20169219 NMap+Wireshark实验报告

Tcpdump介绍

用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump能够将网络中传送的数据包的“头”彻底截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpdump存在于基本的FreeBSD系统中，因为它须要将网络界面设置为混杂模式，普通用户不能正常执行，但具有root权限的用户能够直接执行它来获取网络上的信息。所以系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其余计算机的安全存在威胁。

步骤

1. 使用nmap扫描目标主机，能够查看到开放的端口有哪些

2. 使用以下命令，将抓到的数据包放到.cap文件中，便于wireshark的分析。

tcpdump tcp -i eth0 -t -s 0 -c 100 and dst port ! 22 and src net 172.16.69.126 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i eth0 : 只抓通过接口eth0的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后能够抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 172.16.69.126 : 数据包的源网络地址为172.16.69.126
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

3. 用wireshark分析扫描结果

运行tcpdump命令出现错误信息排除

tcpdump: no suitable device found
tcpdump: no devices found /dev/bpf4: A file or directory in the path name does not exist.
解决方案 2种缘由：
1.权限不够，通常不通过处理，只用root用户能使用tcpdump
2.缺省只能同时使用4个tcpdump，如用完，则报此类错。须要停掉多余的tcpdump

参考资料

Linux tcpdump命令详解

Tcpdump的详细用法