Cómo obtener tráfico direccional ¿Cómo obtiene un host tráfico direccional?
Tcpdump es una poderosa herramienta para capturar paquetes de red. Utiliza la biblioteca libpcap para capturar paquetes de red. Esta biblioteca está disponible en casi todos los Linux/Unix. La familiaridad con el uso de tcpdump puede ayudarle a analizar y depurar datos de la red. Este artículo presentará cómo usarlo en diferentes escenarios a través de ejemplos específicos. Ya sea administrador de sistemas, programador, ingeniero nativo de la nube o ingeniero de YAML, dominar el uso de tcpdump le brindará mayor poder, ascenso y aumento salarial. Los parámetros comunes de tcpdump son los siguientes:
Presentamos varios parámetros comunes:
- Un método para imprimir todos los datos del mensaje en una cadena ASCII, lo que puede facilitar y facilitar la lectura. Utilice herramientas como grep para analizar la salida. -X significa imprimir todos los datos del mensaje usando cadenas hexadecimales y ASCII. Estos dos parámetros no se pueden utilizar juntos. Por ejemplo:
Puede filtrar el tráfico para un protocolo específico según el nombre del protocolo. Tomando udp como ejemplo, puede agregar el parámetro UDP o el protocolo 17. Ambos comandos tienen el mismo significado.
De manera similar, tcp tiene el mismo significado que el protocolo 6.
Utilice hosts de filtrado para capturar tráfico para direcciones IP de origen y destino específicas.
También puedes usar src o dst para obtener solo el origen o el destino:
Al interceptar mensajes de datos usando tcpdump, se imprime una salida predeterminada en la pantalla. Verá muchos datos parpadeando línea por línea en orden y formato, y no habrá tiempo para verlo todo con claridad. Sin embargo, tcpdump proporciona la funcionalidad de guardar los datos interceptados en un archivo para que otras herramientas gráficas como Wireshark y Snort puedan analizarlos más tarde.
La opción -w se utiliza para enviar mensajes de datos a un archivo:
Si desea transferir los datos capturados a otras herramientas para su procesamiento en tiempo real, debe utilizar la opción -w. Opción -l para activar el modo de almacenamiento en búfer de línea (o use la opción -c para activar el modo de almacenamiento en búfer de paquetes). Utilice la opción -l para enviar resultados inmediatamente a otros comandos, que responderán inmediatamente.
El verdadero poder de los filtros es que puedes combinarlos a voluntad, y la lógica para conectarlos suele ser AND/AND/2): 4] Primero determinaremos la ubicación de los bytes que nos interesan. en [3] (después del encabezado TCP) y seleccione los 4 bytes que queremos hacer coincidir.
Extraiga el nombre de host y la ruta de la solicitud HTTP:
Extraiga la contraseña y el nombre de host de la solicitud HTTPPOST:
Extraiga Set-Cookie (cookie del servidor) y Cookie (Cookie de cliente):
Para ver todos los protocolos de mensajes de control de Internet en la red:
Excluir la respuesta y los paquetes de respuesta para que los paquetes capturados no incluyan paquetes de ping estándar:< / p>
Puedes extraer el cuerpo del correo electrónico y otros datos. Por ejemplo, para seleccionar solo los destinatarios de un correo electrónico:
Obtenga la consulta y respuesta del servicio NTP
A través del servicio SNMP, un probador de penetración puede obtener una gran cantidad de información del dispositivo. e información del sistema. Entre esta información, la información del sistema es la más crítica, como la versión del sistema operativo y la versión del kernel. Puede utilizar el escáner rápido SNMP onesixtyone para ver la información del sistema de destino:
Cuando se captura y escribe una gran cantidad de datos en un archivo, se puede cortar automáticamente en varios archivos del mismo tamaño. Por ejemplo, el siguiente comando significa crear una nueva captura de archivo - (hora). Pcap se realiza cada 3600 segundos y el tamaño de cada archivo no supera los 200*1000000 bytes:
Estos archivos se denominan capture-{1-24}. Pcap, después de 24 horas, se sobrescribirá el archivo anterior.
El filtro ip6 puede capturar el tráfico IPv6 y especificar TCP:
Leer mensajes de datos IPv6 UDP de un archivo previamente guardado:
En el siguiente ejemplo, Notarás que el origen y el destino del mensaje capturado siguen siendo los mismos, con los bits de bandera [S] y [R] coincidiendo con una serie aparentemente aleatoria de puertos de destino. Después de enviar SYN, si el puerto del host de destino no está abierto, se devolverá un reinicio. Esta es una práctica estándar con Nmap y otras herramientas de escaneo de puertos.
En este ejemplo, el script de prueba nmapsse HTTP-enum.nse se utiliza para detectar la URL legal del servicio HTTP.
En el host que ejecuta la prueba programada:
En el host de destino:
tcpdump puede capturar solicitudes de DNS salientes y respuestas registradas en el DNS público de Google: p>
Obtenga paquetes HTTP válidos en el puerto 80 y excluya paquetes durante el establecimiento de la conexión TCP (SYN/FIN/ACK):
En términos generales, Wireshark (o tshark) es más fácil de analizar protocolos de capa de aplicación que tcpdump. La práctica común es utilizar tcpdump para capturar datos y escribir archivos en un servidor remoto y luego copiar los archivos a una estación de trabajo local para el análisis de Wireshark.
También existe un método más eficiente, que puede enviar los datos capturados a Wireshark en tiempo real a través de una conexión ssh para su análisis. Tomando el sistema MacOS como ejemplo, puede instalarlo a través de brewcaskinstallwireshark y luego analizarlo mediante el siguiente comando:
Por ejemplo, si desea analizar el protocolo DNS, puede usar el siguiente comando:
Capturar datos:
Para encontrar la IP con la mayor cantidad de paquetes durante un período de tiempo, o para encontrar la IP con la mayor cantidad de paquetes de un grupo de mensajes, puedes usar el siguiente comando:
A partir de 1, 2, 3, 4-D: Imprime las primeras cuatro columnas de cada fila. como separador. Es decir, la dirección IP.
Sortuniq-c: Ordenar y contar
Sort-nr: Ordenar en orden inverso según valores numéricos.
Este ejemplo se centra en el protocolo estándar de texto plano, filtrando mensajes relacionados con el nombre de usuario y la contraseña:
El último ejemplo es capturar los mensajes de solicitud y respuesta del servicio DHCP. 67 es el puerto DHCP y 68 es el puerto del cliente.
Este artículo presenta principalmente la sintaxis básica y el uso de tcpdump, y demuestra su poderosa función de filtrado a través de algunos ejemplos. Combinar tcpdump con wirehark puede desempeñar un papel más poderoso. Este artículo también muestra cómo combinar tcpdump y wirehark de forma elegante y fluida. Si desea conocer más detalles, puede consultar el manual de tcpdump man.
¿Cómo redirigir DNS para evitar la contaminación DNS?
En el cliente, puede utilizar varios DNS, instalar algunas herramientas para evitar el fraude de DNS, como el escudo de red, y utilizar un navegador seguro de terceros para el espejo del host. Del lado del servidor, es necesario detectar en todo momento las vulnerabilidades del servidor, establecer permisos e instalar software antivirus y firewalls.
¿Por qué no se puede abrir la página de reclutamiento de Zhaopin?
1. No puedes simplemente abrir un sitio web específico. Definitivamente no es un problema de red. Si se trata de un problema de red, no se puede abrir todo. Las posibles razones son: Hay un salto/secuestro dirigido en su host, porque Windows leerá este archivo primero. Si existe una relación correspondiente entre el nombre de dominio y la IP, no iniciará una solicitud de DNS. Si la correspondencia entre el nombre de dominio y la IP es incorrecta, el sitio web no se puede abrir (la más típica es la correspondencia.
2. El sitio web de la otra parte está en mantenimiento. Puedes volver a comprobarlo después de un tiempo Si el componente de IE es anormal, puede restablecer el navegador. Si lo anterior no puede resolver el problema, descargue Tencent Computer Manager y use su computadora para repararlo. Su solución es muy profesional y cubre varias causas y métodos de reparación de esta anomalía. Se puede reparar sin circunstancias especiales.
3. Cuando el navegador IE falla, naturalmente afectará la navegación o, si IE se modifica y daña maliciosamente, también hará imposible navegar por la web. En este momento, puede intentar utilizar "Huangshan IE Repair Expert" para repararlo (se recomienda repararlo en modo seguro) o reinstalar IE (si encuentra el problema de no poder reinstalar IE, consulte: Anexo 1 para resolver el problema de no poder reinstalar IE).
¿Cuál es el motivo de la frecuente detección de red en PlayerUnknown's Battlegrounds?
Esto se debe a la inestabilidad de la red.
1. Primero, asegúrese de que su red esté abierta.
2. Los servidores de PlayerUnknown's Battlegrounds son inherentemente inestables, por lo que se necesita un acelerador de juego para aumentar la estabilidad de la red.
3. Reeditar el host para dirigir la red y reducir los retrasos puede resolver el problema de detección de retrasos en la red.