要更詳細的就看下面,但需要耐心。
sniffers(嗅探器)幾乎和internet有壹樣久的歷史了.Sniffer是壹種常用的收集有用數據方法,這些數據可以是用戶的帳號和密碼,可以是壹些商用機密數據等等。隨著Internet及電子商務的日益普及,Internet的安全也越來越受到重視。在Internet安全隱患中扮演重要角色之壹的Sniffer以受到越來越大的關註,所以今天我要向大家介紹壹下介紹Sniffer以及如何阻止sniffer。
大多數的黑客僅僅為了探測內部網上的主機並取得控制權,只有那些"雄心勃勃"的黑客,為了控制整個網絡才會安裝特洛伊木馬和後門程序,並清除記錄。他們經常使用的手法是安裝sniffer。
在內部網上,黑客要想迅速獲得大量的賬號(包括用戶名和密碼),最為有效的手段是使用 "sniffer" 程序。這種方法要求運行Sniffer 程序的主機和被監聽的主機必須在同壹個以太網段上,故而在外部主機上運行sniffer是沒有效果的。再者,必須以root的身份使用sniffer 程序,才能夠監聽到以太網段上的數據流。談到以太網sniffer,就必須談到以太網sniffing。
那麽什麽是以太網sniffer呢?
以太網sniffing是指對以太網設備上傳送的數據包進行偵聽,發現感興趣的包。如果發現符合條件的包,就把它存到壹個log文件中
去。通常設置的這些條件是包含字"username"或"password"的包。它的目的是將網絡層放到promiscuous模式,從而能幹些事情。
Promiscuous模式是指網絡上的所有設備都對總線上傳送的數據進行偵聽,並不僅僅是它們自己的數據。根據第二章中有關對以太網的工作原理的基本介紹,可以知道:壹個設備要向某壹目標發送數據時,它是對以太網進行廣播的。壹個連到以太網總線上的設備在任何時間裏都在接受數據。不過只是將屬於自己的數據傳給該計算機上的應用程序。
利用這壹點,可以將壹臺計算機的網絡連接設置為接受所有以太
網總線上的數據,從而實現sniffer。
sniffer通常運行在路由器,或有路由器功能的主機上。這樣就能對大量的數據進行監控。sniffer屬第二層次的攻擊。通常是攻擊者已經進入了目標系統,然後使用sniffer這種攻擊手段,以便得到更多的信息。
sniffer除了能得到口令或用戶名外,還能得到更多的其他信息,比如壹個其他重要的信息,在網上傳送的金融信息等等。sniffer幾乎能得到任何以太網上的傳送的數據包。黑客會使用各種方法,獲得系統的控制權並留下再次侵入的後門,以保證sniffer能夠執行。在Solaris 2.x平臺上,sniffer 程序通常被安裝在/usr/bin 或/dev目錄下。黑客還會巧妙的修改時間,使得sniffer程序看上去是和其它系統程序同時安裝的。
大多數以太網sniffer程序在後臺運行,將結果輸出到某個記錄文件中。黑客常常會修改ps程序,使得系統管理員很難發現運行的sniffer程序。
以太網sniffer程序將系統的網絡接口設定為混合模式。這樣,它就可以監聽到所有流經同壹以太網網段的數據包,不管它的接受者或發送者是不是運行sniffer的主機。 程序將用戶名、密碼和其它黑客感興趣的數據存入log文件。黑客會等待壹段時間 ----- 比如壹周後,再回到這裏下載記錄文件。
講了這麽多,那麽到底我們可以用什麽通俗的話來介紹sniffer呢?
計算機網絡與電話電路不同,計算機網絡是***享通訊通道的。***享意味著計算機能夠接收到發送給其它計算機的信息。捕獲在網絡中傳輸的數據信息就稱為sniffing(竊聽)。
以太網是現在應用最廣泛的計算機連網方式。以太網協議是在同壹回路向所有主機發送數據包信息。數據包頭包含有目標主機的正確地址。壹般情況下只有具有該地址的主機會接受這個數據包。如果壹臺主機能夠接收所有數據包,而不理會數據包頭內容,這種方式通常稱為"混雜" 模式。
由於在壹個普通的網絡環境中,帳號和口令信息以明文方式在以太網中傳輸, 壹旦入侵者獲得其中壹臺主機的root權限,並將其置於混雜模式以竊聽網絡數據,從而有可能入侵網絡中的所有計算機。
壹句話,sniffer就是壹個用來竊聽的黑客手段和工具。
二、sniffer的工作原理
通常在同壹個網段的所有網絡接口都有訪問在物理媒體上傳輸的所有數據的能力,而每個網絡接口都還應該有壹個硬件地址,該硬件地址不同於網絡中存在的其他網絡接口的硬件地址,同時,每個網絡至少還要壹個廣播地址。(代表所有的接口地址),在正常情況下,壹個合法的網絡接口應該只響應這樣的兩種數據幀:
1、幀的目標區域具有和本地網絡接口相匹配的硬件地址。
2、幀的目標區域具有"廣播地址"。
在接受到上面兩種情況的數據包時,nc通過cpu產生壹個硬件中斷,該中斷能引起操作系統註意,然後將幀中所包含的數據傳送給系統進壹步處理。
而sniffer就是壹種能將本地nc狀態設成(promiscuous)狀態的軟件,當nc處於這種"混雜"方式時,該nc具備"廣播地址",它對所有遭遇到的每壹個幀都產生壹個硬件中斷以便提醒操作系統處理流經該物理媒體上的每壹個報文包。(絕大多數的nc具備置成 promiscuous方式的能力)
可見,sniffer工作在網絡環境中的底層,它會攔截所有的正在網絡上傳送的數據,並且通過相應的軟件處理,可以實時分析這些數據的內容,進而分析所處的網絡狀態和整體布局。值得註意的是:sniffer是極其安靜的,它是壹種消極的安全攻擊。
通常sniffer所要關心的內容可以分成這樣幾類:
1、口令
我想這是絕大多數非法使用sniffer的理由,sniffer可以記錄到明文傳送的userid和passwd.就算妳在網絡傳送過程中使用了加密的數據,sniffer記錄的數據壹樣有可能使入侵者在家裏邊吃肉串邊想辦法算出妳的算法。
2、金融帳號
許多用戶很放心在網上使用自己的信用卡或現金帳號,然而sniffer可以很輕松截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和pin.
3、偷窺機密或敏感的信息數據
通過攔截數據包,入侵者可以很方便記錄別人之間敏感的信息傳送,或者幹脆攔截整個的email會話過程。
4、窺探低級的協議信息。
這是很可怕的事,我認為,通過對底層的信息協議記錄,比如記錄兩臺主機之間的網絡接口地址、遠程網絡接口ip地址、ip路由信息和tcp連接的字節順序號碼等。這些信息由非法入侵的人掌握後將對網絡安全構成極大的危害,通常有人用sniffer收集這些信息只有壹個原因:他正在進行壹次欺詐,(通常的ip地址欺詐就要求妳準確插入tcp連接的字節順序號,這將在以後整理的文章中指出)如果某人很關心這個問題,那麽sniffer對他來說只是前奏,今後的問題要大得多。(對於高級的hacker而言,我想這是使用sniffer的唯壹理由吧)
二.sniffer的工作環境
snifffer就是能夠捕獲網絡報文的設備。嗅探器的正當用處在於分析網絡的流量,以便找出所關心的網絡中潛在的問題。例如,假設網絡的某壹段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麽地方,此時就可以用嗅探器來作出精確的問題判斷。
嗅探器在功能和設計方面有很多不同。有些只能分析壹種協議,而另壹些可能能夠分析幾百種協議。壹般情況下,大多數的嗅探器至少能夠分析下面的協議:
1.標準以太網
2.TCP/IP
3.IPX
4.DECNet
嗅探器通常是軟硬件的結合。專用的嗅探器價格非常昂貴。另壹方面,免費的嗅探器雖然不需要花什麽錢,但得不到什麽支持。
嗅探器與壹般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值,而嗅探器則捕獲真實的網絡報文。嗅探器通過將其置身於網絡接口來達到這個目的——例如將以太網卡設置成雜收模式。(為了理解雜收模式是怎麽回事,先解釋局域網是怎麽工作的)。
數據在網絡上是以很小的稱為幀(Ftame)的單位傳輸的幀由好幾部分組成,不同的部分執行不同的功能。(例如,以太網的前12個字節存放的是源和目的的地址,這些位告訴網絡:數據的來源和去處。以太網幀的其他部分存放實際的用戶數據、TCP/IP的報文頭或IPX報文頭等等)。
幀通過特定的稱為網絡驅動程序的軟件進行成型,然後通過網卡發送到網線上。通過網線到達它們的目的機器,在目的機器的壹端執行相反的過程。接收端機器的以太網卡捕獲到這些幀,並告訴操作系統幀的到達,然後對其進行存儲。就是在這個傳輸和接收的過程中,嗅探器會造成安全方面的問題。
每壹個在LAN上的工作站都有其硬件地址。這些地址唯壹地表示著網絡上的機器(這壹點於Internet地址系統比較相似)。當用戶發送壹個報文時,這些報文就會發送到LAN上所有可用的機器。
在壹般情況下,網絡上所有的機器都可以“聽”到通過的流量,但對不屬於自己的報文則不予響應(換句話說,工作站A不會捕獲屬於工作站B的數據,而是簡單的忽略這些數據)。
如果某在工作站的網絡接口處於雜收模式,那麽它就可以捕獲網絡上所有的報文和幀,如果壹個工作站被配置成這樣的方式,它(包括其軟件)就是壹個嗅探器。
嗅探器可能造成的危害:
1.嗅探器能夠捕獲口令
2.能夠捕獲專用的或者機密的信息
3.可以用來危害網絡鄰居的安全,或者用來獲取更高級別的訪問權限
事實上,如果妳在網絡上存在非授權的嗅探器就以為著妳的系統已經暴露在別人面前了。(大家可以試試天行2的嗅探功能)
壹般我們只嗅探每個報文的前200到300個字節。用戶名和口令都包含在這壹部分中,這是我們關心的真正部分。工人,也可以嗅探給定接口上的所有報文,如果有足夠的空間進行存儲,有足夠的那裏進行處理的話,將會發現另壹些非常有趣的東西……
簡單的放置壹個嗅探器賓將其放到隨便什麽地方將不會起到什麽作用。將嗅探器放置於被攻擊機器或網絡附近,這樣將捕獲到很多口令,還有壹個比較好的方法就是放在網關上。如果這樣的話就能捕獲網絡和其他網絡進行身份鑒別的過程。這樣的方式將成倍地增加我們能夠攻擊的範圍。
三.誰會使用sniffers
可能誰都回知道誰會使用sniffer,但是並不是每個使用它的人都是網絡高手,因為現在有很多的sniffer都成了傻瓜似的了,前段時間用的最多的不外乎oicq sniffer。我想那些喜歡查好友ip的朋友都應該記得它吧。呵呵,我都使用過它,現在當然不用了啊!
當然系統管理員使用sniffer來分析網絡信息交通並且找出網絡上何處發生問題。壹個安全管理員可以同時用多種sniffer, 將它們放置在網絡的各處,形成壹個入侵警報系統。對於系統管理員來說sniffer是壹個非常好的工具,但是它同樣是壹個經常被黑客使用的工具.駭客安裝sniffer以獲得用戶名和賬號,信用卡號碼,個人信息,和其他的信息可以導致對妳或是妳的公司的極大危害如果向壞的方面發展。當它們得到這些信息後,駭客將使用密碼來進攻其他的internet 站點甚至倒賣信用卡號碼。
三.sniffer是如何在網絡上實施的
談這個問題之前還應該先說壹下Ethernet的通訊。通常在同壹個網段的所有網絡接口都有訪問在媒體上傳輸的所有數據的能力,而每個網絡接口都還應該有壹個硬件地址,該硬件地址不同於網絡中存在的其它網絡接口的硬件地址,同時,每個網絡至少還要壹個廣播地址。在正常情況下,壹個合法的網絡接口應該只響應這樣的兩種數據幀:
1?幀的目標區域具有和本地網絡接口相匹配的硬件地址。
2?幀的目標區域具有“廣播地址”。
在接受到上面兩種情況的數據包時,網卡通過cpu產生壹個硬件中斷。該中斷能引起操作系統註意,然後將幀中所包含的數據傳送給系統進壹步處理。而sniffer就是壹種能將本地網卡狀態設成雜亂模式(promiscuous Mode)的軟件。當網卡處於雜亂模式時,該網卡具備“廣播地址”,它對所有遇到的每壹個幀都產生壹個硬件中斷以提醒操作系統處理每壹個報文包。(絕大多數的網卡具備設置成雜亂模式的能力。
可見,sniffer工作在網絡環境中的底層,它會攔截所有的正在網絡上傳送的數據。通過相應的軟件處理,可以實時分析這些數據的內容,進而分析所處的網絡狀態和整體布局。值得註意的是:sniffer是極其安靜的,它是壹種消極的安全攻擊。
四.哪裏可以得到sniffer
我們講的sniffer,主要是在unix系統下運用的,至於那些oicq sniffer就不在我們討論的範圍。
Sniffer是黑客們最常用的入侵手段之壹。妳可以在經過允許的網絡中運行sniffer,了解它是如何有效地危及本地機器安全。
Sniffer可以是硬件,也可以是軟件。現在品種最多,應用最廣的是軟件Sniffer,絕大多數黑客們用的也是軟件Sniffer。
以下是壹些也被廣泛用於調試網絡故障的sniffer工具:
(壹).商用sniffer:
1. Network General.
Network General開發了多種產品。最重要的是Expert Sniffer,它不僅僅可以sniff,還能夠通過高性能的專門系統發送/接收數據包,幫助診斷故障。還有壹個增強產品"Distrbuted Sniffer System"可以將UNIX工作站作為sniffer控制臺,而將sniffer agents(代理)分布到遠程主機上。
2. Microsoft's Net Monitor
對於某些商業站點,可能同時需要運行多種協議--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。這時很難找到壹種sniffer幫助解決網絡問題,因為許多sniffer往往將某些正確的協議數據包當成了錯誤數據包。Microsoft的Net Monitor(以前叫Bloodhound)可以解決這個難題。它能夠正確區分諸如Netware控制數據包、NT NetBios名字服務廣播等獨特的數據包。(etherfind只會將這些數據包標識為類型0000的廣播數據包。)這個工具運行在MS Windows 平臺上。它甚至能夠按MAC地址(或主機名)進行網絡統計和會話信息監視。只需簡單地單擊某個會話即可獲得tcpdump標準的輸出。過濾器設置也是最為簡單的,只要在壹個對話框中單擊需要監視的主機即可。
(二).免費軟件sniffer
1. Sniffit由Lawrence Berkeley 實驗室開發,運行於Solaris、SGI和Linux等平臺。可以選擇源、目標地址或地址集合,還可以選擇監聽的端口、協議和網絡接口等。這個SNIFFER默認狀態下只接受最先的400個字節的信息包,這對於壹次登陸會話進程剛剛好。
2. SNORT:這個SNIFFER有很多選項供妳使用並可移植性強,可以記錄壹些連接信息,用來跟蹤壹些網絡活動。
3. TCPDUMP:這個SNIFFER很有名,linux,FREEBSD還搭帶在系統上,是壹個被很多UNIX高手認為是壹個專業的網絡管理工具,記得以前TsutomuShimomura(應該叫下村侵吧)就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統的記錄,後來就配合FBI抓住了KEVINMITNICK,後來他寫了壹文:使用這些LOG記錄描述了那次的攻擊,HowMitnickhackedTsutomuShimomurawithanIPsequenceattack
( /~lspitz/snoop.html
(四).Linux下的sniffer工具
Linux下的sniffer工具,我推薦Tcpdump。
[1].tcpdump的安裝
在linux下tcpdump的安裝十分簡單,壹般由兩種安裝方式。壹種是以rpm包的形式來進行安裝。另外壹種是以源程序的形式安裝。
1. rpm包的形式安裝
這種形式的安裝是最簡單的安裝方法,rpm包是將軟件編譯後打包成二進制的格式,通過rpm命令可以直接安裝,不需要修改任何東西。以超級用戶登錄,使用命令如下:
#rpm -ivh tcpdump-3_4a5.rpm
這樣tcpdump就順利地安裝到妳的linux系統中。怎麽樣,很簡單吧。
2. 源程序的安裝
既然rpm包的安裝很簡單,為什麽還要采用比較復雜的源程序安裝呢?其實,linux壹個最大的誘人之處就是在她上面有很多軟件是提供源程序的,人們可以修改源程序來滿足自己的特殊的需要。所以我特別建議朋友們都采取這種源程序的安裝方法。
· 第壹步 取得源程序 在源程序的安裝方式中,我們首先要取得tcpdump的源程序分發包,這種分發包有兩種 形式,壹種是tar壓縮包(tcpdump-3_4a5.tar.Z),另壹種是rpm的分發包(tcpdump-3_4a5.src.rpm)。這兩種 形式的內容都是壹樣的,不同的僅僅是壓縮的方式.tar的壓縮包可以使用如下命令解開:
#tar xvfz tcpdump-3_4a5.tar.Z
rpm的包可以使用如下命令安裝:
#rpm -ivh tcpdump-3_4a5.src.rpm
這樣就把tcpdump的源代碼解壓到/usr/src/redhat/SOURCES目錄下.
· 第二步 做好編譯源程序前的準備活動
在編譯源程序之前,最好已經確定庫文件libpcap已經安裝完畢,這個庫文件是tcpdump軟件所需的庫文件。同樣,妳同時還要有壹個標準的c語言編譯器。在linux下標準的c 語言編譯器壹般是gcc。 在tcpdump的源程序目錄中。有壹個文件是Makefile.in,configure命令就是從Makefile.in文件中自動產生Makefile文件。在Makefile.in文件中,可以根據系統的配置來修改BINDEST 和 MANDEST 這兩個宏定義,缺省值是
BINDEST = @sbindir @
MANDEST = @mandir @
第壹個宏值表明安裝tcpdump的二進制文件的路徑名,第二個表明tcpdump的man 幫助頁的路徑名,妳可以修改它們來滿足系統的需求。
· 第三步 編譯源程序
使用源程序目錄中的configure腳本,它從系統中讀出各種所需的屬性。並且根據Makefile.in文件自動生成Makefile文件,以便編譯使用.make 命令則根據Makefile文件中的規則編譯tcpdump的源程序。使用make install命令安裝編譯好的tcpdump的二進制文件。
總結壹下就是:
# tar xvfz tcpdump-3_4a5.tar.Z
# vi Makefile.in
# . /configure
# make
# make install
[2].Tcpdump的使用
tcpdump采用命令行方式,它的命令格式為:
tcpdump [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ]
[ -i 網絡接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 類型 ] [ -w 文件名 ] [表達式 ]
1. tcpdump的選項介紹
-a 將網絡地址和廣播地址轉變成名字;
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出;
-dd 將匹配信息包的代碼以c語言程序段的格式給出;
-ddd 將匹配信息包的代碼以十進制的形式給出;
-e 在輸出行打印出數據鏈路層的頭部信息;
-f 將外部的Internet地址以數字的形式打印出來;
-l 使標準輸出變為緩沖行形式;
-n 不把網絡地址轉換成名字;
-t 在輸出的每壹行不打印時間戳;
-v 輸出壹個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息;
-vv 輸出詳細的報文信息;
-c 在收到指定的包的數目後,tcpdump就會停止;
-F 從指定的文件中讀取表達式,忽略其它的表達式;
-i 指定監聽的網絡接口;
-r 從指定的文件中讀取包(這些包壹般通過-w選項產生);
-w 直接將包寫入文件中,並不分析和打印出來;
-T 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc (遠程過程 調用)和snmp(簡單網絡管理協議;)
2. tcpdump的表達式介紹
表達式是壹個正則表達式,tcpdump利用它作為過濾報文的條件,如果壹個報文滿足表達式的條件,則這個報文將會被捕獲。如果沒有給出任何條件,則網絡上所有的信息包將會被截獲。
在表達式中壹般如下幾種類型的關鍵字,壹種是關於類型的關鍵字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是壹臺主機,net 202.0.0.0 指明 202.0.0.0是壹個網絡地址,port 23 指明端口號是23。如果沒有指定類型,缺省的類型是host.
第二種是確定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明了傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。如果沒有指明方向關鍵字,則缺省是src or dst關鍵字。
第三種是協議的關鍵字,主要包括fddi,ip ,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分布式光纖數據接口網絡)上的特定的網絡協議,實際上它是"ether"的別名,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議,則tcpdump將會監聽所有協議的信息包。
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,greater,還有三種邏輯運算,取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'or' ,'';
這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要,下面舉幾個例子來說明。
(1)想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包:
#tcpdump host 210.27.48.1
(2) 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中適用括號時,壹定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
(3) 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
3. tcpdump 的輸出結果介紹
下面我們介紹幾種典型的tcpdump命令的輸出信息
(1) 數據鏈路層頭信息
使用命令#tcpdump --e host ice
ice 是壹臺裝有linux的主機,她的MAC地址是0:90:27:58:AF:1A
H219是壹臺裝有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上壹條命令的輸出結果如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是顯示的時間, 847509是ID號,eth0 <表示從網絡接口eth0 接受該數據包,eth0 >表示從網絡接口設備發送數據包, 8:0:20:79:5b:46是主機H219的MAC地址,它表明是從源地址H219發來的數據包. 0:90:27:58:af:1a是主機ICE的MAC地址,表示該數據包的目的地址是ICE . ip 是表明該數據包是IP數據包,60 是數據包的長度, h219.33357 > ice.telnet 表明該數據包是從主機H219的33357端口發往主機ICE的TELNET(23)端口. ack 22535 表明對序列號是222535的包進行響應. win 8760表明發送窗口的大小是8760.
(2) ARP包的TCPDUMP輸出信息
使用命令#tcpdump arp
得到的輸出結果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是時間戳, 802509是ID號, eth0 >表明從主機發出該數據包, arp表明是ARP請求包, who-has route tell ice表明是主機ICE請求主機ROUTE的MAC地址。 0:90:27:58:af:1a是主機ICE的MAC地址。
(3) TCP包的輸出信息
用TCPDUMP捕獲的TCP包的壹般輸出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:表明從源地址到目的地址, flags是TCP包中的標誌信息,S 是SYN標誌, F (FIN), P (PUSH) , R (RST) "." (沒有標記); data-seqno是數據包中的數據的順序號, ack是下次期望的順序號, window是接收緩存的窗口大小, urgent表明數據包中是否有緊急指針. Options是選項.
(4) UDP包的輸出信息
用TCPDUMP捕獲的UDP包的壹般輸出信息是:
route.port1 > ice.port2: udp lenth
UDP十分簡單,上面的輸出行表明從主機ROUTE的port1端口發出的壹個UDP數據包到主機ICE的port2端口,類型是UDP, 包的長度是lenth上面,我就詳細介紹了TCPDUMP的安裝和使用,希望會對大家有所幫助。如果想要熟練運用TCPDUMP這個LINUX環境下的SNIFFER利器,還需要大家在實踐中總結經驗,充分發揮它的威力。
(五).windows平臺上的sniffer
我推薦netxray和sniffer pro軟件,想必大家都用過他們,不過我在這兒還要再簡單介紹壹下他們。
netxray的使用說明
1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 這是壹個ShareHub連接下的局域網
5.5.5.5 這是壹個8080端口上的
啟動Capture,?