El problema con la LAN es ¿por qué sólo una o dos de las más de 20 computadoras pueden acceder a Internet?
Consulte a continuación para obtener información más detallada, pero debe tener paciencia.
Los rastreadores existen desde casi tanto tiempo como Internet. Sniffer es una forma común de recopilar datos útiles, que pueden ser cuentas de usuario y contraseñas, datos comerciales confidenciales, etc. Con la creciente popularidad de Internet y el comercio electrónico, la seguridad en Internet está recibiendo cada vez más atención. Sniffer, que desempeña un papel importante en los riesgos de seguridad de Internet, está recibiendo cada vez más atención, por lo que hoy me gustaría presentarles una introducción a Sniffer y cómo bloquearlo.
La mayoría de los piratas informáticos sólo quieren detectar hosts en la intranet y obtener el control. Sólo aquellos piratas informáticos "ambiciosos" querrán controlar toda la red, instalar troyanos y puertas traseras y borrar registros. Este método requiere que el host que ejecuta el programa rastreador y el host monitoreado estén en el mismo segmento de Ethernet, por lo que ejecutar el rastreador en un host externo no es efectivo. Además, el programa rastreador debe usarse como root para escuchar el tráfico en un segmento de Ethernet. Para hablar sobre los rastreadores de Ethernet, primero debemos analizar el rastreo de Ethernet.
Entonces, ¿qué es un rastreador de Ethernet?
El rastreo de Ethernet es el proceso de escuchar paquetes transmitidos en un dispositivo Ethernet y descubrir paquetes de interés. Si se encuentra un paquete coincidente, se almacena en el archivo de registro
. Estas condiciones normalmente se establecen para paquetes que contienen "nombre de usuario" o "contraseña". El propósito es poner la capa de red en modo promiscuo para que pueda hacer otra cosa.
El modo promiscuo significa que todos los dispositivos de la red escuchan los datos del bus, no solo sus propios datos. Desde la introducción básica a cómo funciona Ethernet en el Capítulo 2, podemos ver claramente que cuando un dispositivo desea enviar datos a un destino, los está transmitiendo a Ethernet. Los dispositivos conectados al bus Ethernet están recibiendo datos en todo momento. Pero simplemente pasa sus propios datos a la aplicación en esa computadora.
Al usar esto, el rastreador se puede habilitar configurando la conexión de red de la computadora para aceptar datos de todos los buses de red Ethernet
.
Los rastreadores generalmente se ejecutan en enrutadores o hosts con capacidades de enrutador.
Los rastreadores normalmente se ejecutan en enrutadores o hosts con capacidades de enrutador, lo que les permite monitorear grandes cantidades de datos. Normalmente, un atacante obtiene acceso a un sistema objetivo y luego utiliza un rastreador como medio de ataque para obtener información adicional.
Además de obtener contraseñas o nombres de usuario, los sniffers también pueden obtener más información, como otra información importante, información financiera transmitida a través de Internet, etc. Un rastreador puede detectar casi cualquier paquete transmitido a través de Ethernet. Los piratas informáticos pueden utilizar varios métodos para hacerse con el control de un sistema y dejar una puerta trasera para volver a entrar y garantizar que el rastreador pueda ejecutarse. En las plataformas Solaris 2.x, los programas rastreadores normalmente se instalan en los directorios /usr/bin o /dev. Los piratas informáticos también pueden modificar inteligentemente la hora para que el programa rastreador parezca estar instalado al mismo tiempo que otros programas del sistema.
La mayoría de los programas rastreadores de Ethernet se ejecutan en segundo plano y envían los resultados a un archivo de registro. Los piratas informáticos suelen modificar el programa ps para dificultar que los administradores del sistema detecten programas rastreadores en ejecución.
El programa rastreador de Ethernet configura la interfaz de red del sistema en modo mixto. De esta manera, puede escuchar todos los paquetes que fluyen a través del mismo segmento de Ethernet, independientemente de si el destinatario o el remitente del paquete es el host que ejecuta el rastreador. El programa almacena nombres de usuario, contraseñas y otros datos de interés para los piratas informáticos en archivos de registro. El pirata informático esperará un período de tiempo -----, como una semana, y luego volverá a descargar el archivo de registro.
Dicho todo esto, ¿podemos hablar de sniffers en un lenguaje sencillo?
Las redes informáticas se diferencian de las líneas telefónicas y disfrutan de canales de comunicación. ****El disfrute es cuando una computadora es capaz de recibir información enviada a otras computadoras. La captura de datos transmitidos a través de una red se llama rastreo.
Ethernet es la forma más utilizada por los ordenadores para conectarse a Internet. El protocolo Ethernet envía paquetes de información a todos los hosts en la misma línea. El encabezado del paquete contiene la dirección correcta del host de destino. Por lo general, sólo el host con esa dirección aceptará el paquete. Si un host puede recibir todos los paquetes independientemente de los encabezados de los paquetes, esto a menudo se denomina modo "promiscuo".
Debido a que en un entorno de red normal, la información de cuenta y contraseña se transmite en texto claro a través de Ethernet, una vez que un intruso obtiene acceso raíz a uno de los hosts y lo coloca en modo "Promiscuo" para espiar el red, entonces es posible invadir todas las computadoras de la red.
En resumen, un rastreador es un dispositivo de piratería y una herramienta de escucha ilegal.
2. Cómo funciona el sniffer
Normalmente, todas las interfaces de red en el mismo segmento de red tienen la capacidad de acceder a todos los datos transmitidos en el medio físico, y cada interfaz de red también debería hacerlo. tener una dirección de hardware que sea diferente de las direcciones de hardware de otras interfaces de red presentes en la red. Cada red también debe tener al menos una dirección de transmisión. (En circunstancias normales, una interfaz de red legítima solo debe responder a los dos tipos siguientes de tramas de datos:
1. El área de destino de la trama tiene una dirección de hardware que coincide con la interfaz de red local.
2. El área objetivo del marco tiene una "dirección de transmisión"
Al recibir un paquete de datos, el sistema CNC generará una interrupción de hardware a través de la computadora para atraer la atención. del sistema operativo Los datos contenidos en el marco se transmiten al sistema para su posterior procesamiento.
Sniffer es un software que establece el estado del sistema CNC local en "sincronizado". está en el estado "sincronizado", el sistema CNC tendrá una "dirección de transmisión" que generará una interrupción de hardware por cada cuadro que encuentre para alertar al sistema operativo sobre cada paquete que fluye a través del medio físico (
Como puede ver, el rastreador funciona en la parte inferior del entorno de la red, intercepta todos los datos transmitidos en la red y analiza el contenido de los datos en tiempo real mediante el procesamiento de software adecuado para analizar el estado y el diseño general de la red. Tenga en cuenta que el sonido del rastreador es extremadamente pequeño, es un ataque de seguridad pasivo.
Por lo general, el contenido que preocupa a los rastreadores se puede dividir en las siguientes categorías:
1. Contraseña
I. Esta se considera la razón de la gran mayoría de los usos ilegales de los rastreadores. El sniffer puede registrar el ID de usuario y la contraseña transmitidos en texto claro, incluso si utiliza datos cifrados durante la transmisión de la red. El rastreador también puede permitir que un intruso descubra su algoritmo mientras come kebabs en casa.
2. Cuentas financieras
A muchos usuarios les gusta usar sus tarjetas de crédito. números de cuentas en línea o en efectivo, pero los rastreadores pueden interceptar fácilmente nombres de usuario, contraseñas, números de tarjetas de crédito, fechas de vencimiento, números de cuentas y contraseñas transmitidas a través de Internet
3. . >
Al interceptar paquetes, un intruso puede registrar fácilmente el nombre, la contraseña, el número de tarjeta de crédito, la fecha de vencimiento, el número de cuenta y la contraseña de alguien. Un intruso puede registrar fácilmente la transmisión de información confidencial entre otros, o simplemente interceptar la totalidad. transacciones por correo electrónico
4. Espiar información de protocolo de bajo nivel
El autor cree que esto es algo muy aterrador al registrar el protocolo de información subyacente, como grabar entre dos. hosts Dirección de interfaz de red, dirección IP de interfaz de red remota, información de enrutamiento IP y número de secuencia de bytes de la conexión TCP.
Si esta información es controlada por intrusos ilegales, causará un gran daño a la seguridad de la red. Por lo general, solo hay una razón por la que alguien usa rastreadores para recopilar esta información: está cometiendo fraude (generalmente el fraude de direcciones IP requiere que se inserte con precisión la secuencia de bytes). número de la conexión TCP, esto se indicará en la organización del artículo más adelante) Si a alguien le importa mucho este tema, ¡entonces el sniffer es adecuado para él! Si a alguien le importa esto, el rastreador es sólo el preludio de un problema mucho mayor. (Para los piratas informáticos avanzados, creo que esta es la única razón para usar un rastreador)
Entorno de trabajo del rastreador
Un rastreador es un dispositivo que puede capturar información de la red del equipo. El uso adecuado de un rastreador es analizar el tráfico de la red para descubrir problemas potenciales en la red de interés. Por ejemplo, si una parte de la red no funciona correctamente y la información se envía lentamente y no sabemos cuál es el problema, podemos utilizar un rastreador para determinar exactamente cuál es el problema.
Los rastreadores varían ampliamente en funcionalidad y diseño. Algunos rastreadores pueden analizar sólo un protocolo, mientras que otros pueden analizar cientos de protocolos. En términos generales, la mayoría de los rastreadores son capaces de analizar al menos los siguientes protocolos:
1. Ethernet estándar
2 TCP/IP
3. p>
4. DECNet
Sniffer suele ser una combinación de hardware y software. Los rastreadores especializados son muy caros. Los rastreadores gratuitos, por otro lado, no cuestan nada pero reciben poco apoyo.
Los rastreadores son diferentes de los programas de captura de teclado comunes. Los programas de captura de teclado capturan las pulsaciones de teclas escritas en el terminal, mientras que los rastreadores capturan información real de la red. Un rastreador hace esto colocándose en una interfaz de red, por ejemplo, configurando una tarjeta Ethernet en modo promiscuo. (Para entender qué es el modo promiscuo, primero explique cómo funciona LAN).
Los datos se transmiten en la red en unidades extremadamente pequeñas llamadas tramas (FTames). (Por ejemplo, los primeros 12 bytes de una trama Ethernet contienen las direcciones de origen y destino; estos bits le dicen a la red de dónde provienen los datos y hacia dónde van). El resto de la trama Ethernet contiene los datos reales del usuario, el TCP /encabezado IP o IPX Prime).
Las tramas se forman mediante un software especial llamado controlador de red y luego se envían al cable de red a través de la tarjeta de red. A través del cable de red llegan a la máquina de destino, donde se realiza el proceso inverso en un extremo de la máquina de destino. La tarjeta Ethernet en el extremo receptor de la máquina captura las tramas, le dice al sistema operativo que están llegando y luego las almacena. Es durante este proceso de transmisión y recepción cuando los rastreadores pueden causar problemas de seguridad.
Cada estación de trabajo de la LAN tiene su propia dirección de hardware. Estas direcciones representan de forma única máquinas en la red (similar al sistema de direcciones de Internet). Cuando los usuarios envían mensajes, los mensajes se envían a todas las máquinas disponibles en la red de área local.
En términos generales, todas las máquinas de la red pueden "escuchar" el tráfico que pasa, pero no responderán a la información que no les pertenece (en otras palabras, la estación de trabajo A no captará el tráfico que les pertenece). a los datos de la estación de trabajo A B, pero simplemente ignórelo).
Si la interfaz de red de una estación de trabajo está en modo promiscuo, entonces puede capturar todos los mensajes y marcos en la red. Si la estación de trabajo está configurada de esta manera, entonces (incluido su software) es un rastreador.
Daño potencial causado por rastreadores:
1.
2 Capaz de capturar información confidencial o de propiedad exclusiva
3. la seguridad de sus vecinos de red o obtener un mayor nivel de acceso
De hecho, si hay un rastreador no autorizado en su red, se puede considerar que su sistema ha estado expuesto a otros. (Puedes probar la función de rastreo de Skywalker 2)
Normalmente, solo rastreamos los primeros 200 a 300 bytes de cada paquete. Esta parte incluye el nombre de usuario y la contraseña, y es la parte que realmente nos importa.
Si hay suficiente espacio para almacenar esta información y suficiente espacio para procesarla, entonces el mismo trabajador que puede olfatear toda la información en una interfaz determinada encontrará otras cosas muy interesantes….
Simplemente poner un rastreador en cualquier lugar no servirá de nada. Colocar un rastreador cerca de la máquina o red comprometida capturará una gran cantidad de contraseñas; un mejor enfoque es colocarlo en la puerta de enlace. Si hace esto, puede capturar el proceso de identificación de una red con otras redes. Este enfoque aumentará exponencialmente nuestro rango de ataque.
III. ¿Quién usará un sniffer?
Quizás alguien sepa quién usará un sniffer, pero no todos los que lo usan son expertos en redes, porque ahora muchos sniffer se han vuelto tontos. -Existencias similares El rastreador más utilizado hace algún tiempo era el rastreador oicq. Creo que aquellos amigos a los que les gusta comprobar las IP de sus amigos deberían recordarlo. Jaja, lo he usado antes, ¡pero por supuesto que no lo necesito ahora!
Por supuesto, los administradores de sistemas utilizan rastreadores para analizar el tráfico de la red y encontrar dónde ocurren los problemas en la red. Los administradores de seguridad pueden utilizar varios rastreadores simultáneamente, colocándolos por toda la red para formar un sistema de alerta de intrusión. Sniffer es una gran herramienta para administradores de sistemas, pero también es una herramienta que suelen utilizar los piratas informáticos. Los piratas informáticos instalan rastreadores para obtener nombres de usuario y números de cuenta, números de tarjetas de crédito, información personal y otra información, que puede causarle un daño enorme a usted o a su empresa si algo sale mal. Una vez que tienen esta información, los piratas informáticos pueden utilizar las contraseñas para atacar otros sitios de Internet e incluso vender números de tarjetas de crédito.
3. Cómo implementar sniffers en la red
Al hablar de este tema, también deberíamos hablar primero de la comunicación Ethernet. Normalmente, todas las interfaces de red en el mismo segmento de red pueden acceder a todos los datos transmitidos en el medio, y cada interfaz de red también debe tener una dirección de hardware que sea diferente de la dirección de hardware de otras interfaces de red en la red. al menos Una dirección de transmisión. En circunstancias normales, una interfaz de red legítima sólo debería responder a dos de estos marcos de datos:
1?
2? El área de destino de la trama tiene una "dirección de transmisión".
Cuando se recibe un paquete en ambos casos, la NIC genera una interrupción de hardware a través de la CPU. Esta interrupción se informa al sistema operativo, que luego transfiere los datos contenidos en el marco al sistema para su posterior procesamiento. Un rastreador es un software que puede configurar el estado de la tarjeta de red local en modo promiscuo. Cuando la tarjeta de red está en modo promiscuo, tiene una "dirección de transmisión" que genera una interrupción de hardware cada vez que se encuentra una trama, alertando al sistema operativo para que procese cada paquete. (La mayoría de las NIC se pueden configurar en modo promiscuo.
Como puede ver, el rastreador funciona en la parte inferior del entorno de red e intercepta todos los datos transmitidos en la red. Con el procesamiento de software correspondiente, puede analizar el contenido de estos datos y luego analizar el estado y el diseño general de la red. Vale la pena señalar que el rastreador tiene muy poco ruido y es un método de ataque de seguridad pasivo.
IV. Sniffer
El sniffer del que estamos hablando se utiliza principalmente en el sistema Unix. En cuanto al sniffer oicq, no está dentro del alcance de nuestra discusión.
Es uno de los. Técnicas de piratería más comunes utilizadas por los piratas informáticos. Puede ejecutar un rastreador en una red permitida para ver con qué eficacia puede comprometer la seguridad de su computadora local.
Los rastreadores también pueden ser software. Actualmente, los más utilizados y diversos son los rastreadores de software, que son los que utilizan la mayoría de los piratas informáticos.
Aquí se muestran algunas herramientas de rastreo que se utilizan ampliamente para depurar fallos de red:
(a. ). Rastreadores comerciales:
1. Network General
Network General ha desarrollado una variedad de productos, el más importante de los cuales es Expert Sniffer, que no solo puede olfatear, sino también. También envíe/reciba paquetes a través de un sistema dedicado de alto rendimiento para ayudar a diagnosticar fallas.
Además, existe un producto mejorado, el Distrbuted Sniffer System, que puede utilizar una estación de trabajo UNIX como consola rastreadora y distribuir agentes rastreadores a hosts remotos.
2. Net Monitor de Microsoft
Para algunos sitios comerciales, puede ser necesario ejecutar varios protocolos (NetBEUI, IPX/SPX, TCP/IP, 802.3 y SNA) al mismo tiempo. tiempo. Puede resultar difícil encontrar un rastreador que ayude a resolver problemas de red porque muchos rastreadores tienden a tratar algunos paquetes de protocolo correctos como paquetes incorrectos. Net Monitor de Microsoft (anteriormente conocido como Bloodhound) resuelve este problema distinguiendo correctamente entre paquetes únicos, como los paquetes de control Netware y las transmisiones del servicio de nombres NT NetBios. (Etherfind sólo reconoce estos paquetes como paquetes de difusión de tipo 0000). Esta herramienta se ejecuta en la plataforma MS Windows. Incluso puede monitorear las estadísticas de la red y la información de la sesión por dirección MAC (o nombre de host). Simplemente haga clic en la sesión para obtener la salida estándar de tcpdump. La configuración del filtro también es la más simple: simplemente haga clic en el host que desea monitorear en el cuadro de diálogo.
(ii). Sniffer gratuito
1. Sniffit fue desarrollado por Lawrence Berkeley Laboratory y puede ejecutarse en plataformas como Solaris, SGI y Linux. Puede seleccionar una dirección de origen y de destino o un conjunto de direcciones, así como un puerto, protocolo e interfaz de red para escuchar. De forma predeterminada, SNIFFER solo acepta los primeros 400 bytes de paquetes, lo que es suficiente para iniciar sesión.
2.SNORT: este SNIFFER tiene muchas opciones para su uso, es fácil de transportar y también puede registrar cierta información de conexión para rastrear algunas actividades de la red.
3.TCPDUMP: Este SNIFFER es muy famoso. También se usa en sistemas Linux y FREEBSD. Muchos expertos en UNIX lo consideran una herramienta de administración de redes profesional. Recuerdo que Tsutomu Shimomura (debería llamarse Shimomura) lo usaba. su propia versión modificada de TCPDUMP para grabar KEVINMITNESS. Tsutomu Shimomura registró por primera vez el ataque de KEVINMITNICK a su sistema usando su propia versión modificada de TCPDUMP, y luego cooperó con el FBI para capturar a KEVINMITNICK, y luego escribió un artículo: "Use estos registros LOG para describir el ataque, cómo Mitnick pirateó a Tsutomu Shimomura con un ataque de secuencia IP ".
( /~lspitz/snoop.html
(4). Herramienta Sniffer en Linux
Herramienta Sniffer en Linux, I Recomiendo usar Tcpdump
[1]. Instalación de tcpdump
Instalar tcpdump en Linux es instalarlo como un paquete rpm. la forma de programa fuente.
1. Instalar en forma de paquete rpm
Esta forma de instalación es el método de instalación más simple. En formato binario, puedes instalarlo directamente a través del comando rpm sin modificar nada. Inicia sesión como superusuario y utiliza el siguiente comando:
#rpm -ivh tcpdump-3_4a5.rpm
¿Es esto incluso simple?
2. Instalación del programa fuente
Dado que la instalación del paquete de software rpm es muy simple, ¿por qué deberíamos utilizar una instalación del programa fuente más complicada? De hecho, uno de los mayores encantos de Linux es que muchos software proporcionan programas fuente que las personas pueden modificar según sus necesidades específicas. Por lo tanto, recomiendo especialmente a mis amigos que utilicen este método de instalación del programa fuente.
- En el primer paso de instalación del programa fuente, primero necesitamos obtener el paquete de distribución del programa fuente tcpdump. Este paquete de distribución viene en dos formas, uno es un paquete comprimido tar (tcpdump-3_4a5. .tar.Z), el otro es el paquete de distribución rpm (tcpdump-3_4a5.src.rpm). El contenido de ambos formularios es el mismo, la única diferencia es el método de compresión. El tar se puede descomprimir usando el siguiente comando:
#tar xvfz tcpdump-3_4a5.tar.Z
rpm se puede instalar usando el siguiente comando:
#rpm -ivh tcpdump-3_4a5.src.rpm
#rpm -ivh tcpdump-3_4a5.src.rpm
#rpm -ivh tcpdump-3_4a5.src.rpm
Esto extrae el código fuente de tcpdump en el directorio /usr/src/redhat/SOURCES.
- Paso 2 Prepárese para compilar el programa fuente
Antes de compilar el programa fuente, es mejor asegurarse de que se haya instalado el archivo de biblioteca libpcap requerido por el software tcpdump. Asimismo, también deberías instalar un compilador de C estándar. El compilador de C estándar en Linux suele ser gcc. En el directorio del programa fuente tcpdump, hay un archivo llamado Makefile. Hay un archivo Makefile.in en el directorio del programa fuente tcpdump. El comando de configuración generará automáticamente el archivo Makefile basado en el archivo Makefile.in. En el archivo Makefile.in, las dos definiciones de macro BINDEST y MANDEST se pueden modificar según la configuración del sistema. El valor predeterminado es:
BINDEST = @sbindir @
MANDEST = @mandir @
El primer valor de macro representa el nombre de la ruta del archivo binario donde tcpdump está instalado. El segundo valor de macro representa la ruta a la página de ayuda del manual de tcpdump, que puede modificar según las necesidades del sistema.
- Paso 3 Compile el programa fuente
Utilice el script de configuración en el directorio del programa fuente, que leerá varias propiedades requeridas del sistema. También genera automáticamente un Makefile basado en el archivo Makefile.in para su compilación utilizando el comando .make, que compila el programa fuente de tcpdump de acuerdo con las reglas del Makefile. Utilice el comando make install para instalar el binario tcpdump compilado.
Para resumir:
# tar xvfz tcpdump-3_4a5.tar.Z
# vi Makefile.in
# ./configure
# make
# make install
[2].tcpdump
tcpdump usa la línea de comando y su formato de comando es:
p>
tcpdump [ -adeflnNOpqStvx ] [ -c Cantidad ] [ -F nombre de archivo ]
[ -i interfaz de red] [ -r nombre de archivo ] [ -s snaplen ]
[ -T tipo ] [ -w nombre de archivo ] [expresión ]
Introducción a la opción 1.tcpdump
-a Convierte la dirección de red y la dirección de transmisión en nombre;
-d proporciona el código para hacer coincidir paquetes de datos en un formato ensamblador legible por humanos;
-dd proporciona el código para hacer coincidir paquetes de datos en forma de un segmento de programa c;
- ddd proporciona el código del paquete coincidente en forma decimal;
-e imprime la información del encabezado de la capa de enlace de datos en la línea de salida;
-f imprime el; dirección de Internet externa en forma numérica;
-l hace que la salida estándar sea una línea almacenada en el búfer
-n no convierte las direcciones de red en nombres
-t; no se muestra en cada línea Imprimir marca de tiempo;
-v genera información un poco más detallada, como g., por ejemplo, en un paquete IP, se puede incluir información sobre ttl y el tipo de servicio;
- v Muestra información detallada del paquete;
-c detiene tcpdump después del número especificado de paquetes
-F lee expresiones del archivo especificado e ignora otras expresiones; p>
-i especifica la interfaz de red para escuchar;
-r lee paquetes del archivo especificado (estos paquetes generalmente se generan usando la opción -w); -w escribe el paquete de datos directamente en el archivo;
-v escribe el paquete de datos desde el archivo especificado;
-w escribe el paquete de datos directamente en el archivo especificado;
p>
-w escribe directamente el paquete de datos en el archivo especificado.
-w escribe el paquete de datos directamente en el archivo sin analizarlo ni imprimirlo;
-T interpreta directamente el paquete de datos monitoreado como un tipo específico de mensaje, hay tipos comunes como rpc ( llamada a procedimiento remoto) y snmp (protocolo simple de administración de red);
2. Introducción a las expresiones tcpdump
La expresión es una expresión regular y tcpdump la usa como texto de filtro. condiciones. Si el paquete cumple las condiciones de la expresión, será capturado. Si no se dan condiciones, todos los paquetes de la red serán interceptados.
Hay varios tipos de palabras clave en la expresión. Una se refiere a palabras clave de tipo, que incluyen principalmente host, net y port. Por ejemplo, host 210.27.48.2 especifica 210.27.48.2 como host net 202.0; .0.0, especifica que 202.0.0 es la dirección de red 23, especifica el puerto 23. El número de puerto especificado es 23. Si no se especifica ningún tipo, el tipo predeterminado es host.
El segundo tipo es la palabra clave que determina la dirección de transmisión, que incluye principalmente src, dst, dst o src, dst y src. Estas palabras clave especifican la dirección de transmisión.
Por ejemplo, src 210.27.48.2 significa que la dirección de origen en el paquete IP es 210.27.48.2 y dst net 202.0.0.0 significa que la dirección de red de destino es 202.0.0.0. Si no se especifica ninguna palabra clave de dirección, la palabra clave src o dst se utiliza de forma predeterminada.
El tercer tipo son las palabras clave de protocolo, que incluyen principalmente FDDI, IP, arp, rarp, tcp, udp, etc. Fddi indica que es un protocolo de red específico en FDDI (Red de interfaz de datos de fibra óptica distribuida). En realidad, es un alias para "ether". fddi y ether tienen direcciones de origen y destino similares, por lo que los paquetes fddi pueden tratarse como paquetes ether. procesamiento y análisis. Otras palabras clave especifican el protocolo para escuchar paquetes. Si no se especifica ningún protocolo, tcpdump escuchará paquetes de todos los protocolos.
Además de estos tres tipos de palabras clave, otras palabras clave importantes son las siguientes: puerta de enlace, difusión, menor que, mayor que y tres operaciones lógicas, entre las cuales la operación "no" es "no". ', y la operación es 'y', 'amp;'; o la operación es 'o', '';
Estas palabras clave se pueden combinar en poderosas condiciones combinadas para satisfacer las necesidades de las personas. Aquí hay una algunos ejemplos para ilustrar.
(1) Interceptar todos los paquetes recibidos y enviados desde todos los hosts 210.27.48.1:
#tcpdump host 210.27.48.1
(2) Interceptar la comunicación entre hosts 210.27.48.1 y host 210.27.48.2 o 210.27.48.3 (asegúrese de usar paréntesis al aplicar la línea de comando)
#tcpdump host 210.27.48.1 y \ (210.27.48.2 o 210.27.48.3)
(3) Para obtener los paquetes IP de todos los hosts excepto el host 210.27.48.2 en el host 210.27.48.1, puede usar el siguiente comando:
#tcpdump ip host 210.27.48.1 and! 210.27.48.2
(4) Si desea obtener los paquetes telnet recibidos o enviados por el host 210.27.48.1, utilice el siguiente comando:
#tcpdump tcp port 23 host 210.27 .48.1
3. Introducción a los resultados de salida de tcpdump
A continuación presentamos los resultados de salida de varios comandos típicos de tcpdump
(1) Encabezado de la capa de enlace de datos información
p>
Utilice el comando #tcpdump --e host ice
ice es un host que utiliza Linux, su dirección MAC es 0:90:27:58:AF :1A
H219 es una estación de trabajo SUN que utiliza SOLARIC. Su dirección MAC es 8:0:20:79:5B:46; el resultado del comando anterior es el siguiente:
21:50: 12.847509 eth0 lt; 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60.telne
t 0:0(0) ack 22535 win 8760 (DF)
Análisis: 21:50:12 es la hora de visualización, 847509 es el número de identificación, eth0 lt significa que el paquete de datos se recibe de la interfaz de red eth0, eth0 gt; que el paquete de datos se envía desde el dispositivo de interfaz de red, 8: 0:20:79:5b:46 es la dirección MAC del host H219, lo que indica que el paquete de datos se envía desde la dirección de origen H219. 0:90:27:58:af:1a es la dirección MAC del host ICE, lo que indica que la dirección de destino del paquete de datos es ICE. IP es la dirección IP del paquete de datos, 60 es la longitud del paquete de datos, h219.33357 gt ice.telnet indica que el paquete de datos se envía desde el puerto 33357 del host H219 al puerto TELNET (23) de el anfitrión ICE. ack 22535 representa la respuesta al paquete con número de secuencia 222535. win 8760 significa que el tamaño de la ventana de envío es 8760.
(2) Salida TCPDUMP de paquetes ARP
Utilice el comando #tcpdump arp
La salida obtenida es:
22:32 :42.802509 eth0 gt; arp quién-tiene ruta indica hielo (0:90:27:58:af:1a)
22:32:42.802902 eth0 lt; la ruta de respuesta arp es-en 0:90: 27:12:10:66 (0:90:27:58:af:1a)
Análisis: 22:32:42 es la marca de tiempo, 802509 es el número de identificación, eth0 gt; El paquete de datos proviene del Host, arp significa paquete de solicitud ARP, quién tiene la ruta indicada ice significa que el host ICE solicita la dirección MAC de la RUTA del host. 0:90:27:58:af:1a es la dirección MAC del host ICE.
(3) Información de salida de paquetes TCP
La información de salida general de los paquetes TCP capturados usando TCPDUMP es la siguiente:
src gt: flags data-; opciones urgentes de la ventana de confirmación de seqno
src gt; dst: flags es el indicador en el paquete TCP, S es el indicador SYN, F (FIN), P (PUSH), R (RST), "." (Sin indicador data-seqno es el número de secuencia de los datos en el paquete, ack es el siguiente número de secuencia esperado, ventana es el tamaño de la ventana del búfer de recepción y urgente indica si hay un puntero urgente en el paquete. Las opciones son opciones.
(4) Salida de paquetes UDP
La salida general de los paquetes UDP capturados usando TCPDUMP es:
route.port1 gt ice.port2: udp lenth <; /p>
UDP es muy simple. La línea de salida anterior indica que la RUTA del host envió un paquete UDP al puerto 1. Se envía un paquete UDP desde la RUTA del host al puerto 2 del ICE del host. El tipo es UDP y la longitud del paquete es larga o más. He introducido la instalación y el uso de TCPDUMP en detalle. Espero que le resulte útil. . Si desea dominar el uso de TCPDUMP, la herramienta SNIFFER en el entorno LINUX, también necesita sumar experiencia en la práctica y aprovechar al máximo su potencia.
(5). Sniffer en la plataforma WINDOWS
El autor recomienda netxray y sniffer pro a todos. Creo que todos lo han usado, pero todavía quiero usarlo aquí. introducción.
Instrucciones de uso de netxray
1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 Esta es la LAN bajo conexión ShareHub
5.5.5.5 Esto está en el puerto 8080
¿Iniciar captura?