tcpdump抓包实例与arp抓包检测
来源:互联网 发布:手机淘宝怎么发送链接 编辑:程序博客网 时间:2024/05/03 10:48
简单学习了一下这个软件哈:
tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae]
[-qX] [-r 文件] [所欲捕获的数据内容]
参数:
-nn,直接以 IP 及 Port Number 显示,而非主机名与服务名称。
-i,后面接要「监听」的网络接口,例如 eth0, lo, ppp0 等等的接口。
-w,如果你要将监听所得的数据包数据储存下来,用这个参数就对了。后面接文件名。
-c,监听的数据包数,如果没有这个参数, tcpdump 会持续不断的监听,
直到用户输入 [ctrl]-c 为止。
-A,数据包的内容以 ASCII 显示,通常用来捉取 WWW 的网页数据包资料。
-e,使用资料连接层 (OSI 第二层) 的 MAC 数据包数据来显示。
-q,仅列出较为简短的数据包信息,每一行的内容比较精简。
-X,可以列出十六进制 (hex) 以及 ASCII 的数据包内容,对于监听数据包内容很有用。
-r,从后面接的文件将数据包数据读出来。那个「文件」是已经存在的文件,
并且这个「文件」是由 -w 所制作出来的。
事例:使用:
tcpdump -i eth1 port 21 -nn -X
返回函数
14:54:46.779073 IP 192.168.200.200.4268 > 210.26.24.56.21: P 1163670700:1163670706(6) ack 2259817891 win 64501
0x0000: 4500 002e 4013 4000 8006 46f3 c0a8 c8c8 E...@.@...F.....
0x0010: d21a 1838 10ac 0015 455c 34ac 86b2 15a3 ...8....E/4.....
0x0020: 5018 fbf5 2e04 0000 6e6f 6f70 0d0a P.......noop..
14:54:46.779313 IP 210.26.24.56.21 > 192.168.200.200.4268: P 1:13(12) ack 6 win 5840
0x0000: 4510 0034 34b2 4000 3f06 933e d21a 1838 E..44.@.?..>...8
0x0010: c0a8 c8c8 0015 10ac 86b2 15a3 455c 34b2 ............E/4.
0x0020: 5018 16d0 8bd6 0000 3230 3020 5a7a 7a2e P.......200.Zzz.
0x0030: 2e2e 0d0a ....
14:54:46.779547 IP 192.168.200.200.4268 > 210.26.24.56.21: P 6:13(7) ack 13 win 64489
0x0000: 4500 002f 4014 4000 8006 46f1 c0a8 c8c8 E../@.@...F.....
0x0010: d21a 1838 10ac 0015 455c 34b2 86b2 15af ...8....E/4.....
0x0020: 5018 fbe9 5862 0000 4357 4420 2f0d 0a P...Xb..CWD./..
14:54:46.779792 IP 210.26.24.56.21 > 192.168.200.200.4268: P 13:37(24) ack 13 win 5840
0x0000: 4510 0040 34b3 4000 3f06 9331 d21a 1838 E..@4.@.?..1...8
0x0010: c0a8 c8c8 0015 10ac 86b2 15af 455c 34b9 ............E/4.
0x0020: 5018 16d0 5c75 0000 3235 3020 4f4b 2e20 P.../u..250.OK..
0x0030: c4bf c7b0 b5c4 c4bf c2bc cac7 202f 0d0a ............./..
14:54:46.787690 IP 192.168.200.200.4268 > 210.26.24.56.21: P 13:21(8) ack 37 win 64465
0x0000: 4500 0030 4016 4000 8006 46ee c0a8 c8c8 E..0@.@...F.....
0x0010: d21a 1838 10ac 0015 455c 34b9 86b2 15c7 ...8....E/4.....
0x0020: 5018 fbd1 46ed 0000 5459 5045 2049 0d0a P...F...TYPE.I..
14:54:46.787885 IP 210.26.24.56.21 > 192.168.200.200.4268: P 37:66(29) ack 21 win 5840
0x0000: 4510 0045 34b4 4000 3f06 932b d21a 1838 E..E4.@.?..+...8
0x0010: c0a8 c8c8 0015 10ac 86b2 15c7 455c 34c1 ............E/4.
0x0020: 5018 16d0 7a3d 0000 3230 3020 5459 5045 P...z=..200.TYPE
0x0030: c4bf c7b0 cac7 2038 2d62 6974 2062 696e .......8-bit.bin
0x0040: 6172 790d 0a ary..
14:54:46.788190 IP 192.168.200.200.4268 > 210.26.24.56.21: P 21:27(6) ack 66 win 64436
0x0000: 4500 002e 4017 4000 8006 46ef c0a8 c8c8 E...@.@...F.....
0x0010: d21a 1838 10ac 0015 455c 34c1 86b2 15e4 ...8....E/4.....
0x0020: 5018 fbb4 6837 0000 5041 5356 0d0a P...h7..PASV..
14:54:46.788433 IP 210.26.24.56.21 > 192.168.200.200.4268: P 66:116(50) ack 27 win 5840
可以看到是192.168.200.200 通过210.26.24.56 的21端口 下载文件和登录
输入:
tcpdump -i eth1 arp
返回函数
15:20:23.615008 arp who-has 192.168.200.43 tell 192.168.200.154
15:20:28.418879 arp who-has 192.168.200.182 tell 192.168.200.182
15:20:28.720341 arp who-has 192.168.200.182 tell 192.168.200.182
15:20:29.720312 arp who-has 192.168.200.182 tell 192.168.200.182
15:20:29.771106 arp who-has 192.168.200.52 tell 192.168.200.154
15:20:30.986871 arp who-has 192.168.200.100 tell 192.168.200.182
15:20:30.986925 arp reply 192.168.200.100 is-at 00:06:29:38:09:c7
15:20:33.788978 arp who-has bogon tell 192.168.200.154
15:20:35.419568 arp who-has 192.168.200.100 tell 192.168.200.100
15:20:35.425849 arp who-has 192.168.200.47 tell 192.168.200.47
15:20:38.303366 arp who-has bogon tell 192.168.200.154
15:20:39.854690 arp who-has 192.168.200.100 tell 192.168.200.182
15:20:39.854729 arp reply 192.168.200.100 is-at 00:06:29:38:09:c7
15:20:40.158574 arp reply 192.168.200.46 is-at 00:1a:92:0e:3c:9b
15:20:42.158075 arp who-has 192.168.200.21 tell 192.168.200.154
15:20:46.214718 arp who-has bogon tell 192.168.200.154
看到后发现本人网关为192.168.200.100
但192.168.200.154
一直发送arp数据包
感觉不是很正常
到xp
cmd
输入
arp -a
发现
C:/Documents and Settings/Administrator>arp -a
Interface: 192.168.200.200 --- 0x20002
Internet Address Physical Address Type
192.168.200.100 00-06-29-38-09-c7 dynamic
192.168.200.154 00-07-95-f0-a4-b8 dynamic
为其找到机子:
C:/Documents and Settings/Administrator>nbtstat -A 192.168.200.154
本地连接:
Node IpAddress: [192.168.200.200] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
WLZX12 <00> UNIQUE Registered
WORKGROUP <00> GROUP Registered
WLZX12 <20> UNIQUE Registered
WORKGROUP <1E> GROUP Registered
机子名字为wlzx12
找网管修理就可
简单的arp 查找功能
最后介绍一下
对网关内的电脑主机知道ip的抓包
我用自己的ip抓一下
tcpdump -i eth1 host 192.168.200.200
19:02:34.537844 IP 192.168.200.200.2741 > 192.168.200.100.telnet: . ack 26355471
94 win 64877
19:02:34.652194 IP 192.168.200.100.telnet > 192.168.200.200.2741: P 1:148(147) a
ck 0 win 5840
19:02:34.756473 IP 192.168.200.200.2741 > 192.168.200.100.telnet: . ack 148 win
64730
19:02:34.756539 IP 192.168.200.100.telnet > 192.168.200.200.2741: P 148:337(189)
ack 0 win 5840
19:02:34.975215 IP 192.168.200.200.2741 > 192.168.200.100.telnet: . ack 337 win
64541
可以很清楚的看到我用telnet登陆主机的信息
http://blog.csdn.net/xerway/archive/2010/07/07/5717995.aspx
- tcpdump抓包实例与arp抓包检测
- tcpdump抓包实例与arp抓包检测
- tcpdump抓包实例
- tcpdump抓包实例
- tcpdump抓包实例
- tcpdump 抓包与分析
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump非常实用的抓包实例
- tcpdump抓包
- tcpdump 抓包
- QT中的对象树与对象拥有权
- Ogre3D嵌入Qt框架 之 秀图
- adsfasdf
- Ogre3D嵌入Qt框架 之 小结
- Webs Need To See
- tcpdump抓包实例与arp抓包检测
- static 全局变量 局部变量 函数
- Fedora下安装Chrome出现lsb >= 3.2 is needed by google-chrome
- 第一天注册登录
- RIA技术下实现网站访问量统计功能
- 第一天
- Java: serialVersionUID的作用
- 我的博客
- 按下葫芦又起瓢 新政催热北京周边楼市