tcpdump抓包实例与arp抓包检测

来源：互联网发布：手机淘宝怎么发送链接编辑：程序博客网时间：2024/05/03 10:48

简单学习了一下这个软件哈：

tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae]

[-qX] [-r 文件] [所欲捕获的数据内容]

参数：

-nn，直接以 IP 及 Port Number 显示，而非主机名与服务名称。

-i，后面接要「监听」的网络接口，例如 eth0, lo, ppp0 等等的接口。

-w，如果你要将监听所得的数据包数据储存下来，用这个参数就对了。后面接文件名。

-c，监听的数据包数，如果没有这个参数， tcpdump 会持续不断的监听，

直到用户输入 [ctrl]-c 为止。

-A，数据包的内容以 ASCII 显示，通常用来捉取 WWW 的网页数据包资料。

-e，使用资料连接层 (OSI 第二层) 的 MAC 数据包数据来显示。

-q，仅列出较为简短的数据包信息，每一行的内容比较精简。

-X，可以列出十六进制 (hex) 以及 ASCII 的数据包内容，对于监听数据包内容很有用。

-r，从后面接的文件将数据包数据读出来。那个「文件」是已经存在的文件，

并且这个「文件」是由 -w 所制作出来的。

事例：使用：

tcpdump -i eth1 port 21 -nn -X

返回函数

14:54:46.779073 IP 192.168.200.200.4268 > 210.26.24.56.21: P 1163670700:1163670706(6) ack 2259817891 win 64501

0x0000: 4500 002e 4013 4000 8006 46f3 c0a8 c8c8 E...@.@...F.....

0x0010: d21a 1838 10ac 0015 455c 34ac 86b2 15a3 ...8....E/4.....

0x0020: 5018 fbf5 2e04 0000 6e6f 6f70 0d0a P.......noop..

14:54:46.779313 IP 210.26.24.56.21 > 192.168.200.200.4268: P 1:13(12) ack 6 win 5840

0x0000: 4510 0034 34b2 4000 3f06 933e d21a 1838 E..44.@.?..>...8

0x0010: c0a8 c8c8 0015 10ac 86b2 15a3 455c 34b2 ............E/4.

0x0020: 5018 16d0 8bd6 0000 3230 3020 5a7a 7a2e P.......200.Zzz.

0x0030: 2e2e 0d0a ....

14:54:46.779547 IP 192.168.200.200.4268 > 210.26.24.56.21: P 6:13(7) ack 13 win 64489

0x0000: 4500 002f 4014 4000 8006 46f1 c0a8 c8c8 E../@.@...F.....

0x0010: d21a 1838 10ac 0015 455c 34b2 86b2 15af ...8....E/4.....

0x0020: 5018 fbe9 5862 0000 4357 4420 2f0d 0a P...Xb..CWD./..

14:54:46.779792 IP 210.26.24.56.21 > 192.168.200.200.4268: P 13:37(24) ack 13 win 5840

0x0000: 4510 0040 34b3 4000 3f06 9331 d21a 1838 E..@4.@.?..1...8

0x0010: c0a8 c8c8 0015 10ac 86b2 15af 455c 34b9 ............E/4.

0x0020: 5018 16d0 5c75 0000 3235 3020 4f4b 2e20 P.../u..250.OK..

0x0030: c4bf c7b0 b5c4 c4bf c2bc cac7 202f 0d0a ............./..

14:54:46.787690 IP 192.168.200.200.4268 > 210.26.24.56.21: P 13:21(8) ack 37 win 64465

0x0000: 4500 0030 4016 4000 8006 46ee c0a8 c8c8 E..0@.@...F.....

0x0010: d21a 1838 10ac 0015 455c 34b9 86b2 15c7 ...8....E/4.....

0x0020: 5018 fbd1 46ed 0000 5459 5045 2049 0d0a P...F...TYPE.I..

14:54:46.787885 IP 210.26.24.56.21 > 192.168.200.200.4268: P 37:66(29) ack 21 win 5840

0x0000: 4510 0045 34b4 4000 3f06 932b d21a 1838 E..E4.@.?..+...8

0x0010: c0a8 c8c8 0015 10ac 86b2 15c7 455c 34c1 ............E/4.

0x0020: 5018 16d0 7a3d 0000 3230 3020 5459 5045 P...z=..200.TYPE

0x0030: c4bf c7b0 cac7 2038 2d62 6974 2062 696e .......8-bit.bin

0x0040: 6172 790d 0a ary..

14:54:46.788190 IP 192.168.200.200.4268 > 210.26.24.56.21: P 21:27(6) ack 66 win 64436

0x0000: 4500 002e 4017 4000 8006 46ef c0a8 c8c8 E...@.@...F.....

0x0010: d21a 1838 10ac 0015 455c 34c1 86b2 15e4 ...8....E/4.....

0x0020: 5018 fbb4 6837 0000 5041 5356 0d0a P...h7..PASV..

14:54:46.788433 IP 210.26.24.56.21 > 192.168.200.200.4268: P 66:116(50) ack 27 win 5840

可以看到是192.168.200.200 通过210.26.24.56 的21端口下载文件和登录

输入：

tcpdump -i eth1 arp

返回函数

15:20:23.615008 arp who-has 192.168.200.43 tell 192.168.200.154

15:20:28.418879 arp who-has 192.168.200.182 tell 192.168.200.182

15:20:28.720341 arp who-has 192.168.200.182 tell 192.168.200.182

15:20:29.720312 arp who-has 192.168.200.182 tell 192.168.200.182

15:20:29.771106 arp who-has 192.168.200.52 tell 192.168.200.154

15:20:30.986871 arp who-has 192.168.200.100 tell 192.168.200.182

15:20:30.986925 arp reply 192.168.200.100 is-at 00:06:29:38:09:c7

15:20:33.788978 arp who-has bogon tell 192.168.200.154

15:20:35.419568 arp who-has 192.168.200.100 tell 192.168.200.100

15:20:35.425849 arp who-has 192.168.200.47 tell 192.168.200.47

15:20:38.303366 arp who-has bogon tell 192.168.200.154

15:20:39.854690 arp who-has 192.168.200.100 tell 192.168.200.182

15:20:39.854729 arp reply 192.168.200.100 is-at 00:06:29:38:09:c7

15:20:40.158574 arp reply 192.168.200.46 is-at 00:1a:92:0e:3c:9b

15:20:42.158075 arp who-has 192.168.200.21 tell 192.168.200.154

15:20:46.214718 arp who-has bogon tell 192.168.200.154

看到后发现本人网关为192.168.200.100

但192.168.200.154

一直发送arp数据包

感觉不是很正常

到xp

cmd

输入

arp -a

发现

C:/Documents and Settings/Administrator>arp -a

Interface: 192.168.200.200 --- 0x20002

Internet Address Physical Address Type

192.168.200.100 00-06-29-38-09-c7 dynamic

192.168.200.154 00-07-95-f0-a4-b8 dynamic

为其找到机子：

C:/Documents and Settings/Administrator>nbtstat -A 192.168.200.154

本地连接:

Node IpAddress: [192.168.200.200] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status

---------------------------------------------

WLZX12 <00> UNIQUE Registered

WORKGROUP <00> GROUP Registered

WLZX12 <20> UNIQUE Registered

WORKGROUP <1E> GROUP Registered

机子名字为wlzx12

找网管修理就可

简单的arp 查找功能

最后介绍一下

对网关内的电脑主机知道ip的抓包

我用自己的ip抓一下

tcpdump -i eth1 host 192.168.200.200

19:02:34.537844 IP 192.168.200.200.2741 > 192.168.200.100.telnet: . ack 26355471

94 win 64877

19:02:34.652194 IP 192.168.200.100.telnet > 192.168.200.200.2741: P 1:148(147) a

ck 0 win 5840

19:02:34.756473 IP 192.168.200.200.2741 > 192.168.200.100.telnet: . ack 148 win

64730

19:02:34.756539 IP 192.168.200.100.telnet > 192.168.200.200.2741: P 148:337(189)

ack 0 win 5840

19:02:34.975215 IP 192.168.200.200.2741 > 192.168.200.100.telnet: . ack 337 win

64541

可以很清楚的看到我用telnet登陆主机的信息

http://blog.csdn.net/xerway/archive/2010/07/07/5717995.aspx