快捷導(dǎo)航

Linux環(huán)境下tcpdump網(wǎng)絡(luò)協(xié)議抓包與解析

更新時間：2023年09月13日 11:37:30 作者：點墨

這篇文章主要為大家介紹了Linux環(huán)境下tcpdump網(wǎng)絡(luò)協(xié)議抓包與解析,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

環(huán)境

使用tcpdump分析常見網(wǎng)絡(luò)協(xié)議(ARP,DNS)

linux: red-hat 8

yum install bind-utils tcpdump net-tools

ARP

前置條件

機(jī)器A與機(jī)器B處于同一網(wǎng)段

步驟

1.機(jī)器A的終端A執(zhí)行 arp -D 機(jī)器B的IP

2.機(jī)器A的終端A執(zhí)行 tcpdump -i ech0 -ent '(dst 機(jī)器AIP and src 機(jī)器BIP) or (dst 機(jī)器BIP and src 機(jī)器AIP)' -X

3.機(jī)器A的終端B執(zhí)行 ping 機(jī)器B的IP

4.機(jī)器A的終端A獲得網(wǎng)絡(luò)包

結(jié)果

分析

0001 //硬件類型,1表示MAC地址
0800 //協(xié)議類型，表示要映射的協(xié)議地址類型，0800表示IP地址
06 //硬件地址長度字段，MAC地址是6
04  //協(xié)議地址長度字段，IPV4是4
0001 //操作類型，1為ARP請求，2為ARP應(yīng)答，3位RARP請求，4位RARP應(yīng)答 
000c 29ff 22e7 //發(fā)送端以太網(wǎng)地址
0a70 8871 //發(fā)送端IP地址
0000 0000 0000 //目的端以太網(wǎng)地址,全0表示廣播,broadcast，同網(wǎng)段下所有的機(jī)器都會接收到
0a70 886a //目的端IP地址 
0001 //硬件類型,1表示MAC地址
0800 //協(xié)議類型，表示要映射的協(xié)議地址類型，0800表示IP地址
06 //硬件地址長度字段，MAC地址是6
04 //協(xié)議地址長度字段，IPV4是4
0002 //操作類型，1為ARP請求，2為ARP應(yīng)答，3位RARP請求，4位RARP應(yīng)答 
000c 297c 7c42 //發(fā)送端以太網(wǎng)地址
0a70 886a //發(fā)送端IP地址
000c 29ff 22e7 //目的端以太網(wǎng)地址,全0表示廣播,broadcast，同網(wǎng)段下所有的機(jī)器都會接收到
0a70 8871 //目的端IP地址 
0000 0000 0000 0000 0000 0000 0000 0000 0000 //填充字節(jié)

DNS

步驟

vi /etc/resolv.conf 配置DNS服務(wù)器
服務(wù)器終端1執(zhí)行 tcpdump -i ech0 -nt -s 500 port domain -X
服務(wù)器終端2執(zhí)行 host -t A www.baidu.com
終端1獲得結(jié)果

結(jié)果

分析

4500 003b 3f0d 0000 4011 9136 0a70 8871 0a70 0d1e c153 0035 0027 aaa7 //IP表頭
1048 //16位標(biāo)識
0100 //16位標(biāo)志 0 0000 0 0 1 0 000 0000 QR:0表示請求 opcode:0表示默認(rèn)查詢 AA:0 TC:0 RD:1表示遞歸查詢 RA:0 zero:全0, rcode:返回碼，表示應(yīng)答狀態(tài),0表示無錯誤
0001 //16位問題個數(shù)
0000 //16位應(yīng)答資源記錄個數(shù)
0000 //16位授權(quán)資源記錄數(shù)目
0000 //16位額外的資源記錄數(shù)目
//查詢問題
0377 7777 0562 6169 6475 0363 6f6d 00//查詢名（可變長） www.baidu.com
0001 //16位查詢類型，1表示獲取目標(biāo)主機(jī)的IP地址
0001 //16位查詢類，1表示獲取因特網(wǎng)地址（IP地址）
4500 0076 52ae 0000 7a11 435a 0a70 0d1e 0a70 8871 0035 c153 0062 55ca //IP表頭
1048 //16位標(biāo)識，與請求報文對應(yīng)
8180 //16位標(biāo)志 1 0000 0 0 1 1 000 0000 QR:1表示應(yīng)答 opcode:0表示默認(rèn)查詢 AA:0 TC:0 RD:1表示遞歸查詢 RA:1表示服務(wù)器支持遞歸查詢 zero:全0, rcode:返回碼，表示應(yīng)答狀態(tài),0表示無錯誤
0001 //16位問題個數(shù)
0003 //16位應(yīng)答資源記錄個數(shù)，有3個
0000 //16位授權(quán)資源記錄數(shù)目
0000 //16位額外的資源記錄數(shù)目
//查詢問題
0377 7777 0562 6169 6475 0363 6f6d 00 //查詢名（可變長） www.baidu.com
0001 //16位查詢類型，1表示獲取目標(biāo)主機(jī)的IP地址
0001 //16位查詢類，1表示獲取因特網(wǎng)地址（IP地址）
//應(yīng)答
c00c 0005 //32位域名
0001 //16位類型 A
0000 //16位類
02f6 000f //32位生存時間
0377 777701 6106 7368 6966 656e c016 // www.a.shifen
c02b 0001 //32位域名
0001 //16位類型A
0000 //16位類
0004 0004 //32位生存時間
dcb5 2696 // 220.181.38.150
c02b 0001 //32位域名
0001 //16位類型A
0000 //16位類
0004 0004 //32位生存時間
dcb5 2695 // 220.181.38.149

以上就是Linux環(huán)境下tcpdump網(wǎng)絡(luò)協(xié)議抓包與解析的詳細(xì)內(nèi)容，更多關(guān)于Linux tcpdump網(wǎng)絡(luò)協(xié)議抓包解析的資料請關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: