04TCPDUMP的使用
TCPDUMP介绍
- 基于命令行的抓包命令
- Linux上和Unix默认安装
TCPDUMP抓包命令
- 抓包
- tcpdump -i eth0 -s 0 -w a.cap
- -i:选择抓包的接口
- -s:抓取包的大小(0代表全部抓取)
- -w:将抓到的包信息存入后面的指定文件
- tcpdump -i eth0 -s 0 -w a.cap
- 读取抓包文件
- tcpdump -r a.cap
- -r:后面接需要读取的文件,读取包信息
- tcpdump -r a.cap
TCPDUMP抓取信息的筛选
选取包信息的第几列信息
- 1运行tcpdump -i eth0 -s 0 -w a.cap抓取一些包存入a.cap
- 2运行tcpdump -n -r a.cap读取抓到的包信息
- -n:不显示域名解析后的结果(即全部显示ip地址)
- -r:读取包信息
- 3使用awk选出列
- tcpdump -n -r a.cap | awk ‘{print $3}’
- tcpdump -n -r a.cap | awk ‘{print $3}’
- 4去除重复的ip地址
- tcpdump -n -r a.cap | awk ‘{print $3}’ | sort -u
- tcpdump -n -r a.cap | awk ‘{print $3}’ | sort -u
选取来源地址为特定的ip地址
选取目标地址为特定的ip地址
选取特定端口的包
以16进制显示包内容
TCPDUMP高级筛选
- tcpdump -A -n ‘tcp[13]=24’ -r a.cap
- -A:使用ASCII码
- -n:不使用域名解析
- tcp[13]=24:说明筛选的是PSH和ACK包,说明连接建立
报告工具的使用
dradis的使用
基于web的报告工具
点击会自动打开浏览器
用户名可以随便输入
密码一开始会设置
在上方有upload output from tool按钮点击
可以选择扫描器生成的文件进行记录