如何抓取定向流量host（如何获取定向流量）

Tcpdump，看这个就够了

tcpdump是一个捕获网络数据包的强大工具。它使用libpcap库来捕获网络数据包。这个库在几乎所有的Linux/Unix中都可用。熟悉tcpdump的使用可以帮助您分析和调试网络数据。本文将通过具体例子介绍如何在不同场景下使用。无论你是系统管理员，程序员，云原生工程师，还是yaml工程师，掌握tcpdump的使用，都能让你如虎添翼，升职加薪。

tcpdump的常见参数如下:

引入几个常用参数:

-一种用ASCII字符串打印消息所有数据的手段，可以使阅读更容易，便于用grep等工具解析输出内容。-X表示使用十六进制和ASCII字符串打印消息的所有数据。这两个参数不能一起使用。例如:

您可以根据协议名称来过滤特定协议的流量。以udp为例，可以添加参数UDP或者协议17。这两个命令具有相同的含义。

同样，tcp与协议6的含义相同。

使用过滤器主机捕获特定目的地和源IP地址的流量。

您还可以使用src或dst仅获取源或目标:

使用tcpdump拦截数据消息时，会默认打印到屏幕的默认输出。你会看到很多数据按照顺序和格式一行行闪过，来不及看清一切。但是，tcpdump提供了将截取的数据保存到文件中的功能，以便其他图形工具(如wireshark、Snort)稍后进行分析。

-w选项用于将数据消息输出到文件:

如果您想要将捕获的数据传输到其他工具进行实时处理，您需要使用-l选项来打开行缓冲模式(或者使用-c选项来打开包缓冲模式)。使用-l选项将输出立即发送给其他命令，其他命令将立即响应。

过滤器的真正威力在于你可以随意组合，连接它们的逻辑常用AND /AND/&&，or /OR/

and NOT /not/！。

关于tcpdump的滤镜，这里有必要单独介绍一下。

机器上有异常多的网络消息。很多时候，我们只涉及与特定问题相关的数据报(如访问网站的数据，或icmp超时消息等)。)，而且这些数据只占一小部分。要截取所有的数据，并从中找到想要的信息，无疑是一件费时费力的事情。Tcpdump提供了一种灵活的语法，可以准确地拦截感兴趣的数据报，并简化分析的工作量。选择这些数据包的语句称为过滤器！

主机过滤器用于过滤某台主机的数据报文。例如:

此命令捕获发送到主机1.2.3.4或1.2.3.4或从主机接收的所有流量。如果您只想从该主机获取流量，可以使用以下命令:

网络过滤器用于过滤某个网段的数据，采用CIDR[2]模式。可以使用四元组(x.x.x.x)、三元组(x.x.x)、二元组(x.x)和一元组(x)。四元组是指定一个主机，三元组表示子网掩码255.255.255.0，二元组表示子网掩码255.255.0.0，一元组表示子网掩码255.0.0。举个例子，

获取发往或来自网段192.168.1.x的所有流量:

获取发送到或来自网段10.x.x.x的所有流量:

与主机过滤器一样，也可以在此处指定源和目标:

您也可以使用CIDR格式:

Proto filter用于过滤某个协议的数据。关键字是proto，可以省略。Proto后面可以跟协议号或者协议名，支持ICMP，IGMP，IGRP，PIM，AH，ESP，CARP，VRRP，UDP，tcp。因为通常的协议名称是一个保留字段，所以在与proto指令一起使用时，必须根据shell类型用一个或两个反斜杠(/)对其进行转义。Linux中的shell需要使用两个反斜杠进行转义，而MacOS只需要一个。

例如，抓取icmp协议的消息:

端口过滤器用于过滤通过某个端口的数据报文，关键字是Port。例如:

截取数据只是第一步，第二步是了解这些数据。下面解释tcpdump命令输出的每一部分的意义。

最基本和最重要的信息是数据报的源地址/端口和目的地址/端口。在上述示例的第一个数据报中，源地址ip是192.168.1.106，源端口是56166，目的地址是124.192.132.54，目的端口是80。& gt表示符号数据的方向。

另外，上面三条数据是tcp协议的三次握手过程，第一条是SYN消息，可以通过Flags [S]看到。以下是常见TCP消息的标志:

下面是一些具体的例子。每个示例都可以使用多种方法来获得相同的输出。您使用的方法取决于所需的输出和网络流量。在故障排除时，我们通常只想得到我们想要的，这可以通过过滤器和ASCII输出结合管道和grep、cut、awk等工具来实现。

比如抓取HTTP请求和响应包时，可以通过删除标志SYN/ACK/FIN来过滤噪音，但是有更简单的方法通过管道传递给grep。在实现我们的目标时，我们应该选择最简单和最有效的方法。让我们看一个例子。

从HTTP请求头中提取HTTP用户代理:

Egrep可以同时提取用户代理和主机名(或其他头文件):

抓取HTTP获取流量:

您还可以获取HTTP POST请求流量:

注意:这种方法不能保证捕获到HTTP POST的有效数据流量，因为一个POST请求会被分割成多个TCP包。

上面两个表达式中的十六进制将匹配GET和POST请求的ASCII字符串。比如TCP[((TCP[12:1]& 0xf 0)>:& gt；2):4]首先我们会确定我们感兴趣的字节的位置[3](在TCP头之后)，然后选择我们要匹配的4个字节。

提取HTTP请求的主机名和路径:

从HTTP POST请求中提取密码和主机名:

提取Set-Cookie(服务器的Cookie)和Cookie(客户端的Cookie):

要查看网络上的所有互联网控制消息协议:

排除回应和回复数据包，使捕获的数据包不包括标准ping数据包:

您可以提取电子邮件的正文和其他数据。例如，要仅提取电子邮件的收件人:

抓取NTP服务的查询和响应

通过SNMP服务，渗透测试人员可以获得大量的设备和系统信息。在这些信息中，系统信息是最关键的，比如操作系统版本、内核版本等。您可以使用SNMP快速扫描程序onesixtyone查看目标系统的信息:

当大量数据被捕获并写入一个文件时，它可以被自动切割成多个相同大小的文件。例如，以下命令意味着创建一个新的文件捕获-(小时)。pcap每3600秒一次，每个文件的大小不超过200*1000000字节:

这些文件命名为capture-{1-24}。pcap，24小时后，以前的文件将被覆盖。

过滤器ip6可以捕获IPv6流量，并且可以指定TCP等协议:

从先前保存的文件中读取IPv6 UDP数据消息:

在下面的示例中，您会发现捕获的消息的源和目的地保持不变，标记位[S]和[R]匹配一系列看似随机的目的地端口。发送SYN后，如果目标主机的端口没有打开，将返回RESET。这是Nmap和其他端口扫描工具的标准做法。

在本例中，nmapsse测试脚本HTTP-enum.nse用于检测HTTP服务的合法URL。

在执行脚本测试的主机上:

在目标主机上:

出站DNS请求和对Google公共DNS的A记录响应可以通过tcpdump捕获:

抓取端口80的HTTP有效数据包，排除TCP连接建立过程(SYN/FIN/ACK)的数据包:

一般来说，Wireshark(或tshark)比tcpdump更容易分析应用层协议。通常的做法是使用tcpdump在远程服务器上捕获数据和写入文件，然后将文件复制到本地工作站，供Wireshark进行分析。

还有一种更高效的方法，可以通过ssh连接将抓取的数据实时发送到Wireshark进行分析。以MacOS系统为例，它可以通过brew cask install wireshark进行安装，然后通过以下命令进行分析:

例如，如果您想要分析DNS协议，您可以使用以下命令:

捕获的数据:

要找出一段时间内包数最多的IP，或者从一堆消息中找出包数最多的IP，可以使用以下命令:

截止到1，2，3，4-d & # 39；.':打印出每行的前四列。作为分隔符。也就是IP地址。

Sort

uniq -c:排序和计数

Sort -nr:根据数值反向排序。

此示例重点介绍标准纯文本协议，过滤与用户名和密码相关的消息:

最后一个例子是捕获DHCP服务的请求和响应消息。67是DHCP端口，68是客户端端口。

本文主要介绍tcpdump的基本语法和用法，并通过一些例子展示其强大的过滤功能。将tcpdump与wireshark结合起来，可以发挥更强大的作用。本文还展示了如何优雅流畅地结合tcpdump和wireshark。如果想了解更多细节，可以查看tcpdump的man手册。

如何重定向DNS避免DNS污染？

客户端方面可以使用多个DNS 并且安装一些防止DNS欺骗的工具比如网盾还有就作HOST影像使用第三方安全的浏览器服务器方面要经常检测服务器漏洞设置好权限安装好杀毒软件和防火墙

智联招聘网页怎么打不开？

1、你只有特定的网站打不开，肯定不是网络的问题，如果是网络问题的话就全部打不开了，可能是以下原因：你的HOSTS里面有定向跳转/劫持，因为windows会首先从这个文件里面进行读取，如果里面存在域名和IP的对应，那么就不会再发起DNS请求，这个域名和IP的对应不正确的话就无法打开网站了（最典型的是对应到0.0.0.0，这样HTTP的握手包就直接丢弃了），这个你可以清空HOSTS。

2、对方的网站正在维护，你可以过一段时间再访问，IE组件异常，可以重置一下浏览器，如果以上都无法解决的话，就下载一个腾讯电脑管家，使用电脑，能上QQ不能上网页这个方案来修复一下，它的方案是专业方案，涵盖了各种导致这种异常的原因和修复方式，没有特别的情况都可以修复的。

3、当IE浏览器本身出现故障时，自然会影响到浏览了；或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复（建议到安全模式下修复），或者重新IE（如重装IE遇到无法重新的问题，可参考：附一解决无法重装IE）。