linux網口抓包

A. linux 系統掃描nmap與tcpmp抓包

NMAP掃描
一款強大的網路探測利器工具
支持多種探測技術

--ping掃描
--多埠掃描
-- TCP/IP指紋校驗

為什麼需要掃描?
以獲取一些公開/非公開信息為目的
--檢測潛在風險
--查找可攻擊目標
--收集設備/主機/系統/軟體信息
--發現可利用的安全漏洞

基本用法
nmap [掃描類型] [選項] <掃描目標...>
常用的掃描類型

常用選項
-sS TCP SYN掃描(半開) 該方式發送SYN到目標埠，如果收到SYN/ACK回復，那麼判斷埠是開放的；如果收到RST包，說明該埠是關閉的。簡單理解就是3次握手只完成一半就可以判斷埠是否打開,提高掃描速度
-sT TCP 連接掃描(全開)
-sU UDP掃描
-sP ICMP掃描
-sV 探測打開的埠對應的服務版本信息
-A 目標系統全面分析 (可能會比較慢)
-p 掃描指定埠

1 ) 檢查目標主機是否能ping通

2）檢查目標主機所開啟的TCP服務

3 ) 檢查192.168.4.0/24網段內哪些主機開啟了FTP、SSH服務

4）檢查目標主機所開啟的UDP服務

5 ) 探測打開的埠對應的服務版本信息

6）全面分析目標主機192.168.4.100的操作系統信息

tcpmp
命令行抓取數據包工具
基本用法
tcpmp [選項] [過濾條件]

常見監控選項
-i，指定監控的網路介面（默認監聽第一個網卡）
-A，轉換為 ACSII 碼，以方便閱讀
-w，將數據包信息保存到指定文件
-r，從指定文件讀取數據包信息

常用的過濾條件：
類型：host、net、port、portrange
方向：src、dst
協議：tcp、udp、ip、wlan、arp、……
多個條件組合：and、or、not

案例1

案例2:使用tcpmp分析FTP訪問中的明文交換信息
1 ) 安裝部署vsftpd服務

2 ) 並啟動tcpmp等待抓包
執行tcpmp命令行，添加適當的過濾條件，只抓取訪問主機192.168.4.100的21埠的數據通信 ，並轉換為ASCII碼格式的易讀文本。

3 ) case100作為客戶端訪問case254服務端

4 ) 查看tcpmp抓包

5 ) 再次使用tcpmp抓包，使用-w選項可以將抓取的數據包另存為文件，方便後期慢慢分析。

6 ) tcpmp命令的-r選項，可以去讀之前抓取的歷史數據文件

B. Linux下如何抓指定IP的包

用tcpm命令可以抓指定IP的包，具體命令為：

tcpmp tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

參數解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型。

-i eth1 : 只抓經過介面eth1的包

-t : 不顯示時間戳

-s 0 : 抓取數據包時默認抓取長度為68位元組。加上-S 0 後可以抓到完整的數據包

-c 100 : 只抓取100個數據包

dst port 22 : 抓取目標埠是22的數據包

src net 192.168.1.0/24 : 數據包的源網路地址為192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

(2)linux網口抓包擴展閱讀

tcpmp語法格式：

tcpmp [-adeflnNOpqStvx][-c<數據包數目>][-dd][-ddd][-F<表達文件>][-i<網路界面>][-r<數據包文件>][-s<數據包大小>][-tt][-T<數據包類型>][-vv][-w<數據包文件>][輸出數據欄位]

tcpmp主要參數說明：

1、-a 嘗試將網路和廣播地址轉換成名稱。

2、-c<數據包數目> 收到指定的數據包數目後，就停止進行傾倒操作。

3、-d 把編譯過的數據包編碼轉換成可閱讀的格式，並傾倒到標准輸出。

4、-dd 把編譯過的數據包編碼轉換成C語言的格式，並傾倒到標准輸出。

5、-ddd 把編譯過的數據包編碼轉換成十進制數字的格式，並傾倒到標准輸出。

6、-e 在每列傾倒資料上顯示連接層級的文件頭。

7、-f 用數字顯示網際網路地址。

8、-F<表達文件> 指定內含表達方式的文件。

9、-i<網路界面> 使用指定的網路截面送出數據包。

10、-l 使用標准輸出列的緩沖區。

11、-n 不把主機的網路地址轉換成名字。

12、-N 不列出域名。

C. linux 上fiddler可以抓包嗎

有linux版本的fiddler，可以使用進行抓包。如果沒有，也可以使用同網內的其它windows計算機設置網路代理，進行linux的抓包。比如同一wifi下的windows系統上安裝的fiddler，可以抓手機連接WIFI後的網路數據包，當然需要在手機WIFI上設置代理伺服器為該windows所在的計算機IP地址及代理埠，手機android系統就是linux底層操作系統。

D. linux怎麼開啟抓包tcp 53

Aircrack-ng系列工具也有Windows 平台版本，但是本人的小黑的始終不能在win下抓包，所以只能 棄 Windows 從Linux 了，另外 Windows 下掃描到的 AP 也比 Linux 下少了很多。其實 Windows 並不完整的支持 TCP/IP 協議族，有些協議Windows 直接丟棄不用。網路本來從一開始就是 Unix 的天下，Windows 只是在後來加入了網路的功能。 Aircrack-ng工具包有很多工具，我用到的工具主要有以下幾個： airmon-ng 處理網卡工作模式 airomp-ng 抓包 aircrack-ng 破解 aireplay-ng 發包，干擾 另外還要用到以下 linux 命令: ifconfig 查看修改網卡狀態和參數 macchanger 偽造 MAC iwconfig 主要針對無線網卡的工具 (同 ifconfig) iwlist 獲取無線網路的更詳細信息 另外還有其他的 linux 基本命令，我就不提示了。 具體破解步驟： 1. 修改無線網卡狀態：先 dow 2. 偽造無線網卡的 MAC 地址：安全起見，減少被抓到的可能 3. 修改網卡工作模式：進入Monitor狀態，會產生一個虛擬的網卡 4. 修改無線網卡狀態： up 5. 查看網路狀態，記錄下 AP 的 MAC 和本機的 MAC ，確定攻擊目標 6. 監聽抓包：生成 .cap 或 .ivs 7. 干擾無線網路：截取無線數據包，發送垃圾數據包，用來獲得更多的有效數據包 8. 破解 .cap 或 .ivs ，獲得 WEP 密碼，完成破解 Crack Mode一共有5種請酌情使用還有網卡不一定是ath1也有可能是wifi0，ath0等等 ifconfig -a ifconfig -a ath0 up airmon-ng start wifi0 6 airomp-ng --ivs -w 目標路由器IVS文件 -c 6 ath1 airomp-ng ath1 aireplay-ng -1 0 -e 目標路由器SSID -a 目標MAC -h 本機MAC ath1 ----------- -2 Crack Mode----------- aireplay-ng -2 -p 0841 -c ffffffffffff -b 目標MAC -h 本機MAC ath1 ----------- -3 Crack Mode----------- aireplay-ng -3 -b 目標MAC -h 本機MAC ath1 ----------- -4 Crack Mode----------- aireplay-ng -4 -b 目標MAC -h 本機MAC ath1 packetforge-ng -0 -a 目標MAC -h 本機MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp aireplay-ng -2 -r MyArp -x 256 ath1 ----------- -5 Crack Mode----------- aireplay-ng -5 -b 目標MAC -h 本機MAC ath1 packetforge-ng -0 -a 目標MAC -h 本機MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp aireplay-ng -2 -r MyArp -x 256 ath1 -----------Crack Key----------- aircrack-ng -n 64 -b 目標MAC 目標路由器IVS文件-01.ivs —————————————————————————————— 下面詳細介紹一下各個命令的基本用法（參照命令的英文說明） 1. ifconfig 用來配置網卡，我們這里主要用來 禁用和啟用 網卡： ifconfig ath0 down ifconfig ath0 up 禁用一下網卡的目的是為了下一步修改 MAC 。 2.macchanger 用來改變網卡的 MAC 地址，具體用法如下： usage: macchanger [options] device -h 顯示幫助 -V 顯示版本 -s 顯示當前MAC -e 不改變mac,使用硬體廠商寫入的MAC -a 自動生成一個同類型的MAC，同廠商的 -A 自動生成一個不同類型的MAC，不同廠商的 -r 生成任意MAC -l 顯示已知廠商的網卡MAC地址分配，這個很有用，可以根據MAC查出來是哪個廠商生產的產品 -m 設置一個自定義的MAC 如: macchanger --mac=00:34:00:00:00:00 ath0 。 3.airmon-ng 啟動無線網卡進入 Monitor 模式， useage: airmon-ng <startstopcheck> <interface> [channel] <startstopcheck>啟動，停止，檢測 <interface>指定無線網卡 [channel] 監聽頻道，現代大多數無線路由默認是 6，隨便掃描一下都是這個頻道，網管們應該換換了 4.iwconfig 專用的無線網卡配置工具，用來配置特殊的網路信息，不帶參數時顯示可用網路。 useage：iwconfig interface [options] [essid{NNONOFF}] 指定essid號 開啟關閉 [nwid{NNonoff}] 指定網路id號 開啟關閉 [mode {managedad-hoc....}] 指定無線網路工作模式/類型 [freq N.NNNN[KMG]] 指定工作頻率 [channel N] 指定頻道 [ap {Noffauto}] 指定AP號 關閉/自動 [sens N] sens 號 [nick N] nick 號 [rate {Nautofixed}] 速率控制 [rts {Nautofixedoff}] rts控制，如果不知道什麼是RTS，那就回去好好去學網路，不用往下看了 [frag {Nautofixedoff}] 碎片控制 [enc {NNNN-NNNNoff}] 范圍 [power {period Ntimeout N}] 電源 頻率/超時 [retry {limit Nlifetime N}] 重試 限次/超時 [txpower N{mwdBm}] 功率 毫瓦/分貝 [commit] 處理 5.iwlist 主要用來顯示無線網卡的一些附加信息,同上 useage: iwlist [interface] options scanning 掃描 frequency 頻率 channel 頻道 bitrate 速率 rate 速率 encryption 加密 key 密鑰 power 電源 txpower 功率 ap ap accespoints ap peers 直連 event 事件 6.airomp-ng 抓包工具,我最喜歡用的,詳細用法如下: usage: airomp-ng <options> <interface>[,<interface>,...] Options: --ivs :僅將抓取信息保存為 .ivs --gpsd :使用 GPSd --write <prefix> :保存為指定日文件名,我一般用這個,尤其是多個網路時,指定了也好區分 -w :同 --write --beacons :保存所有的 beacons ,默認情況況下是丟棄那些無用的數據包的 --update <secs> :顯示更新延遲,沒有用過 --showack :顯示ack/cts/rts狀態,還是那句,不知道rts就不用看了 -h :隱藏已知的,配合上面的選項使用 -f <msecs> :跳頻時間 --berlin <secs> :無數據包接收時延遲顯示的時間,這句不太好翻譯,意思是當那個信號發出設備沒有發出數據包多少時間之後,就停止對它的監視.默認120秒.建議學好英文去讀原文,翻譯的都會有出入,這是我的理解.(mhy_mhy注) -r <file> :從指定的文件讀取數據包.我也想有人給我抓好包放哪裡,呵呵 Filter options: --encrypt <suite> : 使用密碼序列過濾 AP --netmask <netmask> : 使用掩碼過濾 AP --bssid <bssid> : 使用 bssid 過濾 AP -a : 過濾無關的客戶端 默認情況下使用2.4Ghz,你也可以指定其他的頻率,通過以下命令操作: --channel <channels>:指定頻道 --band <abg> :制定帶寬 -C <frequencies> :指定頻率MHz --cswitch <method> : 設置頻道交換方式 0 : FIFO (default) 先進先出(默認) 1 : Round Robin 循環 2 : Hop on last 最後一跳 -s : 同上 --help : 顯示使用方法,翻譯到這里,感覺還是英文的貼切一點,建議讀原文 7.aireplay-ng

E. linux抓指令從哪個網卡發送

linux抓包命令是「tcpmp」
，可以抓取流動在網卡上的數據包，可以將網路中傳送的數據包的「頭」完全截獲下來提供分析；它支持針對網路層、協議、主機、網路或埠的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的信息。

F. linux網路驅動如何進行旁入抓包

1. 你抓不到包與掛載哪個hook點關系不大，但是NF_IP_PRE_ROUTING更合適些
   

2. 數據包可能在協議棧的第二層就丟棄了，要把網卡設置成混雜模式，tcpmp就會設置

3. 先用iptables試試吧，有開源的代碼可以參考，畢竟是成熟的東西
   

G. linux系統如何抓包

linux主機抓包使用tcpmp，可以加不同參數過濾源IP、埠，目的IP、埠，可以撰寫到指定文件中。抓包結果可以用ethereal，wireshark進行分析。

H. 如何在linux上抓包tcpflow

無論是在
Linux
系統下抄，還是在襲
WINDOWS
系統下，使用
tcpflow
或者
wireshark
抓取數據包，基本思路都是一樣的。即：根據你需要抓取的數據包，設定特定的過濾規則，以及在哪一個網路適配器上進行抓包。最後將抓取的數據包保存到一個文件中，供以後的分析使用。
展開全部

I. linux網路驅動如何進行旁入抓包

1. 你抓不到包與掛載哪個hook點關系不大，但是NF_IP_PRE_ROUTING更合適些
   

2. 數據包可能在協議棧的第二專層就丟棄了，要把屬網卡設置成混雜模式，tcpmp就會設置

3. 先用iptables試試吧，有開源的代碼可以參考，畢竟是成熟的東西