Instrucciones para la captura de paquetes cuando la red es anormal

Others 2021-01-27 00:06:19 views: null

Introducción a las herramientas de captura de paquetes de uso común
A continuación se describen las herramientas de captura de paquetes de uso común en entornos Linux y Windows: Herramienta de captura de paquetes en el
entorno Linux Herramienta de captura de paquetes en
el entorno Windows

Herramienta de captura de paquetes en entorno Linux

En el entorno Linux, tcpdump se usa generalmente para la captura y análisis de paquetes. Es una herramienta de análisis y captura de paquetes de datos preinstalada en casi todas las distribuciones de Linux. Para obtener e instalar la herramienta tcpdump, consulte la documentación oficial de tcpdump .
ejemplo de uso de tcpdump

tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ] 
         [ -c count ] 
         [ -C file_size ] [ -G rotate_seconds ] [ -F file ] 
         [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] 
         [ --number ] [ -Q in|out|inout ] 
         [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ] 
         [ -W filecount ] 
         [ -E spi@ipaddr algo:secret,... ] 
         [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] 
         [ --time-stamp-precision=tstamp_precision ] 
         [ --immediate-mode ] [ --version ] 
         [ expression ]

La descripción de los parámetros comunes (distingue entre mayúsculas y minúsculas)
-s se utiliza para establecer la longitud de captura de paquetes. Si -s es 0, significa que se selecciona automáticamente la longitud adecuada para capturar el paquete de datos.
-w se utiliza para exportar los resultados de la captura a un archivo en lugar de analizarlos e imprimirlos en la consola.
-i se usa para especificar la interfaz (tarjeta de red) que debe monitorearse.
-vvv se utiliza para generar datos interactivos detallados.
expresión es una expresión regular utilizada para filtrar mensajes. Incluye principalmente las siguientes categorías:
palabras clave del tipo especificado: incluido host (host), net (red) y puerto (puerto).
Palabra clave que especifica la dirección de transmisión: incluye src (origen), dst (destino), dst o src (origen o destino) y dst y src (origen y destino).
Palabra clave del protocolo especificado: incluidos icmp, ip, arp, rarp, tcp, udp y otros tipos de protocolos.
Para obtener más descripción y uso de los parámetros, consulte la página de manual de tcpdump .

Uso común y salida de muestra
Capture los datos interactivos del puerto especificado de la tarjeta de red especificada.
Instrucciones de operación:

tcpdump -s 0 -i eth0 port 22

Salida de muestra:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
20:24:59.414951 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442372:442536, ack 53, win 141, length 164
20:24:59.415002 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442536:442700, ack 53, win 141, length 164
20:24:59.415052 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442700:442864, ack 53, win 141, length 164
20:24:59.415103 IP 172.16.2.226.ssh &gt; 42.120.74.107.43414: Flags [P.], seq 442864:443028, ack 53, win 141, length 164</code></pre>

Tome los datos interactivos enviados por la tarjeta de red especificada al puerto especificado en la IP especificada y genere información interactiva detallada en la consola.

Instrucciones de operación:

tcpdump -s 0 -i eth1 -vvv port 22</code></pre>

Salida de muestra:

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
20:24:20.991006 IP (tos 0x10, ttl 64, id 22747, offset 0, flags [DF], proto TCP (6), length 316)
172.16.2.226.ssh &gt; 42.120.74.107.43414: Flags [P.], cksum 0x2504 (incorrect -&gt; 0x270d), seq 133624:133900, ack 1, win 141, length 276
20:24:20.991033 IP (tos 0x0, ttl 53, id 2348, offset 0, flags [DF], proto TCP (6), length 92)
42.120.74.107.43414 &gt; 172.16.2.226.ssh: Flags [P.], cksum 0x4759 (correct), seq 1:53, ack 129036, win 15472, length 52
20:24:20.991130 IP (tos 0x10, ttl 64, id 22748, offset 0, flags [DF], proto TCP (6), length 540)
172.16.2.226.ssh &gt; 42.120.74.107.43414: Flags [P.], cksum 0x25e4 (incorrect -&gt; 0x5e78), seq 133900:134400, ack 53, win 141, length 500
20:24:20.991162 IP (tos 0x0, ttl 53, id 2349, offset 0, flags [DF], proto TCP (6), length 40)
42.120.74.107.43414 &gt; 172.16.2.226.ssh: Flags [.], cksum 0xf39e (correct), seq 53, ack 129812, win 15278, length 0

Tome los datos de interacción de ping enviados a la IP especificada y genere datos de interacción detallados en la consola.

Instrucciones de operación:

tcpdump -s 0 -i eth1 -vvv dst 223.5.5.5 and icmp

Salida de muestra:

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
20:26:00.368958 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 &gt; public1.alidns.com: ICMP echo request, id 55097, seq 341, length 64
20:26:01.369996 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 &gt; public1.alidns.com: ICMP echo request, id 55097, seq 342, length 64
20:26:02.371058 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 &gt; public1.alidns.com: ICMP echo request, id 55097, seq 343, length 64
20:26:03.372181 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 &gt; public1.alidns.com: ICMP echo request, id 55097, seq 344, length 64

Tome todos los datos de la interfaz en el sistema y guárdelos en un archivo específico.

Instrucciones de operación:

tcpdump -i any -s 0 -w test.cap</code></pre>

Salida de muestra:

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes

Herramienta de captura de paquetes en entorno Windows

Captura de paquetes de Wireshark paso
1. Instale y abra Wireshark.
2. Elija Captura> Opciones.
3. En la interfaz de la interfaz de captura de WireShark, seleccione la tarjeta de red que debe capturarse de acuerdo con el nombre de la interfaz o la dirección IP correspondiente y luego haga clic en Iniciar.
Inserte la descripción de la imagen aquí
4. Después de capturar suficientes paquetes de datos, seleccione Capturar> Detener.

5. Seleccione Archivo> Guardar para guardar el resultado de la captura en el archivo especificado.
Para el uso de las herramientas de Wireshark y los métodos de análisis de datos, consulte la documentación oficial de Wireshark .

Supongo que te gusta

Origin blog.csdn.net/qq_17030783/article/details/99683221
Recomendado
Clasificación
Diario
Más
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)

Code World

© 2018 codetd.com