17:20:56.429097 IP6 fe80::88e9:9626:f187:f24d.mdns > ff02::fb.mdns: 0 AAAA (QM)? wpad.local. (28)
17:20:56.841162 IP6 fe80::88e9:9626:f187:f24d.65285 > ff02::1:3.hostmon: UDP, length 22
17:20:56.841224 IP6 fe80::88e9:9626:f187:f24d.52343 > ff02::1:3.hostmon: UDP, length 22
17:20:56.841234 IP 192.168.94.1.52343 > 224.0.0.252.hostmon: UDP, length 22
17:20:56.841258 IP 192.168.94.1.65285 > 224.0.0.252.hostmon: UDP, length 22
17:20:56.922097 ARP, Request who-has gateway tell 192.168.94.1, length 46
17:20:57.427739 IP 192.168.94.1.mdns > 224.0.0.251.mdns: 0 A (QM)? wpad.local. (28)
17:20:57.428051 IP6 fe80::88e9:9626:f187:f24d.mdns > ff02::fb.mdns: 0 A (QM)? wpad.local. (28)
17:20:57.429628 IP 192.168.94.1.mdns > 224.0.0.251.mdns: 0 AAAA (QM)? wpad.local. (28)
17:20:57.430054 IP6 fe80::88e9:9626:f187:f24d.mdns > ff02::fb.mdns: 0 AAAA (QM)? wpad.local. (28)
17:20:57.927551 ARP, Request who-has gateway tell 192.168.94.1, length 46
17:20:58.922416 ARP, Request who-has gateway tell 192.168.94.1, length 46
17:20:59.922613 ARP, Request who-has gateway tell 192.168.94.1, length 46
[root@evan-01 ~]#

wireshark 工具
也许你在 windows 下使用过 wireshark 这个抓包工具,它的功能非常强大。在 linux 平台我们同样也可以使用它,只不过是以命令行的形式。 wireshark 的具体选项不再介绍,在日常生活中 tcpdump 其实就够我们使用了。下面的用法是在工作中用的比较多的

[root@evan-01 ~]# tshark
-bash: tshark: command not found
[root@evan-01 ~]# yum install -y wireshark

tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

这条命令是用于 web 服务器,虚拟机没有什么效果

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

关于屏幕分辨率与图标放大尺寸以及网页分辨率的一些测试

Image resolution,臺灣譯爲“解析度”,香港譯爲“解像度”,中國大陸譯爲“分辨率”,泛指量測或顯示系統對細節的分辨能力。此概念可以用時間、空間等領域的量測。日常用語中之分辨率多用於視頻的清晰度。分辨率越高代表視頻質量

WalkingAlien 2020-06-23 21:12:48

cURL工具的基本使用及命令参数作用说明

cURL是什麼? cURL是一個利用URL語法在命令行下工作的文件傳輸工具,1997年首次發行。它支持文件上傳和下載,所以是綜合傳輸工具,但按傳統,習慣稱cURL爲下載工具。cURL還包含了用於程序開發的libcurl。 cURL能做什麼

23点半 2020-06-22 17:24:47

nohup java -jar 部署jar包服务

最近在服務器上通過 java -jar 部署了sentinel控制檯,但是第二天訪問的時候,頁面就無法訪問了。原因是關掉shell命令窗口後,進程死掉了。我們需要修改下運行命令。 解決 nohup java -server -Xms25

葫芦胡 2020-06-20 09:42:13

10.6-监控io性能

磁盤狀態命令iostat [root@evan-01 ~]# iostat Linux 3.10.0-693.el7.x86_64 (evan-01) 11/20/2019 _x86_64_ (1 CP

Evan's 2020-06-19 05:05:08

10.2-vmstat命令

命令 w 查看的是系統整體上的負載,通過看那個數值可以知道當前系統有沒有壓力。但它無法判斷具體是哪裏(CPU、內存、磁盤等)有壓力,所以就用到了 vmstat。 vmstat 命令打印結果共分爲 6 部分:procs、memory

Evan's 2020-06-19 05:05:08

10.5-nload命令

用 nload 命令查看網卡流量 sar 雖然可以查看網卡流量,但是不夠直觀,還有一個更好的工具,那就是 nload。系統沒有默認安裝它,安裝方法如下: [root@evan-01 ~]# nload -bash: nload:

Evan's 2020-06-19 05:05:07

10.11-Linux网络相关

用 ifconfig 命令查看網卡 IP 前面我們用過 ip addr 這個命令來查看系統的 IP 地址。其實在 CentOS7 之前,我們使用最多的就是 ifconfig ,它類似於 Windows 的 ipconfig 命令,

Evan's 2020-06-19 05:04:57

10.1-使用w查看系统负载

衆所周知,生病了需要去醫院看病,大夫會問哪裏不舒服,然後通過觀察和自己的經驗,大體上就能判斷我們得的什麼病。linux 不會說話,它不會主動告訴我們哪裏出現了問題,需要我們自己去觀察。那麼如何評估系統運行狀態是否良好呢?下面就來一

Evan's 2020-06-19 05:04:57

10.4-sar命令

用 sar 命令監控系統狀態 sar 命令很強大,它可以監控系統幾乎所有資源狀態,比如平均負載、網卡流量、磁盤狀態、內存使用等。與其他系統狀態監控工具不同,它可以打印歷史信息,可以顯示當天從零點開始到當前時刻的系統狀態信息。如果你

Evan's 2020-06-19 05:04:57

10.8-ps命令

系統管理員一定要知道你所管理的系統都有哪些進程在運行,在 Windows 下只要打開任務管理器即可查看。那麼在 linux 下如何查看呢?其實使用前面介紹的 top 命令就可以,但是查看起來沒有 ps 命令方便,它是專門顯示系統進

Evan's 2020-06-19 05:04:57

10.9-查看网络状态

netstat -lnp 查看監聽端口 [root@evan-01 ~]# netstat -lnp 上面一部分是 tcp/ip ,下面一部分是監聽的 socket(unix開頭的行)。netstat 命令用來打印網絡連接狀況、

Evan's 2020-06-19 05:04:57

10.7-free命令

free 命令 [root@evan-01 ~]# free total used free shared buff/cache available Mem:

Evan's 2020-06-19 05:04:57

10.3-top命令

用 top 命令顯示進程所佔的系統資源 默認按cpu佔用從大到小排序 [root@evan-01 ~]# top top 命令用於動態監控進程所佔的系統資源,每隔 3 秒變一次。它的特點是把佔用系統資源(CPU、內存、磁盤 I/

Evan's 2020-06-19 05:04:56

Spring微服务实战(John Caenel)第三章:使用Spring Cloud配置服务器控制配置

一、前期準備 第三章源碼 通過Redeme可知需要以下基本環境: 1.Docker。 2.Postgres。 用虛擬機(Centos7.6)搭了Docker環境,Postgres的話直接用Docker容器運行就行,簡單粗暴。 do

somethingw 2020-06-18 23:33:34

【Mybatis】【逆向工程】【Mapper】【Pagehelper】下的条件查询加分页

pom.xml如下: <dependency> <groupId>com.github.pagehelper</groupId> <artifactId>pagehelper</artifactId>

somethingw 2020-06-18 23:33:34