《抓包工具》-项目3 网络嗅探抓包工具Tcpdump使用

教学目标1.掌握Tcpdump基本语法；2.能够利用Tcpdump抓取linux系统数据包；3.掌握Tcpdump抓取FTP用户账号和口令；3.掌握Tcpdump抓取telnet用户账号和口令；任务实施环境路由器防火墙工作站100-16-76-BE-E7-D0工作站400-15-58-E0-49-EA工作站N00FastEthernet0/0IP:54MAC:00-09-E9-A4-70-00协议分析互联网Telnet服务器：621【任务描述】tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的，一般而言，Unix不会让普通用户设置混杂模式，因为这样可以看到别人的信息，比如telnet的用户名和密码，这样会引起一些安全上的问题，所以只有root用户可以开启混杂模式，开启混杂模式的命令是：ifconfigeth0promisc,eth0是你要打开混杂模式的网卡。【任务分析】tcpdump是一个用于截取网络分组，并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具。tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中。任务1Tcpdump基本语法格式练习，将抓到的数据包截图保存。(1)想要截获所有本机收到和发出所有的分组。(2）想要截获本机和虚拟机之间的所有分组。(3)如果想要获取主机除了虚拟机之外所有主机通信的ip包。(4)如果想要获取物理主机接收或发出的ssh包，并且不转换主机名使用如下命令。(5)获取物理主机接收或发出的ssh包，并把mac地址也一同显示。

(6)过滤的是源主机为虚拟机与目的网络为真实主机网络的报头。

(7)过滤源主机物理地址为XXX的报头。(8)过滤源主机和目的端口不是telnet的报头，并导入到test.txt文件中。（9）抓取本机和网络中任何一台主机的ICMP数据包，并导入到文件icmp.cap中。知识点tcpdump[-nn][-i接口][-w储存档名][-c次数][-Ae][-qX][-r文件][所欲捕获的数据内容]参数：-nn，直接以IP及PortNumber显示，而非主机名与服务名称。-i，后面接要「监听」的网络接口，例如eth0,lo,ppp0等等的接口。-w，如果你要将监听所得的数据包数据储存下来，用这个参数就对了。后面接文件名。-c，监听的数据包数，如果没有这个参数，tcpdump会持续不断的监听，直到用户输入[ctrl]-c为止。-A，数据包的内容以ASCII显示，通常用来捉取WWW的网页数据包资料。知识点-e，使用数据连接层(OSI第二层)的MAC数据包数据来显示。-q，仅列出较为简短的数据包信息，每一行的内容比较精简。-X，可以列出十六进制(hex)以及ASCII的数据包内容，对于监听数据包内容很有用。-r，从后面接的文件将数据包数据读出来。那个「文件」是已经存在的文件，并且这个「文件」是由-w所制作出来的。知识点：tcpdump参数介绍：-A以ASCII格式打印出所有分组，并将链路层的头最小化。-c在收到指定的数量的分组后，tcpdump就会停止。-C在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数file_size的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。-d将匹配信息包的代码以人们能够理解的汇编格式给出。-dd将匹配信息包的代码以C语言程序段的格式给出。-ddd将匹配信息包的代码以十进制的形式给出。知识点-n不把网络地址转换成名字。-nn不进行端口名称的转换。-N不输出主机名中的域名部分。例如，‘‘只输出’nic‘。

-t在输出的每一行不打印时间戳。-O不运行分组分组匹配（packet-matching）代码优化程序。

-P不将网络接口设置成混杂模式。

-q快速输出。只输出较少的协议信息。-r从指定的文件中读取包(这些包一般通过-w选项产生)。-S将tcp的序列号以绝对值形式输出，而不是相对值。

任务2抓取物理机访问虚拟机ftp数据包，并保存到文件ftp.cap文件，然后利用wireshark打开文件进行数据分析。（1）配置Linux下FTP服务器；（2）配置FTP服务器用户名和密码；（3）测试FTP服务器是否能够登陆；（4）运行tcpdump抓取ftp客户端访问服务器的数据包，并将数据导入文件ftp.cap；（5）在windows系统中使用wireshark打开ftp.cap文件，分析数据分组，FTP客户端使用哪个端口号连接到FTP服务器端口21？截图说明（6）分析得到登录ftp服务器的用户名和密码。任务3抓取物理机访问虚拟机的telnet数据包，并保存到文件telnet.cap，然后利用wireshark打开文件进行数据分析。（1）配置Linux下telnet服务；（2）添加用户登录telnet；（3）测试是否能够telnet远程登录；（4）使用tcpdump抓取ftp客户端访问服务器的数据包，并将数据导入文件te