Linux 系统扫描nmap与tcpdump抓包

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux 系统扫描nmap与tcpdump抓包相关的知识,希望对你有一定的参考价值。

参考技术A

NMAP扫描
一款强大的网络探测利器工具
支持多种探测技术

--ping扫描
--多端口扫描
-- TCP/IP指纹校验

为什么需要扫描?
以获取一些公开/非公开信息为目的
--检测潜在风险
--查找可攻击目标
--收集设备/主机/系统/软件信息
--发现可利用的安全漏洞

基本用法
nmap [扫描类型] [选项] <扫描目标...>
常用的扫描类型

常用选项
-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口,如果收到SYN/ACK回复,那么判断端口是开放的;如果收到RST包,说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度
-sT TCP 连接扫描(全开)
-sU UDP扫描
-sP ICMP扫描
-sV 探测打开的端口对应的服务版本信息
-A 目标系统全面分析 (可能会比较慢)
-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2)检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4)检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6)全面分析目标主机192.168.4.100的操作系统信息

tcpdump
命令行抓取数据包工具
基本用法
tcpdump [选项] [过滤条件]

常见监控选项
-i,指定监控的网络接口(默认监听第一个网卡)
-A,转换为 ACSII 码,以方便阅读
-w,将数据包信息保存到指定文件
-r,从指定文件读取数据包信息

常用的过滤条件:
类型:host、net、port、portrange
方向:src、dst
协议:tcp、udp、ip、wlan、arp、……
多个条件组合:and、or、not

案例1

案例2:使用tcpdump分析FTP访问中的明文交换信息
1 ) 安装部署vsftpd服务

2 ) 并启动tcpdump等待抓包
执行tcpdump命令行,添加适当的过滤条件,只抓取访问主机192.168.4.100的21端口的数据通信 ,并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包,使用-w选项可以将抓取的数据包另存为文件,方便后期慢慢分析。

6 ) tcpdump命令的-r选项,可以去读之前抓取的历史数据文件

以上是关于Linux 系统扫描nmap与tcpdump抓包的主要内容,如果未能解决你的问题,请参考以下文章

运维工程师必会工具(Nmap和TCPdump)

linux之抓包神器tcpdump

信息收集--- 扫描技术与抓包分析

2017-2018-2 20179317 卿爽 《网络攻防技术》第十周学习总结

Linux系统诊断必备技能之二:tcpdump抓包工具详解

2017-2018-2 20179317 卿爽 《网络攻防技术》第十周作业