【安全牛学习笔记】tcpdump抓包实战

抓包实战

1.
feixiangdejg@feixiangdejg:~$ sudo tcpdump -i wlp4s0 -nn -X 'port 53' -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:48:41.368480 IP 192.168.155.4.5774 > 192.168.155.1.53: 12187+ A? www.baidu.com. (31)

0x0000: 4500 003b fc84 4000 4011 86d6 c0a8 9b04 E..;..@.@....... 0x0010: c0a8 9b01 168e 0035 0027 45ea 2f9b 0100 .......5.'E./...

0x0020: 0001 0000 0000 0000 0377 7777 0562 6169 .........www.bai

0x0030: 6475 0363 6f6d 0000 0100 01 du.com..... 1 packet captured

2 packets received by filter 0 packets dropped by kernel

-i选项: 是interface的含义，是指我们有义务告诉tcpdump希望他去监听哪一个网卡。这在我们一台服务 器有多块网卡时很有必要。默认情况下，tcpdump 会从系统接口列表中搜寻编号最小的已配置好 的接口(不包括 loopback 接口)。一但找到第一个符合条件的接口, 搜寻马上结束。可以用tcpdump查看该表。

-nn选项: 意思是说当tcpdump遇到协议号或端口号时，不要将这些号码转换成对应的协议名称或端口名 称。

-X选项: 告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示)，这在进行协议分析时是绝对的利器。

‘port 53’: 这是告诉tcpdump不要看到啥就显示啥。我们只关心源端口或目的端口是53的数据包，其他的数据包别给我显示出来。

-c选项: 是Count的含义，这设置了我们希望tcpdump帮我们抓几个包。

2.
feixiangdejg@feixiangdejg:~$ sudo tcpdump -i wlp4s0 -nn -c 10 -l | awk '{print $1}' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes
10 packets captured
10 packets received by filter
0 packets dropped by kernel
11:59:28.456442
11:59:29.276005
11:59:30.300463
11:59:33.172354
11:59:34.197729
11:59:37.269987
11:59:38.293051
11:59:43.414552
11:59:44.241995
11:59:45.258773

-l选项:-l选项的作用就是将tcpdump的输出变为“行缓冲”方式，这样可以确保tcpdump遇到的内容一旦 是换行符即将缓冲的内容输出到标准输出，以便于利用管道或重定向方式来进行后续处理。 众所周知，Linux/UNIX的标准I/O提供了全缓冲、行缓冲和无缓冲三种缓冲方式。标准错误是不带 缓冲的，终端设备常为行缓冲，而其他情况默认都是全缓冲的。 大家在使用tcpdump时，有时会有这样的需求:“对于tcpdump输出的内容，提取每一行的第一 个域，即”时间域”，并输出出来，为后续统计所用”，这种场景下，我们就需要使用到-l来将默认的全缓冲变为行缓冲了。 如果不加-l选项，那么只有全缓冲区满，才会输出一次，这样不仅会导致输出是间隔不顺畅的，而 且当你ctrl-c时，很可能会断到一行的半截，损坏统计数据的完整性。

3.
feixiangdejg@feixiangdejg:~$ sudo tcpdump -c 1 -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes
ARP, Request who-has N46LB4A51FFLXYS.workgroup tell iPad.workgroup, length 28 1 packet captured
9 packets received by filter
2 packets dropped by kernel

-t选项: 在每行输出中不打印时间戳

4.
feixiangdejg@feixiangdejg:~$ sudo tcpdump -c 1 -F filter.txt
tcpdump: can't open filter.txt: Permission denied
-F 选项:使用file 文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略. 

该笔记为安全牛课堂学员笔记，想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证？

      牛妹先给大家介绍一下Security+

        Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA ；是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和CISSP偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞，应用程序、数据和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因？  

       原因一：在所有信息安全认证当中，偏重信息安全技术的认证是空白的， Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP，但是无论CISP还是CISSP都是偏重信息安全管理的，技术知识讲的宽泛且浅显，考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上，CISP也要求大专学历4年以上工作经验，这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中，无论是找工作还是升职加薪，或是投标时候报人员，认证都是必不可少的，这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍，由于Security+偏重信息安全技术，所以对工作经验没有特别的要求。只要你有IT相关背景，追求进步就可以学习和考试。

       原因二： IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业，IT运维人员非常多，IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍，死亦写代码”的悲壮，但也有着“锄禾日当午，不如运维苦“的感慨。天天对着电脑和机器，时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识，掌握网络安全实践。职业发展朝着网络安全的方向发展，解决国内信息安全人才的匮乏问题。另外，即使不转型，要做好运维工作，学习安全知识取得安全认证也是必不可少的。

        原因三：接地气、国际范儿、考试方便、费用适中！

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下，人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的，相信Security+认证一定会成为最火爆的信息安全认证。