如何抓取定向流量host(如何获取定向流量)-编程知识网

Tcpdump,看这个就够了

tcpdump是一个捕获网络数据包的强大工具。它使用libpcap库来捕获网络数据包。这个库在几乎所有的Linux/Unix中都可用。熟悉tcpdump的使用可以帮助您分析和调试网络数据。本文将通过具体例子介绍如何在不同场景下使用。无论你是系统管理员,程序员,云原生工程师,还是yaml工程师,掌握tcpdump的使用,都能让你如虎添翼,升职加薪。

tcpdump的常见参数如下:

引入几个常用参数:

-一种用ASCII字符串打印消息所有数据的手段,可以使阅读更容易,便于用grep等工具解析输出内容。-X表示使用十六进制和ASCII字符串打印消息的所有数据。这两个参数不能一起使用。例如:

您可以根据协议名称来过滤特定协议的流量。以udp为例,可以添加参数UDP或者协议17。这两个命令具有相同的含义。

同样,tcp与协议6的含义相同。

使用过滤器主机捕获特定目的地和源IP地址的流量。

您还可以使用src或dst仅获取源或目标:

使用tcpdump拦截数据消息时,会默认打印到屏幕的默认输出。你会看到很多数据按照顺序和格式一行行闪过,来不及看清一切。但是,tcpdump提供了将截取的数据保存到文件中的功能,以便其他图形工具(如wireshark、Snort)稍后进行分析。

-w选项用于将数据消息输出到文件:

如果您想要将捕获的数据传输到其他工具进行实时处理,您需要使用-l选项来打开行缓冲模式(或者使用-c选项来打开包缓冲模式)。使用-l选项将输出立即发送给其他命令,其他命令将立即响应。

过滤器的真正威力在于你可以随意组合,连接它们的逻辑常用AND /AND/&&,or /OR/

and NOT /not/!。

关于tcpdump的滤镜,这里有必要单独介绍一下。

机器上有异常多的网络消息。很多时候,我们只涉及与特定问题相关的数据报(如访问网站的数据,或icmp超时消息等)。),而且这些数据只占一小部分。要截取所有的数据,并从中找到想要的信息,无疑是一件费时费力的事情。Tcpdump提供了一种灵活的语法,可以准确地拦截感兴趣的数据报,并简化分析的工作量。选择这些数据包的语句称为过滤器!

主机过滤器用于过滤某台主机的数据报文。例如:

此命令捕获发送到主机1.2.3.4或1.2.3.4或从主机接收的所有流量。如果您只想从该主机获取流量,可以使用以下命令:

网络过滤器用于过滤某个网段的数据,采用CIDR[2]模式。可以使用四元组(x.x.x.x)、三元组(x.x.x)、二元组(x.x)和一元组(x)。四元组是指定一个主机,三元组表示子网掩码255.255.255.0,二元组表示子网掩码255.255.0.0,一元组表示子网掩码255.0.0。举个例子,

获取发往或来自网段192.168.1.x的所有流量:

获取发送到或来自网段10.x.x.x的所有流量:

与主机过滤器一样,也可以在此处指定源和目标:

您也可以使用CIDR格式:

Proto filter用于过滤某个协议的数据。关键字是proto,可以省略。Proto后面可以跟协议号或者协议名,支持ICMP,IGMP,IGRP,PIM,AH,ESP,CARP,VRRP,UDP,tcp。因为通常的协议名称是一个保留字段,所以在与proto指令一起使用时,必须根据shell类型用一个或两个反斜杠(/)对其进行转义。Linux中的shell需要使用两个反斜杠进行转义,而MacOS只需要一个。

例如,抓取icmp协议的消息:

端口过滤器用于过滤通过某个端口的数据报文,关键字是Port。例如:

截取数据只是第一步,第二步是了解这些数据。下面解释tcpdump命令输出的每一部分的意义。

最基本和最重要的信息是数据报的源地址/端口和目的地址/端口。在上述示例的第一个数据报中,源地址ip是192.168.1.106,源端口是56166,目的地址是124.192.132.54,目的端口是80。& gt表示符号数据的方向。

另外,上面三条数据是tcp协议的三次握手过程,第一条是SYN消息,可以通过Flags [S]看到。以下是常见TCP消息的标志:

下面是一些具体的例子。每个示例都可以使用多种方法来获得相同的输出。您使用的方法取决于所需的输出和网络流量。在故障排除时,我们通常只想得到我们想要的,这可以通过过滤器和ASCII输出结合管道和grep、cut、awk等工具来实现。

比如抓取HTTP请求和响应包时,可以通过删除标志SYN/ACK/FIN来过滤噪音,但是有更简单的方法通过管道传递给grep。在实现我们的目标时,我们应该选择最简单和最有效的方法。让我们看一个例子。

从HTTP请求头中提取HTTP用户代理:

Egrep可以同时提取用户代理和主机名(或其他头文件):

抓取HTTP获取流量:

您还可以获取HTTP POST请求流量:

注意:这种方法不能保证捕获到HTTP POST的有效数据流量,因为一个POST请求会被分割成多个TCP包。

上面两个表达式中的十六进制将匹配GET和POST请求的ASCII字符串。比如TCP[((TCP[12:1]& 0xf 0)>:& gt;2):4]首先我们会确定我们感兴趣的字节的位置[3](在TCP头之后),然后选择我们要匹配的4个字节。

提取HTTP请求的主机名和路径:

从HTTP POST请求中提取密码和主机名:

提取Set-Cookie(服务器的Cookie)和Cookie(客户端的Cookie):

要查看网络上的所有互联网控制消息协议:

排除回应和回复数据包,使捕获的数据包不包括标准ping数据包:

您可以提取电子邮件的正文和其他数据。例如,要仅提取电子邮件的收件人:

抓取NTP服务的查询和响应

通过SNMP服务,渗透测试人员可以获得大量的设备和系统信息。在这些信息中,系统信息是最关键的,比如操作系统版本、内核版本等。您可以使用SNMP快速扫描程序onesixtyone查看目标系统的信息:

当大量数据被捕获并写入一个文件时,它可以被自动切割成多个相同大小的文件。例如,以下命令意味着创建一个新的文件捕获-(小时)。pcap每3600秒一次,每个文件的大小不超过200*1000000字节:

这些文件命名为capture-{1-24}。pcap,24小时后,以前的文件将被覆盖。

过滤器ip6可以捕获IPv6流量,并且可以指定TCP等协议:

从先前保存的文件中读取IPv6 UDP数据消息:

在下面的示例中,您会发现捕获的消息的源和目的地保持不变,标记位[S]和[R]匹配一系列看似随机的目的地端口。发送SYN后,如果目标主机的端口没有打开,将返回RESET。这是Nmap和其他端口扫描工具的标准做法。

在本例中,nmapsse测试脚本HTTP-enum.nse用于检测HTTP服务的合法URL。

在执行脚本测试的主机上:

在目标主机上:

出站DNS请求和对Google公共DNS的A记录响应可以通过tcpdump捕获:

抓取端口80的HTTP有效数据包,排除TCP连接建立过程(SYN/FIN/ACK)的数据包:

一般来说,Wireshark(或tshark)比tcpdump更容易分析应用层协议。通常的做法是使用tcpdump在远程服务器上捕获数据和写入文件,然后将文件复制到本地工作站,供Wireshark进行分析。

还有一种更高效的方法,可以通过ssh连接将抓取的数据实时发送到Wireshark进行分析。以MacOS系统为例,它可以通过brew cask install wireshark进行安装,然后通过以下命令进行分析:

例如,如果您想要分析DNS协议,您可以使用以下命令:

捕获的数据:

要找出一段时间内包数最多的IP,或者从一堆消息中找出包数最多的IP,可以使用以下命令:

截止到1,2,3,4-d & # 39;.':打印出每行的前四列。作为分隔符。也就是IP地址。

Sort

uniq -c:排序和计数

Sort -nr:根据数值反向排序。

此示例重点介绍标准纯文本协议,过滤与用户名和密码相关的消息:

最后一个例子是捕获DHCP服务的请求和响应消息。67是DHCP端口,68是客户端端口。

本文主要介绍tcpdump的基本语法和用法,并通过一些例子展示其强大的过滤功能。将tcpdump与wireshark结合起来,可以发挥更强大的作用。本文还展示了如何优雅流畅地结合tcpdump和wireshark。如果想了解更多细节,可以查看tcpdump的man手册。

如何重定向DNS避免DNS污染?

客户端方面可以使用多个DNS 并且安装一些防止DNS欺骗的工具 比如网盾 还有就作HOST影像 使用第三方安全的浏览器服务器方面要经常检测服务器漏洞 设置好权限 安装好杀毒软件和防火墙

智联招聘网页怎么打不开?

1、你只有特定的网站打不开,肯定不是网络的问题,如果是网络问题的话就全部打不开了,可能是以下原因: 你的HOSTS里面有定向跳转/劫持,因为windows会首先从这个文件里面进行读取,如果里面存在域名和IP的对应,那么就不会再发起DNS请求,这个域名和IP的对应不正确的话就无法打开网站了(最典型的是对应到0.0.0.0,这样HTTP的握手包就直接丢弃了),这个你可以清空HOSTS。

2、对方的网站正在维护,你可以过一段时间再访问,IE组件异常,可以重置一下浏览器,如果以上都无法解决的话,就下载一个腾讯电脑管家,使用电脑,能上QQ不能上网页这个方案来修复一下,它的方案是专业方案,涵盖了各种导致这种异常的原因和修复方式,没有特别的情况都可以修复的。

3、当IE浏览器本身出现故障时,自然会影响到浏览了;或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复(建议到安全模式下修复),或者重新IE(如重装IE遇到无法重新的问题,可参考:附一解决无法重装IE)。

绝地求生经常网络检测是怎么回事?

这个是网络不稳定所引起的。

1. 首先确定自己的网络是否通畅。

2. 《绝地求生》的服务器本来就不稳定,所以需要游戏加速器来增加网络的稳定性。

3. 进行host重新编辑,来定向引导网络以减少延迟可以解决网络延迟检测的情况。