linux网口抓包

A. linux 系统扫描nmap与tcpmp抓包

NMAP扫描
一款强大的网络探测利器工具
支持多种探测技术

--ping扫描
--多端口扫描
-- TCP/IP指纹校验

为什么需要扫描?
以获取一些公开/非公开信息为目的
--检测潜在风险
--查找可攻击目标
--收集设备/主机/系统/软件信息
--发现可利用的安全漏洞

基本用法
nmap [扫描类型] [选项] <扫描目标...>
常用的扫描类型

常用选项
-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度
-sT TCP 连接扫描(全开)
-sU UDP扫描
-sP ICMP扫描
-sV 探测打开的端口对应的服务版本信息
-A 目标系统全面分析 (可能会比较慢)
-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机192.168.4.100的操作系统信息

tcpmp
命令行抓取数据包工具
基本用法
tcpmp [选项] [过滤条件]

常见监控选项
-i，指定监控的网络接口（默认监听第一个网卡）
-A，转换为 ACSII 码，以方便阅读
-w，将数据包信息保存到指定文件
-r，从指定文件读取数据包信息

常用的过滤条件：
类型：host、net、port、portrange
方向：src、dst
协议：tcp、udp、ip、wlan、arp、……
多个条件组合：and、or、not

案例1

案例2:使用tcpmp分析FTP访问中的明文交换信息
1 ) 安装部署vsftpd服务

2 ) 并启动tcpmp等待抓包
执行tcpmp命令行，添加适当的过滤条件，只抓取访问主机192.168.4.100的21端口的数据通信 ，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpmp抓包

5 ) 再次使用tcpmp抓包，使用-w选项可以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpmp命令的-r选项，可以去读之前抓取的历史数据文件

B. Linux下如何抓指定IP的包

用tcpm命令可以抓指定IP的包，具体命令为：

tcpmp tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

参数解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

-i eth1 : 只抓经过接口eth1的包

-t : 不显示时间戳

-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

-c 100 : 只抓取100个数据包

dst port 22 : 抓取目标端口是22的数据包

src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

(2)linux网口抓包扩展阅读

tcpmp语法格式：

tcpmp [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

tcpmp主要参数说明：

1、-a 尝试将网络和广播地址转换成名称。

2、-c<数据包数目> 收到指定的数据包数目后，就停止进行倾倒操作。

3、-d 把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

4、-dd 把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。

5、-ddd 把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出。

6、-e 在每列倾倒资料上显示连接层级的文件头。

7、-f 用数字显示网际网络地址。

8、-F<表达文件> 指定内含表达方式的文件。

9、-i<网络界面> 使用指定的网络截面送出数据包。

10、-l 使用标准输出列的缓冲区。

11、-n 不把主机的网络地址转换成名字。

12、-N 不列出域名。

C. linux 上fiddler可以抓包吗

有linux版本的fiddler，可以使用进行抓包。如果没有，也可以使用同网内的其它windows计算机设置网络代理，进行linux的抓包。比如同一wifi下的windows系统上安装的fiddler，可以抓手机连接WIFI后的网络数据包，当然需要在手机WIFI上设置代理服务器为该windows所在的计算机IP地址及代理端口，手机android系统就是linux底层操作系统。

D. linux怎么开启抓包tcp 53

Aircrack-ng系列工具也有Windows 平台版本，但是本人的小黑的始终不能在win下抓包，所以只能 弃 Windows 从Linux 了，另外 Windows 下扫描到的 AP 也比 Linux 下少了很多。其实 Windows 并不完整的支持 TCP/IP 协议族，有些协议Windows 直接丢弃不用。网络本来从一开始就是 Unix 的天下，Windows 只是在后来加入了网络的功能。 Aircrack-ng工具包有很多工具，我用到的工具主要有以下几个： airmon-ng 处理网卡工作模式 airomp-ng 抓包 aircrack-ng 破解 aireplay-ng 发包，干扰 另外还要用到以下 linux 命令: ifconfig 查看修改网卡状态和参数 macchanger 伪造 MAC iwconfig 主要针对无线网卡的工具 (同 ifconfig) iwlist 获取无线网络的更详细信息 另外还有其他的 linux 基本命令，我就不提示了。 具体破解步骤： 1. 修改无线网卡状态：先 dow 2. 伪造无线网卡的 MAC 地址：安全起见，减少被抓到的可能 3. 修改网卡工作模式：进入Monitor状态，会产生一个虚拟的网卡 4. 修改无线网卡状态： up 5. 查看网络状态，记录下 AP 的 MAC 和本机的 MAC ，确定攻击目标 6. 监听抓包：生成 .cap 或 .ivs 7. 干扰无线网络：截取无线数据包，发送垃圾数据包，用来获得更多的有效数据包 8. 破解 .cap 或 .ivs ，获得 WEP 密码，完成破解 Crack Mode一共有5种请酌情使用还有网卡不一定是ath1也有可能是wifi0，ath0等等 ifconfig -a ifconfig -a ath0 up airmon-ng start wifi0 6 airomp-ng --ivs -w 目标路由器IVS文件 -c 6 ath1 airomp-ng ath1 aireplay-ng -1 0 -e 目标路由器SSID -a 目标MAC -h 本机MAC ath1 ----------- -2 Crack Mode----------- aireplay-ng -2 -p 0841 -c ffffffffffff -b 目标MAC -h 本机MAC ath1 ----------- -3 Crack Mode----------- aireplay-ng -3 -b 目标MAC -h 本机MAC ath1 ----------- -4 Crack Mode----------- aireplay-ng -4 -b 目标MAC -h 本机MAC ath1 packetforge-ng -0 -a 目标MAC -h 本机MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp aireplay-ng -2 -r MyArp -x 256 ath1 ----------- -5 Crack Mode----------- aireplay-ng -5 -b 目标MAC -h 本机MAC ath1 packetforge-ng -0 -a 目标MAC -h 本机MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp aireplay-ng -2 -r MyArp -x 256 ath1 -----------Crack Key----------- aircrack-ng -n 64 -b 目标MAC 目标路由器IVS文件-01.ivs —————————————————————————————— 下面详细介绍一下各个命令的基本用法（参照命令的英文说明） 1. ifconfig 用来配置网卡，我们这里主要用来 禁用和启用 网卡： ifconfig ath0 down ifconfig ath0 up 禁用一下网卡的目的是为了下一步修改 MAC 。 2.macchanger 用来改变网卡的 MAC 地址，具体用法如下： usage: macchanger [options] device -h 显示帮助 -V 显示版本 -s 显示当前MAC -e 不改变mac,使用硬件厂商写入的MAC -a 自动生成一个同类型的MAC，同厂商的 -A 自动生成一个不同类型的MAC，不同厂商的 -r 生成任意MAC -l 显示已知厂商的网卡MAC地址分配，这个很有用，可以根据MAC查出来是哪个厂商生产的产品 -m 设置一个自定义的MAC 如: macchanger --mac=00:34:00:00:00:00 ath0 。 3.airmon-ng 启动无线网卡进入 Monitor 模式， useage: airmon-ng <startstopcheck> <interface> [channel] <startstopcheck>启动，停止，检测 <interface>指定无线网卡 [channel] 监听频道，现代大多数无线路由默认是 6，随便扫描一下都是这个频道，网管们应该换换了 4.iwconfig 专用的无线网卡配置工具，用来配置特殊的网络信息，不带参数时显示可用网络。 useage：iwconfig interface [options] [essid{NNONOFF}] 指定essid号 开启关闭 [nwid{NNonoff}] 指定网络id号 开启关闭 [mode {managedad-hoc....}] 指定无线网络工作模式/类型 [freq N.NNNN[KMG]] 指定工作频率 [channel N] 指定频道 [ap {Noffauto}] 指定AP号 关闭/自动 [sens N] sens 号 [nick N] nick 号 [rate {Nautofixed}] 速率控制 [rts {Nautofixedoff}] rts控制，如果不知道什么是RTS，那就回去好好去学网络，不用往下看了 [frag {Nautofixedoff}] 碎片控制 [enc {NNNN-NNNNoff}] 范围 [power {period Ntimeout N}] 电源 频率/超时 [retry {limit Nlifetime N}] 重试 限次/超时 [txpower N{mwdBm}] 功率 毫瓦/分贝 [commit] 处理 5.iwlist 主要用来显示无线网卡的一些附加信息,同上 useage: iwlist [interface] options scanning 扫描 frequency 频率 channel 频道 bitrate 速率 rate 速率 encryption 加密 key 密钥 power 电源 txpower 功率 ap ap accespoints ap peers 直连 event 事件 6.airomp-ng 抓包工具,我最喜欢用的,详细用法如下: usage: airomp-ng <options> <interface>[,<interface>,...] Options: --ivs :仅将抓取信息保存为 .ivs --gpsd :使用 GPSd --write <prefix> :保存为指定日文件名,我一般用这个,尤其是多个网络时,指定了也好区分 -w :同 --write --beacons :保存所有的 beacons ,默认情况况下是丢弃那些无用的数据包的 --update <secs> :显示更新延迟,没有用过 --showack :显示ack/cts/rts状态,还是那句,不知道rts就不用看了 -h :隐藏已知的,配合上面的选项使用 -f <msecs> :跳频时间 --berlin <secs> :无数据包接收时延迟显示的时间,这句不太好翻译,意思是当那个信号发出设备没有发出数据包多少时间之后,就停止对它的监视.默认120秒.建议学好英文去读原文,翻译的都会有出入,这是我的理解.(mhy_mhy注) -r <file> :从指定的文件读取数据包.我也想有人给我抓好包放哪里,呵呵 Filter options: --encrypt <suite> : 使用密码序列过滤 AP --netmask <netmask> : 使用掩码过滤 AP --bssid <bssid> : 使用 bssid 过滤 AP -a : 过滤无关的客户端 默认情况下使用2.4Ghz,你也可以指定其他的频率,通过以下命令操作: --channel <channels>:指定频道 --band <abg> :制定带宽 -C <frequencies> :指定频率MHz --cswitch <method> : 设置频道交换方式 0 : FIFO (default) 先进先出(默认) 1 : Round Robin 循环 2 : Hop on last 最后一跳 -s : 同上 --help : 显示使用方法,翻译到这里,感觉还是英文的贴切一点,建议读原文 7.aireplay-ng

E. linux抓指令从哪个网卡发送

linux抓包命令是“tcpmp”
，可以抓取流动在网卡上的数据包，可以将网络中传送的数据包的“头”完全截获下来提供分析；它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

F. linux网络驱动如何进行旁入抓包

1. 你抓不到包与挂载哪个hook点关系不大，但是NF_IP_PRE_ROUTING更合适些
   

2. 数据包可能在协议栈的第二层就丢弃了，要把网卡设置成混杂模式，tcpmp就会设置

3. 先用iptables试试吧，有开源的代码可以参考，毕竟是成熟的东西
   

G. linux系统如何抓包

linux主机抓包使用tcpmp，可以加不同参数过滤源IP、端口，目的IP、端口，可以撰写到指定文件中。抓包结果可以用ethereal，wireshark进行分析。

H. 如何在linux上抓包tcpflow

无论是在
Linux
系统下抄，还是在袭
WINDOWS
系统下，使用
tcpflow
或者
wireshark
抓取数据包，基本思路都是一样的。即：根据你需要抓取的数据包，设定特定的过滤规则，以及在哪一个网络适配器上进行抓包。最后将抓取的数据包保存到一个文件中，供以后的分析使用。
展开全部

I. linux网络驱动如何进行旁入抓包

1. 你抓不到包与挂载哪个hook点关系不大，但是NF_IP_PRE_ROUTING更合适些
   

2. 数据包可能在协议栈的第二专层就丢弃了，要把属网卡设置成混杂模式，tcpmp就会设置

3. 先用iptables试试吧，有开源的代码可以参考，毕竟是成熟的东西