TCPDUMP(命令行操作)-抓包、篩選、高級篩選、過程文檔記錄

TCPDUMP

No-GUI的抓包分析工具

Linux、Unix系統(tǒng)默認安裝TCPdump—–抓包

抓包

默認只抓68個字節(jié)

tcpdump-ieth0-s0-wfile.pcap

tcpdump-ieth0port22

讀取抓包文件

Tcpdump-rfile.pcap選項介紹-A以ASCII格式打印出所有分組，并將鏈路層的頭最小化。

-c在收到指定的數(shù)量的分組后，tcpdump就會停止。

-C在將一個原始分組寫入文件之前，檢查文件當前的大小是否超過了參數(shù)file_size中指定的大小。如果超過了指定大小，則關閉當前文件，然后在打開一個新的文件。參數(shù)file_size的單位是兆字節(jié)（是1,000,000字節(jié)，而不是1,048,576字節(jié)）。

-d將匹配信息包的代碼以人們能夠理解的匯編格式給出。

-dd將匹配信息包的代碼以c語言程序段的格式給出。

-ddd將匹配信息包的代碼以十進制的形式給出。

-D打印出系統(tǒng)中所有可以用tcpdump截包的網(wǎng)絡接口。

-e在輸出行打印出數(shù)據(jù)鏈路層的頭部信息。

-E用spi@ipaddralgo:secret解密那些以addr作為地址，并且包含了安全參數(shù)索引值spi的IPsecESP分組。

-f將外部的Internet地址以數(shù)字的形式打印出來。

-F從指定的文件中讀取表達式，忽略命令行中給出的表達式。

-i指定監(jiān)聽的網(wǎng)絡接口。

-l使標準輸出變?yōu)榫彌_行形式，可以把數(shù)據(jù)導出到文件。

-L列出網(wǎng)絡接口的已知數(shù)據(jù)鏈路。

-m從文件module中導入SMIMIB模塊定義。該參數(shù)可以被使用多次，以導入多個MIB模塊。

-M如果tcp報文中存在TCP-MD5選項，則需要用secret作為共享的驗證碼用于驗證TCP-MD5選選項摘要（詳情可參考RFC2385）。

-b在數(shù)據(jù)-鏈路層上選擇協(xié)議，包括ip、arp、rarp、ipx都是這一層的。

-n不把網(wǎng)絡地址轉換成名字。

-nn不進行端口名稱的轉換。

-N不輸出主機名中的域名部分。例如，‘‘只輸出’nic‘。

-t在輸出的每一行不打印時間戳。

-O不運行分組分組匹配（packet-matching）代碼優(yōu)化程序。

-P不將網(wǎng)絡接口設置成混雜模式。

-q快速輸出。只輸出較少的協(xié)議信息。

-r從指定的文件中讀取包(這些包一般通過-w選項產(chǎn)生)。

-S將tcp的序列號以絕對值形式輸出，而不是相對值。

-s從每個分組中讀取最開始的snaplen個字節(jié)，而不是默認的68個字節(jié)。

-T將監(jiān)聽到的包直接解釋為指定的類型的報文，常見的類型有rpc遠程過程調用）和snmp（簡單網(wǎng)絡管理協(xié)議；）。

-t不在每一行中輸出時間戳。

-tt在每一行中輸出非格式化的時間戳。

-ttt輸出本行和前面一行之間的時間差。

-tttt在每一行中輸出由date處理的默認格式的時間戳。

-u輸出未解碼的NFS句柄。

-v輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息。

-vv輸出詳細的報文信息。

-w直接將分組寫入文件中，而不是不分析并打印出來。

root:～#tcpdump-htcpdumpversion4.3.0libpcapversion1.3.0Usage:tcpdump[-aAbdDefhHIJKlLnNOpqRStuUvxX][-Bsize][-ccount][-Cfile_size][-Ealgo:secret][-Ffile][-Gseconds][-iinterface][-jtstamptype][-Msecret][-rfile][-ssnaplen][-Ttype][-wfile][-Wfilecount][-ydatalinktype][-zcommand][-Zuser][expression]root:～#tcpdump-ieth0-s0-wa.cap//監(jiān)聽網(wǎng)絡接口字節(jié)為0保存到a.cap文件中tcpdump:listeningoneth0,link-typeEN10MB(Ethernet),capturesize65535bytes^C15packetscaptured15packetsreceicedbyfilter0packetsdroddedbykernel1234567891011121314151612345678910111213141516我們通過pingip的命令來產(chǎn)生一些SMP的數(shù)據(jù)流量?？梢钥吹?，我們抓到了15個數(shù)據(jù)包root:～#tcpdump-ra.cap//來讀取a.cap文件內容11

root:～#tcpdump-A-ra.cap//以ASCII格式打印出所有的分組并且讀取此文件

root:～#tcpdump-X-ra.cap//以十六進制格式打印出所有的分組并且讀取此文件

root:～#tcpdump-ieth0tcpport22只抓TCP，22端口的包，這里我們用nc來連一下另一臺虛擬機的22端口

TCPDUMP——篩選tcpdump-n-rhttp.cap|awk'{print$3}'|sort-u//-n是不對域名做解析，只以IP地址的形式來顯示；awk'{print$3}'顯示第三列的內容；sort-u篩選掉重復的內容tcpdump-nsrchost37-rhttp.cap//只有數(shù)據(jù)包的來源IP（源）37是這個的才提取tcpdump-ndsthost37-rhttp.cap//只有數(shù)據(jù)包是這個目標地址37才顯示出來tcpdump-nport53-rhttp.cap//50端口tcpdump-nXport80-rhttp.cap//16進制顯示80端口的信息1234512345

TCP包頭結構如下，8個位為一個字節(jié)，每一行為四個字節(jié)，一共是32個位，源端口占了前面的16個位，兩個字節(jié)；目的端口一樣；第四行第三列是標簽位012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|SourcePort|DestinationPort|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|SequenceNumber|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|AcknowledgmentNuber|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Date||C|E|U|A|P|R|A|F|||Offset|Res.|W|C|R|C|S|S|Y|I|Windwos||||R|E|G|K|H|T|N|N||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Checksum|UrgentPointer|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Options|Padding|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|data|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+12345678910111213141516171819202122232425262728293031323334353637381234567891011121314151617181920212223242526272829303132333435363738tcpdump-A-n‘tcp[13]=24’-rhttp.cap//ascll碼只顯示tcp13位為24的

過程文檔記錄

Dradis

短期臨時小團隊資源共享

各種插件導入文件

keepnote

Truecrypt

下面介紹一下keepnote

應用程序—–>Office—–>KeepNote

NewNotebook

新建一個keepnote

TrueCrypt，是一款免費開源的加密軟件，同時支持WindowsVista,7/XP,MacOSX,Linux等操作系統(tǒng)。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤，用戶可以按照盤符進行訪問，所有虛擬磁盤上的文件都被自動加密，需要通過密碼來進行訪問。TrueCrypt提供多種加密算法，包括：AES-256,Blowfish(448-bitkey),CAST5,Serpent,TripleD