linux抓包（linux抓包命令指定ip）

本篇文章给大家谈谈linux抓包，以及linux抓包命令指定ip对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

• 1、如何在linux下编写抓包程序
• 2、linux短ping抓包抓不到
• 3、Linux下普通用户（非root）使用wireshark抓包
• 4、linux服务器被攻击如何进行抓包来进行分析
• 5、在linux命令行环境下如何抓取网络数据包？
• 6、Linux 系统扫描nmap与tcpdump抓包

如何在linux下编写抓包程序

你用SOCK_RAW的模式建立原始套接字然后接收包。

剩下的就全是分析内容的事情了。。。。最多再用一下多线程。

用到linux下socket编程的最基本知识， 以弊团橘及对网络协议细节的了解。 前者随便找本socket编程的书就很详细了， 后者你因该或橡懂。

——————

例如， 你需要include以下这些头：

stdio.h,stdlib.h, unistd.h, sys/socket.h, sys/types.h, netinet/if_ether.h, netinet/in.h,

然后建立socket的时候用

socket(PF_PACKET,SOCK_RAW,htons(ETH_P_IP))，这样就能用这个socket来监听以太网的包。租团

然后循环调用recvfrom函数来听这个socket的接受到的数据， 再分析就好了。

如果要嗅探别人机器的包， 就要用ARP欺骗了。。呵呵

linux短ping抓包抓不到

原因如下：

1、主机设置了关闭icmp的回显功能，当ping不通某一台主机时，抓包显示只有request包，没有回包。

2、防火墙茄档枣拦截的蠢禅ping的request消息通过，关闭颤拆防火墙或防火墙的入规则允许ping消息通过就正常了。

Linux下普通用户（非root）使用wireshark抓包

Wireshark是不推荐枝迹使用root用户去跑的，原因大家都懂，就是不够安全，而且wireshark有些个性化配置的东西，当然是保存拿搭毕到普通用户下比较好。消芹

可是抓包需要root权限。

官方的解决方案如下：

[img]

linux服务器被攻击如何进行抓包来进行分析

用途

tcpdump简义：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

语法

tcpdump [-adeflnNOpqStvx][-c数据包数目][-dd][-ddd][-F表达文件][-i网络界面]

[-r数据包文件][-s数据包大小][-tt][-T数据包类型][-vv][-w数据包文件][输出数据栏位]

参数说明：

-a 尝试将网络和广播地址转换成名称。

-c数据包数目 收到指定的数据包数目后，就停止进行倾倒操作。

-d 把编译逗郑过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

-dd 把编译过的数据包编码转换成山并颂C语言的格式，并倾倒到标准输出。

-ddd 把编译过的数据包编码转换成十进制数字的格蔽世式，并倾倒到标准输出。

-e 在每列倾倒资料上显示连接层级的文件头。

-f 用数字显示网际网络地址。

-F表达文件 指定内含表达方式的文件。

-i网络界面 使用指定的网络截面送出数据包。

-l 使用标准输出列的缓冲区。

-n 不把主机的网络地址转换成名字。

-N 不列出域名。

-O 不将数据包编码最佳化。

-p 不让网络界面进入混杂模式。

-q 快速输出，仅列出少数的传输协议信息。

-r数据包文件 从指定的文件读取数据包数据。

-s数据包大小 设置每个数据包的大小。

-S 用绝对而非相对数值列出TCP关联数。

-t 在每列倾倒资料上不显示时间戳记。

-tt 在每列倾倒资料上显示未经格式化的时间戳记。

-T数据包类型 强制将表达方式所指定的数据包转译成设置的数据包类型。

-v 详细显示指令执行过程。

-vv 更详细显示指令执行过程。

-x 用十六进制字码列出数据包资料。

-w数据包文件 把数据包数据写入指定的文件。

案例

tcpdump -s 0 -i eth1  -w 94ip.cap

注：监听 ETH1网站 保存文件为94ip.cap

网云互联（）是一家从事服务器安全防护、入侵检测、服务器代维等为一体的公司，免费服务器安全检测，并有24小时在线运维工程师为您服务。

在linux命令行环境下如何抓取网络数据包？

  众所周知，在Windows下开发运行环境下，在调试网络环境时，可以可以很方便的借助wireshark等软件进行抓包分析；并且在linux或者Ubuntu等桌面版里也可以进行安装抓包工具进行抓包分析，但总有一些情况，无法直接运用工具（比如一些没有界面的linux环境系统中），则此时我们就需要使用到最简单的tcpdump命令进行网络抓包。

  一般的，linux下抓包时，抓取特定的网络数据包到当前文件夹下的文件中，再把文件拷贝出来利用Windows下的wireshark软件进行分析。

tcpdump命令详解：（简单举例）

  1、抓取到的文件为filename.cap，然后将此文件拷贝到Windows下，使用wireshar打开后，即可对此文件进行分析稿燃。

  2、eth0 是主机的网络适配键扰虚器名称，具体的李唤参数值可以在linux命令行窗口中通过 ifconfig 指令查询。

Linux 系统扫描nmap与tcpdump抓包

NMAP扫描

一款强大的网络探测利器工具

支持多种探测技术档神迟

--ping扫描

--多端口扫描

-- TCP/IP指纹校验

为什么需要扫描?

以获取一些公开/非公开信息为目的

--检测潜在风险

--查找可攻击目标

--收集设备/主机/系统/软件信息

--发现可利用的安全漏洞

基本用法

nmap [扫描类型] [选项] 扫描目标...

常用的扫描类型

常用选项

-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度

-sT TCP 连接扫描(全开)

-sU UDP扫描

-sP ICMP扫描

-sV 探测打开的端口对应的服务版本信息

-A 目标系统全面分析 (可能会比较慢)

-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机192.168.4.100的操作系统信息

tcpdump

命令行抓取数据包工具

基本用法

tcpdump [选项] [过滤条件]

常见监控选项

-i，指定监控的网络接口（默认监听第一个网卡）

-A，转换为 ACSII 码，以方便阅读

-w，将数据包信息保存到指定文件

-r，从指定文件读取数据包信息

常用的过滤条件：

类型：host、net、port、portrange

方向：src、dst

协议：tcp、udp、ip、wlan、arp、……

多个条件组合：and、or、not

案例1

案例2:使用tcpdump分析FTP访问中的明文交换信息

1 ) 安装部署vsftpd服务

2 ) 并启动tcpdump等待抓包

执行tcpdump命令行，添加适当的过滤条件，只抓取访问主机192.168.4.100的21端口的数据通信 ，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，行李使用-w选项可瞎知以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpdump命令的-r选项，可以去读之前抓取的历史数据文件

关于linux抓包和linux抓包命令指定ip的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。