Instructions pour la capture de paquets lorsque le réseau est anormal

Others 2021-01-27 00:06:22 views: null

Introduction aux outils de capture de paquets couramment utilisés
Ce qui suit décrit les outils de capture de paquets couramment utilisés dans les environnements Linux et Windows: Outil de capture de paquets dans l'
environnement Linux Outil de capture de paquets dans l'
environnement Windows

Outil de capture de paquets dans un environnement Linux

Dans l'environnement Linux, tcpdump est généralement utilisé pour la capture et l'analyse de paquets. Il s'agit d'un outil de capture et d'analyse de paquets de données préinstallé dans presque toutes les distributions Linux. Pour savoir comment obtenir et installer l'outil tcpdump, veuillez consulter la documentation officielle de tcpdump .
exemple d'utilisation de tcpdump

tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ] 
         [ -c count ] 
         [ -C file_size ] [ -G rotate_seconds ] [ -F file ] 
         [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] 
         [ --number ] [ -Q in|out|inout ] 
         [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ] 
         [ -W filecount ] 
         [ -E spi@ipaddr algo:secret,... ] 
         [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] 
         [ --time-stamp-precision=tstamp_precision ] 
         [ --immediate-mode ] [ --version ] 
         [ expression ]

Description des paramètres communs (sensible à la casse)
-s est utilisé pour définir la longueur de capture des paquets. Si -s vaut 0, cela signifie que la longueur appropriée est automatiquement sélectionnée pour capturer le paquet de données.
-w est utilisé pour exporter les résultats de la capture dans un fichier au lieu d'analyser et d'imprimer sur la console.
-i est utilisé pour spécifier l'interface (carte réseau) qui doit être surveillée.
-vvv est utilisé pour générer des données interactives détaillées.
expression est une expression régulière utilisée pour filtrer les messages. Il comprend principalement les catégories suivantes:
mots - clés du type spécifié: y compris hôte (hôte), réseau (réseau) et port (port).
Mot clé spécifiant le sens de transmission: incluant src (source), dst (destination), dst ou src (source ou cible) et dst et src (source et cible).
Mot-clé du protocole spécifié: y compris icmp, ip, arp, rarp, tcp, udp et d'autres types de protocoles.
Pour plus de description et d'utilisation des paramètres, veuillez vous référer à la page de manuel de tcpdump .

Utilisation courante et exemple de sortie
Capturez les données interactives du port spécifié de la carte réseau spécifiée.
Mode d'emploi:

tcpdump -s 0 -i eth0 port 22

Exemple de sortie:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
20:24:59.414951 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442372:442536, ack 53, win 141, length 164
20:24:59.415002 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442536:442700, ack 53, win 141, length 164
20:24:59.415052 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442700:442864, ack 53, win 141, length 164
20:24:59.415103 IP 172.16.2.226.ssh &gt; 42.120.74.107.43414: Flags [P.], seq 442864:443028, ack 53, win 141, length 164</code></pre>

Récupérez les données interactives envoyées par la carte réseau spécifiée au port spécifié sur l'adresse IP spécifiée et affichez des informations interactives détaillées sur la console.

Mode d'emploi:

tcpdump -s 0 -i eth1 -vvv port 22</code></pre>

Exemple de sortie:

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
20:24:20.991006 IP (tos 0x10, ttl 64, id 22747, offset 0, flags [DF], proto TCP (6), length 316)
172.16.2.226.ssh &gt; 42.120.74.107.43414: Flags [P.], cksum 0x2504 (incorrect -&gt; 0x270d), seq 133624:133900, ack 1, win 141, length 276
20:24:20.991033 IP (tos 0x0, ttl 53, id 2348, offset 0, flags [DF], proto TCP (6), length 92)
42.120.74.107.43414 &gt; 172.16.2.226.ssh: Flags [P.], cksum 0x4759 (correct), seq 1:53, ack 129036, win 15472, length 52
20:24:20.991130 IP (tos 0x10, ttl 64, id 22748, offset 0, flags [DF], proto TCP (6), length 540)
172.16.2.226.ssh &gt; 42.120.74.107.43414: Flags [P.], cksum 0x25e4 (incorrect -&gt; 0x5e78), seq 133900:134400, ack 53, win 141, length 500
20:24:20.991162 IP (tos 0x0, ttl 53, id 2349, offset 0, flags [DF], proto TCP (6), length 40)
42.120.74.107.43414 &gt; 172.16.2.226.ssh: Flags [.], cksum 0xf39e (correct), seq 53, ack 129812, win 15278, length 0

Récupérez les données d'interaction ping envoyées à l'adresse IP spécifiée et affichez des données d'interaction détaillées sur la console.

Mode d'emploi:

tcpdump -s 0 -i eth1 -vvv dst 223.5.5.5 and icmp

Exemple de sortie:

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
20:26:00.368958 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 &gt; public1.alidns.com: ICMP echo request, id 55097, seq 341, length 64
20:26:01.369996 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 &gt; public1.alidns.com: ICMP echo request, id 55097, seq 342, length 64
20:26:02.371058 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 &gt; public1.alidns.com: ICMP echo request, id 55097, seq 343, length 64
20:26:03.372181 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 &gt; public1.alidns.com: ICMP echo request, id 55097, seq 344, length 64

Récupérez toutes les données d'interface du système et enregistrez-les dans un fichier spécifié.

Mode d'emploi:

tcpdump -i any -s 0 -w test.cap</code></pre>

Exemple de sortie:

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes

Outil de capture de paquets dans l'environnement Windows

Capture de paquets Wireshark, étape
1. Installez et ouvrez Wireshark.
2. Choisissez Capture> Options.
3. Dans l'interface de l'interface de capture WireShark, sélectionnez la carte réseau qui doit être capturée en fonction du nom de l'interface ou de l'adresse IP correspondante, puis cliquez sur Démarrer.
Insérez la description de l'image ici
4. Après avoir capturé suffisamment de paquets de données, sélectionnez Capture> Arrêter.

5. Sélectionnez Fichier> Enregistrer pour enregistrer le résultat de la capture dans le fichier spécifié.
Pour l'utilisation des outils Wireshark et des méthodes d'analyse des données, veuillez vous référer à la documentation officielle de Wireshark .

Je suppose que tu aimes

Origine blog.csdn.net/qq_17030783/article/details/99683221
conseillé
Classement
du quotidien
Plus
2024-08-26(0)
2024-08-25(0)
2024-08-24(0)
2024-08-23(0)
2024-08-22(0)
2024-08-21(0)
2024-08-20(0)
2024-08-19(0)
2024-08-18(0)
2024-08-17(0)

Code World

© 2018 codetd.com