Sniffer significa escuchar a escondidas, y el estado de sniffer debe ser el estado de escucha a escondidas
Lea lo siguiente con más detalle, le garantizo que verá que su cabeza es grande~jaja
Sniffers (Sniffer) tiene una historia casi tan larga como Internet. Sniffer es un método comúnmente utilizado para recopilar datos útiles. Estos datos pueden ser cuentas de usuario y contraseñas, algunos datos comerciales confidenciales, etc. Con la creciente popularidad de Internet y el comercio electrónico, la seguridad en Internet ha recibido cada vez más atención. Sniffer, que desempeña un papel importante en los riesgos de seguridad de Internet, ha recibido cada vez más atención, por lo que hoy les presentaré a Sniffer y cómo bloquearlo.
La mayoría de los piratas informáticos sólo quieren detectar hosts en la red interna y obtener el control. Sólo aquellos piratas informáticos "ambiciosos" instalarán troyanos y puertas traseras y borrarán registros para controlar toda la red. La técnica que suelen utilizar es la instalación de rastreadores.
En una intranet, la forma más efectiva para que los piratas informáticos obtengan rápidamente una gran cantidad de cuentas (incluidos nombres de usuario y contraseñas) es utilizar el programa "sniffer". Este método requiere que el host que ejecuta el programa Sniffer y el host monitoreado estén en el mismo segmento Ethernet, por lo que ejecutar el sniffer en un host externo no tiene ningún efecto. Además, debe utilizar el programa rastreador como root para monitorear el flujo de datos en el segmento Ethernet. Cuando hablamos de rastreadores de Ethernet, debemos hablar de rastreadores de Ethernet.
Entonces, ¿qué es un rastreador de Ethernet?
El rastreo de Ethernet se refiere a escuchar los paquetes de datos transmitidos en el dispositivo Ethernet y descubrir los paquetes de interés. Si encuentra un paquete que cumple las condiciones, guárdelo en un archivo de registro
. Normalmente, estas condiciones se establecen en paquetes que contienen las palabras "nombre de usuario" o "contraseña". Su propósito es poner la capa de red en modo promiscuo para que pueda hacer algo.
El modo promiscuo significa que todos los dispositivos de la red escuchan los datos transmitidos en el bus, no solo sus propios datos. De acuerdo con la introducción básica al principio de funcionamiento de Ethernet en el Capítulo 2, podemos saber que cuando un dispositivo quiere enviar datos a un determinado objetivo, los transmite a Ethernet. Un dispositivo conectado al bus Ethernet está recibiendo datos en cualquier momento. Pero simplemente pasa sus propios datos a la aplicación en la computadora.
Utilizando esto, la conexión de red de una computadora se puede configurar para aceptar datos en todos los buses Ethernet, implementando así rastreadores.
Sniffer normalmente se ejecuta en un enrutador o en un host con funcionalidad de enrutador. Esto permite monitorear grandes cantidades de datos. Sniffer es un ataque de segundo nivel. Por lo general, el atacante ya ha ingresado al sistema objetivo y luego utiliza el método de ataque de rastreo para obtener más información.
Además de obtener la contraseña o el nombre de usuario, los rastreadores también pueden obtener más información, como otra información importante, información financiera transmitida en línea, etc. Sniffer puede obtener casi cualquier paquete de datos transmitido a través de Ethernet. Los piratas informáticos utilizarán varios métodos para obtener el control del sistema y dejarán puertas traseras para volver a intrudir y garantizar que los rastreadores puedan ejecutarlo. En las plataformas Solaris 2.x, el programa rastreador normalmente se instala en el directorio /usr/bin o /dev. Los piratas informáticos también modificarán inteligentemente el tiempo para que el programa rastreador parezca estar instalado al mismo tiempo que otros programas del sistema.
La mayoría de los programas rastreadores de Ethernet se ejecutan en segundo plano y envían los resultados a algún archivo de registro. Los piratas informáticos suelen modificar el programa ps, lo que dificulta que los administradores del sistema descubran el programa rastreador en ejecución.
El programa rastreador de Ethernet configura la interfaz de red del sistema en modo mixto.
De esta manera, puede monitorear todos los paquetes de datos que fluyen a través del mismo segmento de Ethernet, independientemente de si su destinatario o remitente es el host que ejecuta el rastreador. El programa almacena nombres de usuario, contraseñas y otros datos de interés para los piratas informáticos en archivos de registro. El pirata informático esperará un período de tiempo, por ejemplo, una semana después, y luego volverá aquí para descargar el archivo de registro.
Dicho todo esto, ¿qué palabras comunes podemos utilizar para presentar a los sniffers?
Las redes informáticas se diferencian de los circuitos telefónicos. Las redes informáticas sólo comparten canales de comunicación. Compartir significa que las computadoras pueden recibir información enviada a otras computadoras. La captura de los datos transmitidos en la red se llama sniffing.
Ethernet es el método de conexión en red informática más utilizado en la actualidad. El protocolo Ethernet envía información de paquetes a todos los hosts en el mismo bucle. El encabezado del paquete contiene la dirección correcta del host de destino. Normalmente sólo el host con esta dirección aceptará este paquete. Si un host puede recibir todos los paquetes independientemente del contenido del encabezado, a esto se le suele denominar modo "promiscuo".
Dado que en un entorno de red normal, la información de cuenta y contraseña se transmite en texto plano a través de Ethernet, una vez que un intruso obtiene privilegios de root en uno de los hosts y lo pone en modo promiscuo para espiar datos de la red, potencialmente comprometiendo todos los ordenadores de la red.
En una palabra, sniffer es un método y una herramienta de piratería que se utiliza para escuchar a escondidas.
2. Cómo funcionan los rastreadores
Por lo general, todas las interfaces de red en el mismo segmento de red tienen la capacidad de acceder a todos los datos transmitidos en el medio físico, y cada interfaz de red también debe tener un dirección de hardware que es diferente de las direcciones de hardware de otras interfaces de red presentes en la red, y al menos una dirección de transmisión para cada red. (que representa todas las direcciones de interfaz). En circunstancias normales, una interfaz de red legal solo debe responder a estos dos tipos de tramas de datos:
1. dirección.
2. El área de destino del marco tiene una "dirección de transmisión".
Al recibir los paquetes de datos en las dos situaciones anteriores, nc genera una interrupción de hardware a través de la CPU, que puede atraer la atención del sistema operativo y luego transferir los datos contenidos en la trama al sistema para procesamiento posterior.
El sniffer es un software que puede establecer el estado del nc local en el estado (promiscuo). Cuando el nc está en este modo "promiscuo", el nc tiene una "dirección de transmisión" que será utilizada. por todos los encuentros. Cada cuadro genera una interrupción de hardware para alertar al sistema operativo para que procese cada paquete que fluye a través del medio físico. (La mayoría de los NC tienen la capacidad de configurarse en modo promiscuo)
Se puede ver que el rastreador funciona en la parte inferior del entorno de red. Interceptará todos los datos que se transmiten en la red y los procesará a través de los correspondientes. software, el contenido de estos datos se puede analizar en tiempo real y luego se puede analizar el estado de la red y el diseño general. Vale la pena señalar: los rastreadores son extremadamente silenciosos y constituyen un ataque de seguridad pasivo.
Por lo general, el contenido que preocupa a los rastreadores se puede dividir en las siguientes categorías:
1. Contraseñas
Creo que esta es la razón por la que la mayoría de los rastreadores lo hacen. usado ilegalmente, los rastreadores pueden registrar el ID de usuario y la contraseña transmitidos en texto claro. Incluso si usa datos cifrados durante la transmisión de la red, los datos registrados por el rastreador aún pueden hacer que el intruso intente descubrir su algoritmo mientras come brochetas de carne en casa.
2. Número de cuenta financiera
Muchos usuarios se sienten seguros usando su tarjeta de crédito o cuenta de efectivo en línea. Sin embargo, los rastreadores pueden interceptar fácilmente nombres de usuario, contraseñas, números de tarjetas de crédito, etc. en línea Fecha de vencimiento, número de cuenta y PIN
3. Espiar información y datos confidenciales o sensibles
Al interceptar paquetes de datos, los intrusos pueden registrar fácilmente la transmisión de información confidencial entre otros, o simplemente. interceptar todo el proceso de conversación por correo electrónico.
4. Espiar información de protocolo de bajo nivel.
Creo que esto es algo terrible al registrar el protocolo de información subyacente, como registrar la dirección de la interfaz de red entre dos hosts, la dirección IP de la interfaz de red remota, la información de enrutamiento IP y los números de orden de bytes de la conexión TCP. , etc. Cuando esta información es controlada por intrusos ilegales, causará un gran daño a la seguridad de la red. Por lo general, solo hay una razón por la que alguien usa rastreadores para recopilar esta información: está realizando un fraude (generalmente el fraude de direcciones IP requiere que se inserte con precisión el TCP). número de secuencia de bytes de conexión, esto se señalará en un artículo futuro) Si alguien está muy preocupado por este problema, entonces el sniffer es solo un preludio para él, y el problema en el futuro será mucho mayor. (Para los hackers avanzados, creo que esta es la única razón para usar rastreadores)
2. El entorno de trabajo de los rastreadores
Un rastreador es un dispositivo que puede capturar paquetes de red. El uso legítimo de un rastreador es analizar el tráfico de la red para identificar problemas potenciales en la red en cuestión. Por ejemplo, supongamos que una determinada sección de la red no funciona muy bien, el envío de mensajes es lento y no sabemos dónde radica el problema. En este momento, podemos utilizar un rastreador para hacer un juicio preciso. el problema.
Los rastreadores varían en funcionalidad y diseño. Algunos sólo pueden analizar un protocolo, mientras que otros pueden analizar cientos de protocolos. En general, la mayoría de los rastreadores pueden analizar al menos los siguientes protocolos:
1. Ethernet estándar
2. TCP/IP
3.
4.DECNet
Los rastreadores suelen ser una combinación de software y hardware. Los rastreadores dedicados son muy caros. Los rastreadores gratuitos, por otro lado, no cuestan nada pero reciben poco apoyo.
Los rastreadores son diferentes de los programas de captura de teclado comunes. Los programas de captura de teclado capturan los valores clave ingresados en el terminal, mientras que los rastreadores capturan mensajes de red reales. Un rastreador hace esto colocándolo en una interfaz de red, como configurar una tarjeta Ethernet en modo promiscuo. (Para entender qué es el modo promiscuo, primero explique cómo funciona la LAN).
Los datos se transmiten en la red en una pequeña unidad llamada trama (FTame). Una trama se compone de varias partes, y diferentes partes realizan diferentes funciones. (Por ejemplo, los primeros 12 bytes de Ethernet almacenan las direcciones de origen y destino. Estos bits le dicen a la red: el origen y el destino de los datos. Las otras partes de la trama Ethernet almacenan los datos reales del usuario y los encabezados TCP/IP. O encabezado IPX, etc.).
Los marcos se moldean mediante un software especial llamado controlador de red y luego se envían por el cable de red a través de la tarjeta de red. Llegue a sus máquinas de destino a través de cables de red y realice el proceso inverso en un extremo de la máquina de destino. La tarjeta Ethernet de la máquina receptora captura estas tramas y avisa al sistema operativo de su llegada, que luego las almacena. Es durante este proceso de transmisión y recepción cuando los rastreadores pueden causar problemas de seguridad.
Cada estación de trabajo en la LAN tiene su propia dirección de hardware. Estas direcciones representan de forma única máquinas en la red (similar al sistema de direcciones de Internet). Cuando un usuario envía un mensaje, estos mensajes se envían a todas las máquinas disponibles en la LAN.
En circunstancias normales, todas las máquinas de la red pueden "escuchar" el tráfico que pasa, pero no responderán a los paquetes que no les pertenecen (en otras palabras, la estación de trabajo A no capturará los paquetes que pertenecen a ellos) datos de la estación de trabajo B y simplemente ignorar los datos).
Si la interfaz de red de una estación de trabajo está en modo promiscuo, puede capturar todos los paquetes y tramas de la red. Si una estación de trabajo está configurada de esta manera, (incluido su software) es un rastreador.
Daño potencial causado por los rastreadores:
1. El rastreador puede capturar contraseñas
2. Puede capturar información especializada o confidencial
3. Puede usarse para poner en peligro la seguridad de los vecinos de la red o para obtener permisos de acceso de nivel superior.
De hecho, si tiene un rastreador no autorizado en la red, su sistema habrá quedado expuesto a otros. (Puedes probar la función de rastreo de Tianxing 2)
Generalmente, solo rastreamos los primeros 200 a 300 bytes de cada mensaje.
El nombre de usuario y la contraseña están incluidos en esta sección, y esta es la parte que realmente nos importa. Los trabajadores también pueden rastrear todos los mensajes en una interfaz determinada. Si hay suficiente espacio para almacenamiento y procesamiento, encontrará otras cosas muy interesantes...
Simple Colocar un rastreador en cualquier lugar no servirá de mucho. Coloque el rastreador cerca de la máquina o red atacada, de modo que se capturen muchas contraseñas. Otro método mejor es colocarlo en la puerta de enlace. Esto capturaría el proceso de autenticación de identidad entre la red y otras redes. Este enfoque aumentará exponencialmente el alcance que podemos atacar.
3. Quién sabe utilizar sniffers
Tal vez todo el mundo sepa quién puede utilizar sniffers, pero no todos los que lo utilizan son expertos en redes, porque ahora hay muchos sniffers que tienen todos. volverse tontos. El más utilizado hace algún tiempo era oicq sniffer. Creo que aquellos amigos a los que les gusta comprobar las IP de sus amigos deberían recordarlo. Jaja, lo he usado antes, ¡pero por supuesto que no lo necesito ahora!
Por supuesto, los administradores de sistemas utilizan rastreadores para analizar el tráfico de la red y descubrir dónde se producen los problemas en la red. Un administrador de seguridad puede utilizar varios rastreadores al mismo tiempo y colocarlos en toda la red para formar un sistema de alarma contra intrusiones. Sniffer es una gran herramienta para los administradores de sistemas, pero también es una herramienta utilizada a menudo por los piratas informáticos. Los piratas informáticos instalan rastreadores para obtener nombres de usuario y números de cuentas, números de tarjetas de crédito, información personal y otra información que puede provocar ataques contra usted. podría ser un gran daño para su empresa si se desarrolla en una mala dirección. Cuando obtienen esta información, los piratas informáticos utilizarán la contraseña para atacar otros sitios de Internet e incluso revender números de tarjetas de crédito.
3. Cómo se implementa el sniffer en la red
Antes de hablar de este tema, conviene hablar también de la comunicación Ethernet. Por lo general, todas las interfaces de red en el mismo segmento de red tienen la capacidad de acceder a todos los datos transmitidos en los medios, y cada interfaz de red también debe tener una dirección de hardware que sea diferente del hardware de otras interfaces de red presentes en la dirección de red, al mismo tiempo. Al mismo tiempo, cada red también necesita al menos una dirección de transmisión. En circunstancias normales, una interfaz de red legal solo debe responder a dos tipos de tramas de datos:
1? El área de destino de la trama tiene una dirección de hardware que coincide con la interfaz de red local.
2? El área de destino del marco tiene una "dirección de transmisión".
Al recibir los paquetes de datos en las dos situaciones anteriores, la tarjeta de red genera una interrupción de hardware a través de la CPU. Esta interrupción puede atraer la atención del sistema operativo y luego transferir los datos contenidos en el marco al sistema para su posterior procesamiento. Sniffer es un software que puede configurar el estado de la tarjeta de red local en modo promiscuo. Cuando la tarjeta de red está en modo promiscuo, la tarjeta de red tiene una "dirección de transmisión" y genera una interrupción de hardware por cada cuadro que encuentra para recordarle al sistema operativo que procese cada paquete. (La mayoría de las tarjetas de red tienen la capacidad de configurarse en modo promiscuo.
Se puede ver que los rastreadores trabajan en la parte inferior del entorno de red e interceptarán todos los datos que se transmiten en la red. A través de los correspondientes procesamiento de software. El contenido de estos datos se puede analizar en tiempo real para analizar el estado de la red y el diseño general. Vale la pena señalar que el sniffer es extremadamente silencioso y es un ataque de seguridad pasivo.
4. ¿Dónde puede? ¿Qué se puede hacer? Obtenga sniffers
Los sniffers de los que estamos hablando se utilizan principalmente en sistemas Unix. En cuanto a los sniffers oicq, no están dentro del alcance de nuestra discusión. es el método de intrusión más utilizado por los piratas informáticos. 1. Puede ejecutar rastreadores en una red aprobada para comprender cómo compromete efectivamente la seguridad de las máquinas locales.
El rastreador puede ser el más versátil y ampliamente utilizado. es el software Sniffer, y la mayoría de los piratas informáticos también utilizan el software Sniffer.
Las siguientes son algunas herramientas de rastreo que también se utilizan ampliamente para depurar fallas de red:
(1). Rastreadores comerciales:
1. /p>
p>
Network General desarrolla una variedad de productos. Lo más importante es Expert Sniffer, que no sólo puede detectar, sino también enviar/recibir paquetes de datos a través de un sistema especializado de alto rendimiento para ayudar a diagnosticar fallas. También hay un producto mejorado "Sistema rastreador distribuido" que puede usar una estación de trabajo UNIX como consola rastreadora y distribuir agentes rastreadores (agentes) a hosts remotos.
2. Net Monitor de Microsoft
Para algunos sitios comerciales, es posible que necesite ejecutar varios protocolos al mismo tiempo: NetBEUI, IPX/SPX, TCP/IP, 802.3 y SNA. etc. En este momento, es difícil encontrar un rastreador que ayude a resolver los problemas de la red, porque muchos rastreadores a menudo consideran algunos paquetes de datos de protocolo correctos como paquetes de datos incorrectos. Net Monitor de Microsoft (anteriormente Bloodhound) puede resolver este problema. Puede distinguir correctamente paquetes de datos únicos, como paquetes de control Netware, transmisiones del servicio de nombres NT NetBios, etc. (etherfind solo identificará estos paquetes como paquetes de transmisión del tipo 0000). Esta herramienta se ejecuta en la plataforma MS Windows. Incluso es capaz de realizar estadísticas de red y monitorear información de sesión por dirección MAC (o nombre de host). Simplemente haga clic en una sesión para obtener la salida estándar de tcpdump. La configuración del filtro también es la más simple: simplemente haga clic en el host que desea monitorear en un cuadro de diálogo.
(2). Sniffer de software gratuito
1. Sniffit fue desarrollado por Lawrence Berkeley Laboratory y se ejecuta en plataformas Solaris, SGI y Linux. Puede seleccionar la dirección de origen, destino o conjunto de direcciones, y también puede seleccionar el puerto de escucha, protocolo, interfaz de red, etc. De forma predeterminada, este SNIFFER solo acepta los primeros 400 bytes de paquetes de información, lo cual está bien para una sesión de inicio de sesión.
2. SNORT: Este SNIFFER tiene muchas opciones para su uso y es altamente portátil. Puede registrar cierta información de conexión y usarla para rastrear algunas actividades de la red.
3. TCPDUMP: Este SNIFFER es muy famoso. Linux y FREEBSD también están incluidos en el sistema. Muchos expertos en UNIX lo consideran una herramienta de gestión de red profesional. Shimomura (debería llamarse Shimomura) usó su propia versión modificada de TCPDUMP para registrar el ataque de KEVINMITNICK a su sistema. Más tarde, cooperó con el FBI para capturar a KEVINMITNICK. Más tarde, escribió un artículo: Usando estos registros LOG para describir ese ataque. , Cómo Mitnick hackeó a Tsutomu Shimomura con un ataque de secuencia IP
( /~lspitz/snoop.html
(4). La herramienta de rastreo en Linux
Para la herramienta de rastreo en Linux, recomiendo Tcpdump
[1].Instalación de tcpdump
La instalación de tcpdump en Linux es muy simple. Generalmente hay dos métodos de instalación. Uno es instalarlo en forma de paquete rpm. y la otra es instalarlo desde el código fuente. Instalación en forma de programa
1. Instalación en forma de paquete rpm
Esta forma de instalación es la más sencilla. método de instalación.El paquete rpm compila el software y lo empaqueta en formato binario, se puede instalar directamente a través del comando rpm sin modificar nada.
Inicie sesión como superusuario y utilice el siguiente comando:
#rpm -ivh tcpdump-3_4a5.rpm
De esta manera, tcpdump se instalará correctamente en su sistema Linux. ¿Qué tal? Es muy simple.
2. Instalación del programa fuente
Dado que la instalación de paquetes rpm es muy simple, ¿por qué deberíamos utilizar una instalación del programa fuente más complicada? De hecho, uno de los mayores atractivos de Linux es que se proporciona una gran cantidad de software. programa, las personas pueden modificar el programa fuente para satisfacer sus propias necesidades especiales. Por eso recomiendo especialmente a mis amigos que adopten este método de instalación del programa fuente.
· El primer paso es obtener el programa fuente. En el método de instalación del programa fuente, primero debemos obtener el paquete de distribución del programa fuente tcpdump. Este paquete de distribución viene en dos formas, una es un comprimido tar. paquete (tcpdump -3_4a5.tar.Z), el otro es el paquete de distribución rpm (tcpdump-3_4a5.src.rpm). El contenido de estos dos formularios es el mismo, la única diferencia es el método de compresión. El paquete comprimido tar se puede descomprimir usando el siguiente comando:
#tar xvfz tcpdump-3_4a5.tar.Z
El paquete rpm se puede instalar usando el siguiente comando:
#rpm -ivh tcpdump-3_4a5.src.rpm
Esto descomprimirá el código fuente de tcpdump en /usr Directorio /src/redhat/SOURCES
· El segundo paso es hacer los preparativos antes de compilar el programa fuente.
Antes de compilar el programa fuente, es mejor asegurarse de que el El archivo de biblioteca libpcap se ha instalado completo; el software tcpdump requiere este archivo de biblioteca. Asimismo, también necesita un compilador de lenguaje C estándar. El compilador de lenguaje C estándar en Linux es generalmente gcc. En el directorio del programa fuente de tcpdump. Hay un archivo llamado Makefile.in y el comando de configuración genera automáticamente el archivo Makefile a partir del archivo Makefile.in. En el archivo Makefile.in, puede modificar las dos definiciones de macro BINDEST y MANDEST según la configuración del sistema. El valor predeterminado es
BINDEST = @sbindir @
MANDEST = @mandir. @
El primer valor de macro indica el nombre de la ruta del archivo binario donde está instalado tcpdump, y el segundo valor de macro indica el nombre de la ruta de la página de ayuda del manual de tcpdump. Puede modificarlos para satisfacer las necesidades de. el sistema.
· Paso 3: Compile el programa fuente
Utilice el script de configuración en el directorio del programa fuente, que lee varios atributos requeridos del sistema. Y el archivo Makefile se genera automáticamente de acuerdo con el archivo Makefile.in para la compilación. El comando .make se utiliza para compilar el programa fuente tcpdump de acuerdo con las reglas del archivo Makefile. Utilice el comando make install para instalar el archivo binario tcpdump compilado.
Para resumir:
# tar xvfz tcpdump-3_4a5.tar.Z
# vi Makefile.in
# .
# make
# make install
[2].Uso de Tcpdump
tcpdump utiliza la línea de comandos y sus comandos. el formato es:
tcpdump [ -adeflnNOpqStvx ] [ -c cantidad] [ -F nombre de archivo]
[ -i interfaz de red] [ -r nombre de archivo] [ -s snaplen ]
[ -T tipo] [ -w nombre de archivo] [expresión]
1 Introducción a las opciones de tcpdump
-a Convierte la dirección de red y la dirección de transmisión Conviértela. en un nombre;
-d dará el código que coincide con el paquete de información en un formato ensamblador que la gente pueda entender
-dd dará el código que coincide con el paquete de información en C; segmento de programa de idioma Se proporciona el formato;
-ddd proporciona el código del paquete de información coincidente en forma decimal
-e imprime la información del encabezado de la capa de enlace de datos en el línea de salida;
-f imprime la dirección de Internet externa en forma numérica;
-l hace que la salida estándar sea una línea almacenada en el buffer; fuera de la red Convertir direcciones en nombres;
-t no imprime una marca de tiempo en cada línea de salida
-v genera información un poco más detallada, por ejemplo, ttl y servicio; se puede incluir en el paquete ip Escriba información
-vv genera información detallada del mensaje
-c Después de recibir el número especificado de paquetes, tcpdump se detendrá
<; p >-F lee expresiones del archivo especificado e ignora otras expresiones;-i especifica la interfaz de red de escucha
-r lee los paquetes del archivo especificado (estos paquetes son generalmente; generado a través de la opción -w);
-w escribe el paquete directamente en el archivo sin analizarlo ni imprimirlo
-T monitoreará el paquete Interpretado directamente como un tipo específico de; mensaje, los tipos comunes incluyen rpc (llamada a procedimiento remoto) y snmp (protocolo simple de administración de red;)
2. Introducción a las expresiones tcpdump
La expresión es una expresión regular, que utiliza tcpdump. como condición para filtrar paquetes. Si un paquete cumple las condiciones de la expresión, el paquete será capturado. Si no se dan condiciones, todos los paquetes de la red serán interceptados.
Generalmente hay varios tipos de palabras clave en las expresiones. Una se refiere a palabras clave de tipo, que incluyen principalmente host, net y port. Por ejemplo, host 210.27.48.2 indica que 210.27.48.2 es una computadora. , net 202.0.0.0 indica que 202.0.0.0 es una dirección de red y el puerto 23 indica que el número de puerto es 23. Si no se especifica el tipo, el tipo predeterminado es host.
El segundo tipo es la palabra clave que determina la dirección de transmisión, que incluye principalmente src, dst, dst o src, dst y src. dirección de transmisión. Por ejemplo, src 210.27.48.2 indica que la dirección de origen en el paquete IP es 210.27.48.2 y dst net 202.0.0.0 indica que la dirección de red de destino es 202.0.0.0. Si no se especifica ninguna palabra clave de dirección, la palabra clave predeterminada es src o dst.
El tercer tipo es la palabra clave del protocolo, que incluye principalmente fddi, ip, arp, rarp, tcp, udp y otros tipos.
Fddi indica un protocolo de red específico en FDDI (Red de interfaz de datos de fibra óptica distribuida). De hecho, es un alias de "ether fddi" y ether tienen direcciones de origen y destino similares, por lo que los paquetes de protocolo fddi pueden considerarse paquetes de ether. son procesados y analizados. Varias otras palabras clave especifican el contenido del protocolo de los paquetes monitoreados. Si no se especifica ningún protocolo, tcpdump escuchará paquetes de todos los protocolos.
Además de estos tres tipos de palabras clave, otras palabras clave importantes son las siguientes: puerta de enlace, transmisión, menor, mayor y tres operaciones lógicas. La operación de negación es 'no' '. es 'y', '&&'; la operación OR es 'o','';
Estas palabras clave se pueden combinar para formar condiciones de combinación poderosas para satisfacer las necesidades de las personas.
(1) Quiere interceptar todos los paquetes de datos recibidos y enviados por todos los hosts 210.27.48.1:
#tcpdump host 210.27.48.1
(2) Si desea interceptar la comunicación entre el host 210.27.48.1 y el host 210.27.48.2 o 210.27.48.3, use el comando: (Cuando use paréntesis en la línea de comando, asegúrese de
#tcpdump host 210.27.48.1 y \ (210.27.48.2 o 210.27.48.3 \)
(3) Si desea obtener los paquetes IP de todos los hosts que se comunican con el host 210.27.48.1 excepto el host 210.27.48.2, use el comando:
#tcpdump ip host 210.27.48.1 y ! 210.27.48.2
(4) Si desea obtener los paquetes telnet recibidos o enviados por el host 210.27.48.1, utilice el siguiente comando:
#tcpdump tcp puerto 23 host 210.27.48.1
3. Introducción a los resultados de salida de tcpdump
Aquí presentamos la información de salida de varios comandos típicos de tcpdump.
(1) Información del encabezado de la capa de enlace de datos
Utilice el comando #tcpdump --e host ice
ice es un host con Linux instalado y su MAC la dirección es 0: 90:27:58: AF: 1A
H219 es una estación de trabajo SUN equipada con SOLARIC su dirección MAC es 8:0:20:79:5B:46; comando como se muestra a continuación:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice. telne
t 0:0(0) ack 22535 win 8760 (DF)
Análisis: 21:50:12 es la hora mostrada, 847509 es el número de identificación, eth0 < significa desde la interfaz de red eth0 acepta el paquete, eth0 > indica que el paquete se envía desde el dispositivo de interfaz de red, 8:0:20:79:5b:46 es la dirección MAC del host H219, que indica que el paquete se envía desde la dirección de origen H219 0:90:27:58:af:1a es la dirección MAC del host ICE, lo que indica que la dirección de destino del paquete de datos es ICE, lo que indica que el paquete de datos es un paquete de datos IP, 60. es la longitud del paquete de datos, h219.33357 > ice .telnet indica que el paquete de datos se envía desde el puerto 33357 del host H219 al puerto TELNET (23) del host ICE 22535 indica una respuesta al paquete. con el número de secuencia 222535. win 8760 indica que el tamaño de la ventana de envío es 8760.
(2) Información de salida TCPDUMP del paquete ARP
Utilice el comando #tcpdump arp
El resultado de salida es:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < ruta de respuesta arp es-at 0:90:27:12: 10:66 (0:90:27:58:af:1a)
Análisis: 22:32 :42 es la marca de tiempo, 802509 es el número de identificación, eth0 > indica que el paquete fue enviado desde el host, arp indica que es un paquete de solicitud ARP y quién tiene la ruta indicada ice indica que es un IC de host.
E solicita la dirección MAC de la RUTA del host. 0:90:27:58:af:1a es la dirección MAC del host ICE.
(3) Información de salida de los paquetes TCP
La información de salida general de los paquetes TCP capturados con TCPDUMP es:
src > dst: flags data-seqno ack ventana de opciones urgentes
src > dst: indica desde la dirección de origen a la dirección de destino, flags es la información del flag en el paquete TCP, S es el flag SYN, F (FIN), P (PUSH), R (RST) "." (sin marca); data-seqno es el número de secuencia de los datos en el paquete, ack es el número de secuencia esperado la próxima vez, ventana es el tamaño de la ventana del búfer de recepción y urgente indica si hay es un puntero urgente en el paquete. Las opciones son Opción
(4) Información de salida de los paquetes UDP
La información de salida general de los paquetes UDP capturados con TCPDUMP es:
route.port1 > ice.port2 : udp lenth
UDP es muy simple La línea de salida anterior indica que se envía un paquete UDP desde el puerto 1 de la RUTA del host al puerto 2 de la RUTA. host ICE. El tipo es UDP. La longitud del paquete es larga. I Este artículo presenta la instalación y el uso de TCPDUMP en detalle, espero que sea útil para todos. Si desea dominar el uso de TCPDUMP, una herramienta SNIFFER en el entorno LINUX, aún necesita resumir su experiencia en la práctica y aprovechar al máximo su poder.
(5). Sniffer en la plataforma Windows
Recomiendo el software netxray y sniffer pro. Creo que todos los han usado, pero los presentaré brevemente aquí.
Instrucciones de uso de netxray
1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 Esta es una LAN conectada a ShareHub
5.5.5.5 Esto está en el puerto 8080
¿Iniciar captura?