简介
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
- 使用NMAP扫描来获取指定主机/网段的相关信息
nmap [扫描类型] [选项] <扫描目标 …>
常用的扫描类型 | 作用 |
---|---|
-sS | TCP SYN扫描(半开)客户端访问服务端有回应就断开 |
-sT | TCP 连接扫描(全开) 需要建立完整的TCP握手连接 |
-sU | UDP扫描 |
-sP | ICMP扫描 |
-A | 目标系统全面分析 |
安装和使用:
yum –y install nmap
检查目标主机所开启的TCP服务:
[root@room6pc55 gpg]# nmap -sS 176.121.206.126
Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-16 14:37 CST
Nmap scan report for ip176-121-206-126.element.dn.ua (176.121.206.126)
Host is up (0.00013s latency).
Not shown: 989 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
873/tcp open rsync
2049/tcp open nfs
5900/tcp open vnc
MAC Address: DC:4A:3E:53:51:F0 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 1.13 seconds
检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务
[root@room6pc55 gpg]# nmap -n -p 21-22 -sT 176.121.206.0/24|grep 'Nmap'
Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-16 14:49 CST
Nmap scan report for 176.121.206.1
Nmap scan report for 176.121.206.2
Nmap scan report for 176.121.206.36
Nmap scan report for 176.121.206.126
Nmap scan report for 176.121.206.127
Nmap scan report for 176.121.206.131
Nmap scan report for 176.121.206.133
Nmap scan report for 176.121.206.135
Nmap scan report for 176.121.206.136
Nmap scan report for 176.121.206.137
Nmap scan report for 176.121.206.138
Nmap scan report for 176.121.206.139
Nmap scan report for 176.121.206.142
Nmap scan report for 176.121.206.144
Nmap scan report for 176.121.206.146
Nmap scan report for 176.121.206.150
Nmap scan report for 176.121.206.154
Nmap scan report for 176.121.206.129
Nmap done: 256 IP addresses (18 hosts up) scanned in 2.49 seconds
使用tcpdump分析FTP访问中的明文交换信息
**执行tcpdump命令行,添加适当的过滤条件,只抓取访问主机192.168.4.100的21端口的数据通信 ,并转换为ASCII码格式的易读文本。******
tcpdum的命令 | 作用介绍 | tcpdump过滤条件 | 参数 |
---|---|---|---|
-i | 指定监控的网络接口 | 类型 | host、net、port、portrange |
-A | 转换为 ACSII 码,以方便阅读 | 方向 | src、dst |
-w | 将数据包信息保存到指定文件 | 协议 | tcp、udp、ip、wlan、arp、… |
-r | 从指定文件读取数据包信息 | 多个条件组合 | and、or、not |
执行FTP访问,并观察tcpdump抓包结果
[root@client ~]#yum -y install vsftp ftp
[root@client ~]#systemctl restart vsftpd
[root@client ~]#tcpdump -A -w ftp.log host client的IP and tcp port 21 #对本机器的21端口进行抓取
[root@porxy ~]#yum -y install ftp
[root@porxy ~]#ftp client的IP
[root@porxy ~]#登入FTP
[root@porxy ~]# tcpdump -A -r ftp.cap | egrep '(USER|PASS)' #分析数据包
执行Nginx登入访问,并且抓取数据包,审查结果
[root@porxy ~]# lnmp架构源码编译或什么都可以
[root@porxy ~]# vim /usr/local/nginx/conf/nginx.conf #修改配置文件实现nginx密码登入
server {
listen 80;
server_name localhost;
auth_basic "xx:";
auth_basic_user_file "/usr/local/nginx/pass";
}
[root@porxy ~]# htpasswd -c /usr/local/nginx/pass 用户名 #再输入密码
[root@proxy ~]# tcpdump -A -i eth1 dst host prxoy的ip and tcp port 80
[root@proxy ~]# curl -u nb -p 123 http://192.168.4.100 #访问登入
Authorization: Basic bmI6MTIz #抓出来的所有密码密码
echo bmI6MTIz|base64 -d #解密
nb:123 #用户名以及密码
图形抓包软件wireshark
简介:
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcapnetwork library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!!
yum -y instll wireshark-gnome
wireshark