一、概念:
- 传输的各种数据,在网络中都是一个个的数据包
- tcpdump是命令行抓取数据包的工具
二、Tcpdump常用抓包命令:
-- 基本语法:
-- 常见监控选项
- -i:指定抓取哪块网卡进入的数据包
- -A:转换为ASCII码,使得可读
- -w:抓包写入文件
- -r:从文件中读取抓包信息
- -c:定义抓包的个数
-- 常用的过滤条件
- 类型:host、net、port、portrange600-800
-使用host过滤主机
-使用net过滤网段
-使用port过滤端口
- 方向:src、dst
- 协议:tcp、udp、ip、wlan、arp
- 多个条件组合:and、or、not
-- 示例:
- 抓取eth0上进出的、与192.168.88.11有关的、涉及TCP21(ftp)端口的数据包。
# 终端开启抓包
┌──(kali㉿kali)-[~]
└─$ sudo tcpdump -i eth0 -A host 192.168.88.11 and tcp port 21
# 在新终端登陆ftp
┌──(kali㉿kali)-[~]
└─$ ftp 192.168.88.11
Connected to 192.168.88.11.
220 (vsFTPd 3.0.2)
Name (192.168.88.11:kali): tom # 用户名
331 Please specify the password.
Password:abc123 # 此处是tom的密码
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit # 退出
221 Goodbye.
# 在第一个终端可以看到明文的用户名和密码
┌──(kali㉿kali)-[~]
└─$ sudo tcpdump -i eth0 -A host 192.168.88.11 and tcp port 21
tcpdump -A dst host 192....
...
..10:00:32.2492081P 192.168.88....
:.... user mickey
10:00:34.9681731P 192....
:.....pass 123456000000.8
# 将抓到的包存入文件ftp.cap
┌──(kali㉿kali)-[~]
└─$ sudo tcpdump -i eth0 -A -w ftp.cap host 192.168.88.11 and tcp port 21
网友评论