安全牛學習筆記 tcpdump常用命令例項

2021-08-10 12:38:02 字數 2963 閱讀 4158

預設啟動

tcpdump

普通情況下,直接啟動

tcpdump

將監視第乙個網路介面上所有流過的資料報。

監聽網絡卡eth0

tcpdump 

-i eth0這個方式最簡單了,但是用處不多,因為基本上只能看到資料報的資訊刷屏,壓根看不清,可以使 用ctrl+c中斷退出,如果真有需求,可以將輸出內容重定向到乙個檔案,這樣也更方便檢視。

監聽指定的主機

tcpdump 

-i eth0 -nn 'host 192.168.168.2'這樣的話,192.168.168.2這台主機接收到的包和傳送的包都會被抓取。

tcpdump 

-i eth0 -nn 'src host 192.168.168.2'這樣只有192.168.168.2這台主機傳送的包才會被抓取。

tcpdump 

-i eth0 -nn 'dst host 192.168.168.2'這樣只有192.168.168.2這台主機接收到的包才會被抓取。

監聽指定埠

tcpdump 

-i eth0 -nna 'port 80'上例是用來監聽主機的80埠收到和傳送的所有資料報,結合-a引數,在web開發中,真是非常有 用。

監聽指定主機和埠

tcpdump 

-i eth0 -nna 'port 80 and src host 192.168.168.2'

多個條件可以用and,or連線。上例表示監聽192.168.168.2主機通過80埠傳送的資料報。

監聽除某個埠外的其它埠

tcpdump 

-i eth0 -nna '!port 22'如果需要排除某個埠或者主機,可以使用「!」符號,上例表示監聽非22埠的資料報。

抓取特定目標ip和埠的包

tcpdump 

host 192.168.168.2 and tcp port 8000

捕獲的資料太多,不斷刷屏,可能需要將資料內容記錄到檔案裡,

需要使用-w引數:

tcpdump 

-x -s 0 -w a.cap host 192.168.168.2 and tcp port 8000則將之前顯示在螢幕中的內容,寫入

tcpdump

可執行檔案同級目錄下的a.cap檔案中。

檔案檢視方式如下,需要使用-r引數:

tcpdump 

-x -s 0 -r test.cap host 192.168.168.2 and tcp port 8000

使用

tcpdump

抓取http包

tcpdump 

-xvvennss 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 為"get"前兩個字母"ge",0x4854 為"http"前兩個字母"ht"。

tcpdump 

對截獲的資料並沒有進行徹底解碼,資料報內的大部分內容是使用十六進製制的形式直接 列印輸出的。顯然這不利於分析網路故障,通常的解決辦法是先使用帶-w引數的

tcpdump 

截獲數 據並儲存到檔案中,然後再使用其他程式(如wireshark)進行解碼分析。當然也應該定義過濾規 則,以避免捕獲的資料報填滿整個硬碟

該筆記為安全牛課堂學員筆記,想看此課程或者資訊保安類乾貨可以移步到安全牛課堂

security+認證為什麼是網際網路+時代最火爆的認證?

牛妹先給大家介紹一下security+

security+ 認證是一種中立第三方認證,其發證機構為美國計算機行業協會comptia ;是和cissp、itil 等共同包含在內的國際 it 業 10 大熱門認證之一,和cissp偏重資訊保安管理相比,security+ 認證更偏重資訊保安技術和操作。

通過該認證證明了您具備網路安全,合規性和操作安全,威脅和漏洞,應用程式、資料和主機安全,訪問控制和身份管理以及加密技術等方面的能力。因其考試難度不易,含金量較高,目前已被全球企業和安全專業人士所普遍採納。

security+認證如此火爆的原因?  

原因一:在所有資訊保安認證當中,偏重資訊保安技術的認證是空白的, security+認證正好可以彌補資訊保安技術領域的空白 。

目前行業內受認可的資訊保安認證主要有cisp和cissp,但是無論cisp還是cissp都是偏重資訊保安管理的,技術知識講的寬泛且淺顯,考試都是一帶而過。而且cissp要求持證人員的資訊保安工作經驗都要5年以上,cisp也要求大專學歷4年以上工作經驗,這些要求無疑把有能力且上進的年輕人的持證之路堵住。在現實社會中,無論是找工作還是公升職加薪,或是投標時候報人員,認證都是必不可少的,這給年輕人帶來了很多不公平。而security+的出現可以掃清這些年輕人職業發展中的障礙,由於security+偏重資訊保安技術,所以對工作經驗沒有特別的要求。只要你有it相關背景,追求進步就可以學習和考試。

原因二: it運維人員工作與翻身的利器。

在銀行、**、保險、資訊通訊等行業,it運維人員非常多,it運維涉及的工作面也非常廣。是乙個集網路、系統、安全、應用架構、儲存為一體的綜合性技術崗。雖然沒有程式猿們「生當做光棍,死亦寫**」的悲壯,但也有著「鋤禾日當午,不如運維苦「的感慨。天天對著電腦和機器,時間長了難免有對於職業發展的迷茫和困惑。security+國際認證的出現可以讓有追求的it運維人員學習網路安全知識,掌握網路安全實踐。職業發展朝著網路安全的方向發展,解決國內資訊保安人才的匱乏問題。另外,即使不轉型,要做好運維工作,學習安全知識取得安全認證也是必不可少的。

原因三:接地氣、國際範兒、考試方便、費用適中!

comptia作為全球ict領域最具影響力的全球領先機構,在資訊保安人才認證方面是專業、公平、公正的。security+認證偏重操作且和一線工程師的日常工作息息相關。適合銀行、**、保險、網際網路公司等it相關人員學習。作為國際認證在全球147個國家受到廣泛的認可。

在目前的資訊保安大潮之下,人才是資訊保安發展的關鍵。而目前國內的資訊保安人才是非常匱乏的,相信security+認證一定會成為最火爆的資訊保安認證。

安全牛學習筆記 WPS

該筆記為安全牛課堂學員筆記,想看此課程或者資訊保安類乾貨可以移步到安全牛課堂 security 認證為什麼是網際網路 時代最火爆的認證?牛妹先給大家介紹一下security security 認證是一種中立第三方認證,其發證機構為美國計算機行業協會comptia 是和cissp itil 等共同包含...

Tcpdump學習筆記

04 10 46.852184 ip localhost.localdomain.ssh 192.168.190.1.63683 flags p.seq 408261743 408261939,ack 192715332,win 264,length 196第一列 時分秒毫秒 第二列 網路協議 第四...

Linux學習筆記 Tcpdump

一些常用的tcpdump的指令如下 預設啟動 tcpdump 監視制定網路介面的資料報 tcpdump i eth0 監視所有進入或離開某主機的資料報 tcpdump host 列印主機一和主機二或者與主機三之間通訊的資料報 tcpdump host 1 and 列印主機一與任何其他主機之間的資料報...