說實在的,對於 tcpdump 這個軟體來說,你甚至能够說這個軟體其實就是個駭客軟體, 因為他不但能够分析封包的流向,連封包的內容也能够進行『監聽』, 假设你使用的傳輸資料是明碼的話,不得了,在 router 上面就可能被人家監聽走了! 非常可怕吶!所以,我們也要來瞭解一下這個軟體啊!(註:這個 tcpdump 必須使用 root 的身份執行)
假设你是第一次看 tcpdump 的 man page 時,肯定一個頭兩個大,因為 tcpdump 幾乎都是分析封包的表頭資料,使用者假设沒有簡易的網路封包基礎,要看懂粉難吶! 所以,至少您得要回到 網路基礎裡面去將 TCP 封包的表頭資料理解理解才好啊! ^_^!至於那個範例一所產生的輸出範例中,我們能够約略區分為數個欄位, 我們以範例一當中那個特殊字體行來說明一下:
再來,一個網路狀態非常忙的主機上面,你想要取得某部主機對你連線的封包資料而已時, 使用 tcpdump 配合管線命令與正規表示法也能够,不過,畢竟不好捉取! 我們能够透過 tcpdump 的表示法功能,就能夠輕易的將所须要的資料獨立的取出來。 在上面的範例一當中,我們僅針對 eth0 做監聽,所以整個 eth0 介面上面的資料都會被顯示到螢幕上, 不好分析啊!那麼我們能够簡化嗎?比如仅仅取出 port 21 的連線封包,能够這樣做:
瞧!這樣就僅提出 port 21 的資訊而已,且仔細看的話,你會發現封包的傳遞都是雙向的, client 端發出『要求』而 server 端則予以『回應』,所以,當然是有去有回啊! 而我們也就能够經過這個封包的流向來瞭解到封包運作的過程。 舉例來說:
上表顯示的頭兩行是 tcpdump 的基本說明,然後:
更奇妙的使用要來啦!假设我們使用 tcpdump 在 router 上面監聽『明碼』的傳輸資料時, 比如 FTP 傳輸協定,你覺得會發生什麼問題呢? 我們先在主機端下達『 tcpdump -i lo port 21 -nn -X 』然後再以 ftp 登入本機,並輸入帳號與密碼, 結果你就能够發現例如以下的狀況:
上面的輸出結果已經被簡化過了,你必須要自行在你的輸出結果當中搜尋相關的字串才行。 從上面輸出結果的特殊字體中,我們能够發現『
該 FTP 軟體使用的是 vsftpd ,並且使用者輸入 dmtsai 這個帳號名稱,且密碼是 mypasswordisyou』 嘿嘿!你說可不可怕啊!假设使用的是明碼的方式來傳輸你的網路資料? 所以我們才经常在講啊,網路是非常不安全低!
另外你得瞭解,為了讓網路介面能够讓 tcpdump 監聽,所以執行 tcpdump 時網路介面會啟動在 『錯亂模式 (promiscuous)』,所以你會在 /var/log/messages 裡面看到非常多的警告訊息, 通知你說你的網路卡被設定成為錯亂模式!別擔心,那是正常的。 至於很多其它的應用,請参考 man tcpdump 囉!
[root@linux ~]# [root@linux ~]# tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 232:364(132) ack 1 win 9648 6680 packets captured 14250 packets received by filter 7512 packets dropped by kernel |
- 01:33:40.41:這個是此封包被擷取的時間,『時:分:秒』的單位;
- IP:透過的通訊協定是 IP ;
- 192.168.1.100.22 > :傳送端是 192.168.1.100 這個 IP,而傳送的 port number 為 22,您必須要瞭解的是,那個大於 (>) 的符號指的是封包的傳輸方向喔!
- 192.168.1.11.1190:接收端的 IP 是 192.168.1.11, 且該主機開啟 port 1190 來接收;
- P 116:232(116):這個封包帶有 PUSH 的資料傳輸標誌, 且傳輸的資料為整體資料的 116~232 byte,所以這個封包帶有 116 bytes 的資料量;
- ack 1 win 9648:ACK與 Window size 的相關資料。
再來,一個網路狀態非常忙的主機上面,你想要取得某部主機對你連線的封包資料而已時, 使用 tcpdump 配合管線命令與正規表示法也能够,不過,畢竟不好捉取! 我們能够透過 tcpdump 的表示法功能,就能夠輕易的將所须要的資料獨立的取出來。 在上面的範例一當中,我們僅針對 eth0 做監聽,所以整個 eth0 介面上面的資料都會被顯示到螢幕上, 不好分析啊!那麼我們能够簡化嗎?比如仅仅取出 port 21 的連線封包,能够這樣做:
[root@linux ~]#
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:54:37.96 IP 192.168.1.11.1240 > 192.168.1.100.21: . ack 1 win 65535
01:54:37.96 IP 192.168.1.100.21 > 192.168.1.11.1240: P 1:21(20) ack 1 win 5840
01:54:38.12 IP 192.168.1.11.1240 > 192.168.1.100.21: . ack 21 win 65515
01:54:42.79 IP 192.168.1.11.1240 > 192.168.1.100.21: P 1:17(16) ack 21 win 65515
01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: . ack 17 win 5840
01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: P 21:55(34) ack 17 win 5840
|
- 我們先在一個終端機視窗輸入『 tcpdump -i lo -nn 』 的監聽,
- 再另開一個終端機視窗來對本機 (127.0.0.1) 登入『ssh localhost』
[root@linux ~]# tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes 11:02:54.253777 IP 127.0.0.1. > 127.0.0.1.22: 933696132:933696132(0) win 32767 |
- 第 3 行顯示的是『來自 client 端,帶有 SYN 主動連線的封包』,
- 第 4 行顯示的是『來自 server 端,除了回應 client 端之外(ACK),還帶有 SYN 主動連線的標誌;
- 第 5 行則顯示 client 端回應 server 確定連線建立 (ACK)
- 第 6 行以後則开始進入資料傳輸的步驟。
更奇妙的使用要來啦!假设我們使用 tcpdump 在 router 上面監聽『明碼』的傳輸資料時, 比如 FTP 傳輸協定,你覺得會發生什麼問題呢? 我們先在主機端下達『 tcpdump -i lo port 21 -nn -X 』然後再以 ftp 登入本機,並輸入帳號與密碼, 結果你就能够發現例如以下的狀況:
[root@linux ~]# 0x0000: 4500 0048 2a28 4000 4006 1286 7f00 0001 E..H*(@.@....... 0x0010: 7f00 0001 0015 80ab 8355 2149 835c d825 .........U!I./.% 0x0020: 8018 2000 fe3c 0000 0101 080a 0e2e 0b67 .....<.........g 0x0030: 0e2e 0b61 3232 3020 2876 7346 5450 6420 ...a220.( 0x0040: 322e 302e 3129 0d0a 2.0.1).. 0x0000: 4510 0041 d34b 4000 4006 6959 7f00 0001 E..A.K@[email protected].... 0x0010: 7f00 0001 80ab 0015 835c d825 8355 215d ........./.%.U!] 0x0020: 8018 2000 fe35 0000 0101 080a 0e2e 1b37 .....5.........7 0x0030: 0e2e 0b67 5553 4552 2064 6d74 7361 690d ...gUSER.. 0x0040: 0a . 0x0000: 4510 004a d34f 4000 4006 694c 7f00 0001 E..J.O@[email protected].... 0x0010: 7f00 0001 80ab 0015 835c d832 8355 217f ........./.2.U!. 0x0020: 8018 2000 fe3e 0000 0101 080a 0e2e 3227 .....>........2' 0x0030: 0e2e 1b38 5041 5353 206d 7970 6173 7377 ...8PASS. 0x0040: 6f72 6469 7379 6f75 0d0a .. |
另外你得瞭解,為了讓網路介面能够讓 tcpdump 監聽,所以執行 tcpdump 時網路介面會啟動在 『錯亂模式 (promiscuous)』,所以你會在 /var/log/messages 裡面看到非常多的警告訊息, 通知你說你的網路卡被設定成為錯亂模式!別擔心,那是正常的。 至於很多其它的應用,請参考 man tcpdump 囉!
例題:怎样使用 tcpdump 監聽 (1)來自 eth0 介面卡且 (2)通訊協定為 port 22 ,(3)目標來源為 192.168.1.100 的封包資料? 答:
|
ethereal
除了 tcpdump 這個軟體之外,其實你還能够使用 ethereal 這個好用的網路流量分析軟體吶! ethereal 分為文字介面與圖形介面,文字介面的使用方法與 tcpdump 相當的類似,不過他的指令名稱為 tethereal 就是了。因為使用方法差点儿相同,所以建議您直接使用 man tethereal 查閱吧! 在 CentOS 上原本就有 ethereal 了,所以請拿出光碟來安裝就可以喔! 须要安裝 ethereal 與 ethereal-gnome 才行吶!
啟動的方法非常簡單,你必須要在 X Window 底下,先開啟一個終端機,然後直接輸入 ethereal 後, 就會出現例如以下的畫面了:
圖五、ethereal 使用範例圖
簡單的作法,你能够點選如上圖顯示的那個按鈕,會出現挑選監聽的介面視窗,例如以下所看到的:
圖六、ethereal 使用範例圖
你應該選擇要監聽的介面,在這裡因為是测試用的,所以鳥哥使用的是 lo 這個內部介面, 你當然應該要選擇你自己的網路介面才是。然後按下 start 後,就會出現开始偵测的畫面了:
圖七、ethereal 使用範例圖
在這個畫面當中你能够看到非常多類型的封包協定,在等你處理完畢後,就能够按下『stop』結束監聽, 而开始進入例如以下的封包分析畫面。
圖八、ethereal 使用範例圖
封包分析畫面共分為三大區塊,如上圖所看到的,第一區塊主要顯示的是封包的標頭資料, 內容就有點類似 tcpdump 的顯示結果,第二區塊則是詳細的表頭資料, 包含訊框的內容、通訊協定的內容以及 socket pair 等等資訊。 第三區塊則是 16 進位與 ASCII 碼的顯示結果。透過這個 ethereal 您就能够一口氣得到所须要的全部封包內容啦! 并且還是圖形介面的,非常方便吧!透過在第一區塊選擇不同的封包,就能夠查閱每個封包的資料內容囉!
啟動的方法非常簡單,你必須要在 X Window 底下,先開啟一個終端機,然後直接輸入 ethereal 後, 就會出現例如以下的畫面了:
圖五、ethereal 使用範例圖
簡單的作法,你能够點選如上圖顯示的那個按鈕,會出現挑選監聽的介面視窗,例如以下所看到的:
圖六、ethereal 使用範例圖
你應該選擇要監聽的介面,在這裡因為是测試用的,所以鳥哥使用的是 lo 這個內部介面, 你當然應該要選擇你自己的網路介面才是。然後按下 start 後,就會出現开始偵测的畫面了:
圖七、ethereal 使用範例圖
在這個畫面當中你能够看到非常多類型的封包協定,在等你處理完畢後,就能够按下『stop』結束監聽, 而开始進入例如以下的封包分析畫面。
圖八、ethereal 使用範例圖
封包分析畫面共分為三大區塊,如上圖所看到的,第一區塊主要顯示的是封包的標頭資料, 內容就有點類似 tcpdump 的顯示結果,第二區塊則是詳細的表頭資料, 包含訊框的內容、通訊協定的內容以及 socket pair 等等資訊。 第三區塊則是 16 進位與 ASCII 碼的顯示結果。透過這個 ethereal 您就能够一口氣得到所须要的全部封包內容啦! 并且還是圖形介面的,非常方便吧!透過在第一區塊選擇不同的封包,就能夠查閱每個封包的資料內容囉!
nc, netcat
這個 nc 能够用來作為某些服務的檢测,因為他能够連接到某個 port 來進行溝通, 此外,還能够自行啟動一個 port 來傾聽其它用戶的連線吶!非常的不錯用! 假设在編譯的時候給予『GAPING_SECURITY_HOLE』参數的話,嘿嘿! 這個軟體還能够用來取得用戶端的 bash 哩!可怕吧!我們的 CentOS 比较人性化,並沒有給予上面的参數,所以我們不能夠用來作為駭客軟體~ 可是用來代替 telnet 也是個非常棒的功能了!(有的系統將執行檔改名為 netcat 啦!)
這個最簡單的功能與 telnet 幾乎一樣吧!能够去檢查某個服務啦!不過,更奇妙的在後面, 我們能够建立兩個連線來傳訊喔!舉個样例來說,我們先在 client 端的地方啟動一個 port 來進行傾聽:
然後在主機端的地方,也利用 nc 來連線到用戶端,並且輸入一些指令看看喔!
此時,在主機端我們能够打入一些字,你會發現在 client 端會同時出現你輸入的字眼吶! 假设你同時給予一些額外的参數,比如利用標準輸入與輸出 (stdout, stdin) 的話, 那麼就能够透過這個連線來作非常多事情了! 當然 nc 的功能不仅仅如此,你還能够發現非常多的用途喔! 請自行到您主機內的 /usr/share/doc/nc-1.10/scripts 目錄下看看這些 script ,有幫助的吶! 不過,假设你须要額外的編譯出含有 GAPING_SECURITY_HOLE 功能, 以使兩端
[root@linux ~]# [root@linux ~]# [root@linux ~]# localhost.localdomain [127.0.0.1] 25 (smtp) open 220 pc.dm.tsai ESMTP Postfix 250-pc.dm.tsai 250-PIPELINING 250-SIZE 40000000 250-ETRN 221 Bye |
[root@linux ~]#
|
[root@linux ~]# |