-
超详细的网络抓包神器 tcpdump 使用指南(5)
- 作者:谢金冉 分类:电脑技术 发布时间:2021-07-10 05:52:00
抓取 SNMP 服务的查询和响应 通过 SNMP 服务,渗透测试人员可以获取大量的设备和系统信息。在这些信息中,系统信息最为关键,如操作系统版本、内核版...
抓取 SNMP 服务的查询和响应
通过 SNMP 服务,渗透测试人员可以获取大量的设备和系统信息。在这些信息中,系统信息最为关键,如操作系统版本、内核版本等。使用 SNMP 协议快速扫描程序 onesixtyone
,可以看到目标系统的信息:
$ onesixtyone 10.10.1.10 publicScanning 1 hosts, 1 communities10.10.1.10 [public] Linux test33 4.15.0-20-generic #21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 x86_64
可以通过 tcpdump 抓取 GetRequest
和 GetResponse
:
$ tcpdump -n -s0 port 161 and udptcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on wlp58s0, link-type EN10MB (Ethernet), capture size 262144 bytes23:39:13.725522 IP 10.10.1.159.36826 > 10.10.1.20.161: GetRequest(28) .1.3.6.1.2.1.1.1.023:39:13.728789 IP 10.10.1.20.161 > 10.10.1.159.36826: GetResponse(109) .1.3.6.1.2.1.1.1.0="Linux testmachine 4.15.0-20-generic #21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 x86_64"
切割 pcap 文件
当抓取大量数据并写入文件时,可以自动切割为多个大小相同的文件。例如,下面的命令表示每 3600 秒创建一个新文件 capture-(hour).pcap
,每个文件大小不超过 200*1000000
字节:
$ tcpdump -w /tmp/capture-%H.pcap -G 3600 -C 200
这些文件的命名为 capture-{1-24}.pcap
,24 小时之后,之前的文件就会被覆盖。
抓取 IPv6 流量
可以通过过滤器 ip6
来抓取 IPv6 流量,同时可以指定协议如 TCP:
$ tcpdump -nn ip6 proto 6
从之前保存的文件中读取 IPv6 UDP 数据报文:
$ tcpdump -nr ipv6-test.pcap ip6 proto 17
检测端口扫描
在下面的例子中,你会发现抓取到的报文的源和目的一直不变,且带有标志位 [S]
和 [R]
,它们与一系列看似随机的目标端口进行匹配。当发送 SYN
之后,如果目标主机的端口没有打开,就会返回一个 RESET
。这是 Nmap
等端口扫描工具的标准做法。
$ tcpdump -nn21:46:19.693601 IP 10.10.1.10.60460 > 10.10.1.199.5432: Flags [S], seq 116466344, win 29200, options [mss 1460,sackOK,TS val 3547090332 ecr 0,nop,wscale 7], length 021:46:19.693626 IP 10.10.1.10.35470 > 10.10.1.199.513: Flags [S], seq 3400074709, win 29200, options [mss 1460,sackOK,TS val 3547090332 ecr 0,nop,wscale 7], length 021:46:19.693762 IP 10.10.1.10.44244 > 10.10.1.199.389: Flags [S], seq 2214070267, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 021:46:19.693772 IP 10.10.1.199.389 > 10.10.1.10.44244: Flags [R.], seq 0, ack 2214070268, win 0, length 021:46:19.693783 IP 10.10.1.10.35172 > 10.10.1.199.1433: Flags [S], seq 2358257571, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 021:46:19.693826 IP 10.10.1.10.33022 > 10.10.1.199.49153: Flags [S], seq 2406028551, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 021:46:19.695567 IP 10.10.1.10.55130 > 10.10.1.199.49154: Flags [S], seq 3230403372, win 29200, options [mss 1460,sackOK,TS val 3547090334 ecr 0,nop,wscale 7], length 021:46:19.695590 IP 10.10.1.199.49154 > 10.10.1.10.55130: Flags [R.], seq 0, ack 3230403373, win 0, length 021:46:19.695608 IP 10.10.1.10.33460 > 10.10.1.199.49152: Flags [S], seq 3289070068, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 021:46:19.695622 IP 10.10.1.199.49152 > 10.10.1.10.33460: Flags [R.], seq 0, ack 3289070069, win 0, length 021:46:19.695637 IP 10.10.1.10.34940 > 10.10.1.199.1029: Flags [S], seq 140319147, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 021:46:19.695650 IP 10.10.1.199.1029 > 10.10.1.10.34940: Flags [R.], seq 0, ack 140319148, win 0, length 021:46:19.695664 IP 10.10.1.10.45648 > 10.10.1.199.5060: Flags [S], seq 2203629201, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 021:46:19.695775 IP 10.10.1.10.49028 > 10.10.1.199.2000: Flags [S], seq 635990431, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 021:46:19.695790 IP 10.10.1.199.2000 > 10.10.1.10.49028: Flags [R.], seq 0, ack 635990432, win 0, length 0
猜您喜欢
- 如何关闭Windows Defender防火墙,解开网..2024-04-04
- 谷歌浏览器安全设置大揭秘:让你轻松..2024-03-30
- 老电脑连接WiFi大揭秘:轻松上手,让..2024-03-28
- 如何轻松开启Windows Telnet,轻松掌握网..2024-03-25
- 腾达路由器最新登录入口,轻松掌握网..2024-03-20
- 解除网络限速,轻松提升电脑上网速度..2024-03-19
相关推荐
- Word 文档的“修订”功能怎么用..2017-10-12
- 机械硬盘读写速度慢几招优化方法提升..2023-02-03
- 免费数据恢复软件哪个好用 免费数据..2023-10-11
- 电脑usb接口没反应|USB接口不能用解决..2023-02-04
- 表格临时文件在哪里_excel的临时文件保..2021-06-16
- Mpp文件后缀用什么软件打开的方法..2017-10-01