當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

使用tcpdump找出PP用户

發(fā)布時(shí)間：2023/12/14 编程问答 37 豆豆

生活随笔收集整理的這篇文章主要介紹了使用tcpdump找出PP用户小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

一般情況下網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或發(fā)送與本計(jì)算機(jī)無關(guān)的數(shù)據(jù)包，為了接收這些數(shù)據(jù)包，就必須使用網(wǎng)卡的混雜模式，并繞過標(biāo)準(zhǔn)的TCP/IP堆棧才行。在FreeBSD下，這就需要內(nèi)核支持偽設(shè)備bpfilter。因此，在內(nèi)核中取消bpfilter支持，就能屏蔽tcpdump之類的網(wǎng)絡(luò)分析工具 (1). tcpdump的選項(xiàng)介紹

　　　-a 　　　將網(wǎng)絡(luò)地址和廣播地址轉(zhuǎn)變成名字；
　　　-d 　　　將匹配信息包的代碼以人們能夠理解的匯編格式給出；
　　　-dd 　　將匹配信息包的代碼以c語言程序段的格式給出；
　　　-ddd 　　將匹配信息包的代碼以十進(jìn)制的形式給出；
　　　-e 　　　在輸出行打印出數(shù)據(jù)鏈路層的頭部信息；
　　　-f 　　　將外部的Internet地址以數(shù)字的形式打印出來；
　　　-l 　　　使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式；
　　　-n 　　　不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字；
　　　-t 　　　在輸出的每一行不打印時(shí)間戳；
　　　-v 　　　輸出一個(gè)稍微詳細(xì)的信息，例如在ip包中可以包括ttl和服務(wù)類型的信息；
　　　-vv 　　輸出詳細(xì)的報(bào)文信息；
　　　-c 　　　在收到指定的包的數(shù)目后，tcpdump就會(huì)停止；
　　　-F 　　　從指定的文件中讀取表達(dá)式,忽略其它的表達(dá)式；
　　　-i 　　　指定監(jiān)聽的網(wǎng)絡(luò)接口；
　　　-r 　　　從指定的文件中讀取包(這些包一般通過-w選項(xiàng)產(chǎn)生)；
　　　-w 　　　直接將包寫入文件中，并不分析和打印出來；
　　　-T 　　　將監(jiān)聽到的包直接解釋為指定的類型的報(bào)文，常見的類型有rpc （遠(yuǎn)程過程調(diào)用）和snmp（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議；）

(2). tcpdump的表達(dá)式介紹

表達(dá)式是一個(gè)正則表達(dá)式，tcpdump利用它作為過濾報(bào)文的條件，如果一個(gè)報(bào)文滿足表達(dá)式的條件，

則這個(gè)報(bào)文將會(huì)被捕獲。如果沒有給出任何條件，則網(wǎng)絡(luò)上所有的信息包將會(huì)被截獲。在表達(dá)式中一般如下幾種類型的關(guān)鍵字。

??? 第一種是關(guān)于類型的關(guān)鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明210.27.48.2是一臺(tái)主機(jī)，net 202.0.0.0 指明 202.0.0.0是一個(gè)網(wǎng)絡(luò)地址，port 23 指明端口號(hào)是23。如果沒有指定類型，缺省的類型是host.

??? 第二種是確定傳輸方向的關(guān)鍵字，主要包括src , dst ,dst or src, dst and src ,這些關(guān)鍵字指明了傳輸?shù)姆较颉Ｅe例說明，src 10.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網(wǎng)絡(luò)地址是202.0.0.0 。如果沒有指明方向關(guān)鍵字，則缺省是src or dst關(guān)鍵字。

??? 第三種是協(xié)議的關(guān)鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是"ether"的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行處理和分析。其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽的包的協(xié)議內(nèi)容。如果沒有指定任何協(xié)議，則tcpdump將會(huì)監(jiān)聽所有協(xié)議的信息包。

??? 除了這三種類型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運(yùn)算，取非運(yùn)算 'not ' '! ', 與運(yùn)算是'and','&&';或運(yùn)算是'or' ,'││'；這些關(guān)鍵字可以組合起來構(gòu)成強(qiáng)大的組合條件來滿足人們的需要，下面舉幾個(gè)例子來說明。

A想要截獲所有210.27.48.1 的主機(jī)收到的和發(fā)出的所有的數(shù)據(jù)包：
#tcpdump host 210.27.48.1

B想要截獲主機(jī)210.27.48.1 和主機(jī)210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中適用括號(hào)時(shí)，一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

C如果想要獲取主機(jī)210.27.48.1除了和主機(jī)210.27.48.2之外所有主機(jī)通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D如果想要獲取主機(jī)210.27.48.1接收或發(fā)出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

(3). tcpdump的輸出結(jié)果介紹

A,數(shù)據(jù)鏈路層頭信息
使用命令
#tcpdump --e host ice
ice 是一臺(tái)裝有l(wèi)inux的主機(jī)，她的MAC地址是0：90：27：58：AF：1A
H219是一臺(tái)裝有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一條命令的輸出結(jié)果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)

??? 分析：21：50：12是顯示的時(shí)間， 847509是ID號(hào)，eth0 <表示從網(wǎng)絡(luò)接口eth0 接受該數(shù)據(jù)包，eth0 >表示從網(wǎng)絡(luò)接口設(shè)備發(fā)送數(shù)據(jù)包, 8:0:20:79:5b:46是主機(jī)H219的MAC地址,它表明是從源地址H219發(fā)來的數(shù)據(jù)包. 0:90:27:58:af:1a是主機(jī)ICE的MAC地址,表示該數(shù)據(jù)包的目的地址是ICE . ip 是表明該數(shù)據(jù)包是IP數(shù)據(jù)包,60 是數(shù)據(jù)包的長(zhǎng)度, h219.33357 > ice.telnet 表明該數(shù)據(jù)包是從主機(jī)H219的33357端口發(fā)往主機(jī)ICE的TELNET(23)端口. ack 22535 表明對(duì)序列號(hào)是222535的包進(jìn)行響應(yīng). win 8760表明發(fā)送窗口的大小是8760.

B,ARP包的TCPDUMP輸出信息

使用命令
#tcpdump arp
得到的輸出結(jié)果是：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是時(shí)間戳, 802509是ID號(hào), eth0 >表明從主機(jī)發(fā)出該數(shù)據(jù)包, arp表明是ARP請(qǐng)求包, who-has route tell ice表明是主機(jī)ICE請(qǐng)求主機(jī)ROUTE的MAC地址。 0:90:27:58:af:1a是主機(jī)ICE的MAC地址。

C,TCP包的輸出信息
??? 用TCPDUMP捕獲的TCP包的一般輸出信息是：
src > dst: flags data-seqno ack window urgent options
src > dst:表明從源地址到目的地址, flags是TCP包中的標(biāo)志信息,S 是SYN標(biāo)志, F (FIN), P (PUSH) , R (RST) "." (沒有標(biāo)記); data-seqno是數(shù)據(jù)包中的數(shù)據(jù)的順序號(hào), ack是下次期望的順序號(hào), window是接收緩存的窗口大小, urgent表明數(shù)據(jù)包中是否有緊急指針. Options是選項(xiàng).

D,UDP包的輸出信息

??? 用TCPDUMP捕獲的UDP包的一般輸出信息是：
route.port1 > ice.port2: udp lenth
UDP十分簡(jiǎn)單，上面的輸出行表明從主機(jī)ROUTE的port1端口發(fā)出的一個(gè)UDP數(shù)據(jù)包到主機(jī)ICE的port2端口，類型是UDP，包的長(zhǎng)度是lenth

實(shí)例找出內(nèi)網(wǎng)中使用PP的機(jī)器

shell > tcpdump -nn -vv -c 20

12:11:44.636774 219.140.183.152.8094 > 218.22.65.6.20364: [udp sum ok] udp 50 (ttl 63, id 28190, len 78)
12:11:44.637245 218.61.121.80.8094 > 219.140.183.152.8094: [udp sum ok] udp 35 (ttl 112, id 57038, len 63)
12:11:44.638314 219.140.183.152.8094 > 221.136.231.254.60318: udp 58 (ttl 63, id 28191, len 86)
12:11:44.638409 219.140.183.152.8094 > 61.136.86.146.8094: [udp sum ok] udp 34 (ttl 63, id 28192, len 62)
12:11:44.640300 219.140.183.152.1084 > 219.140.22.110.9000: udp 219 (ttl 127, id 6617, len 247)
12:11:44.640422 218.22.65.6.20426 > 219.140.183.152.8094: [udp sum ok] udp 34 (ttl 115, id 21895, len 62)
12:11:44.641942 221.11.113.230.5354 > 219.140.183.152.4692: . 3119087055:3119088483(1428) ack 457192704 win 65391 <nop,nop,timestamp 122655 52684> (DF) (ttl 114, id 64608, len 1480)
12:11:44.642048 61.243.183.147.51023 > 219.140.183.152.8094: udp 1058 (ttl 105, id 62164, len 1086)
12:11:44.642128 219.140.22.110.9000 > 219.140.183.152.1084: udp 147 (ttl 121, id 22960, len 175)
12:11:44.642640 219.140.183.152.4692 > 221.11.113.230.5354: . [tcp sum ok] 1:1(0) ack 4294961536 win 46537 <nop,nop,timestamp 52687 122136,nop,nop,sack sack 3 {4294962952:2808}{9948:10648}{7092:8520} > (DF) (ttl 63, id 28193, len 80)
12:11:44.650168 218.22.65.6.20426 > 219.140.183.152.8094: [udp sum ok] udp 34 (ttl 115, id 21896, len 62)
12:11:44.651346 221.136.231.254.60318 > 219.140.183.152.8094: udp 1058 (ttl 113, id 47202, len 1086)
12:11:44.651584 221.136.231.254.60318 > 219.140.183.152.8094: udp 1058 (ttl 113, id 47203, len 1086)
12:11:44.651875 221.136.231.254.60318 > 219.140.183.152.8094: udp 1058 (ttl 113, id 47204, len 1086)
12:11:44.651967 221.136.231.254.60318 > 219.140.183.152.8094: udp 1058 (ttl 113, id 47205, len 1086)

可以看到有很多本地8094端口出去的包，? 我們?cè)賮砜纯催@包是從LAN中哪個(gè)機(jī)器發(fā)出來的
shell > grep -o "src=.*port.*8094" /proc/net/ip_conntrack

src=192.168.0.135 dst=61.136.86.146 sport=8094 dport=8094 src=61.136.86.146 dst=219.140.183.152 sport=8094 dport=8094
src=192.168.0.135 dst=221.208.245.66 sport=8094 dport=61644 src=221.208.245.66 dst=219.140.183.152 sport=61644 dport=8094
src=192.168.0.135 dst=222.95.172.238 sport=8094 dport=8094 src=222.95.172.238 dst=219.140.183.152 sport=8094 dport=8094
src=192.168.0.135 dst=61.243.183.147 sport=8094 dport=51023 src=61.243.183.147 dst=219.140.183.152 sport=51023 dport=8094
src=192.168.0.135 dst=60.7.111.61 sport=8094 dport=3040 src=60.7.111.61 dst=219.140.183.152 sport=3040 dport=8094
src=192.168.0.135 dst=218.244.65.69 sport=8094 dport=8094 src=218.244.65.69 dst=219.140.183.152 sport=8094 dport=8094

可以看到在內(nèi)網(wǎng)中的135機(jī)器在訪問PP點(diǎn)點(diǎn)通
統(tǒng)計(jì)一下這個(gè)機(jī)器在/proc/net/ip_conntrack里面一共有多少個(gè)連接跟蹤?
grep? "src=192.168.0.135" /proc/net/ip_conntrack|wc -l
380

tcpdump -i eth1 src host 192.168.0.135 -vv
12:28:46.387185 192.168.0.135.8094 > 222.170.67.114.8094: udp 1058 (ttl 64, id 47289, len 1086)
12:28:46.387595 192.168.0.135.8094 > 222.170.67.114.8094: udp 1058 (ttl 64, id 47290, len 1086)
12:28:46.387756 192.168.0.135.8094 > 218.244.65.69.8094: udp 1058 (ttl 64, id 47291, len 1086)
12:28:46.387895 192.168.0.135.8094 > 221.227.47.28.8094: udp 1058 (ttl 64, id 47292, len 1086)
12:28:46.388038 192.168.0.135.8094 > 218.244.65.69.8094: udp 1058 (ttl 64, id 47293, len 1086)

根據(jù)上面的包來進(jìn)行匹配

shell > iptables -A FORWARD -s 192.168.0.135 -p udp --sport 8094 -j DROP

?pkts bytes target???? prot opt in???? out???? source?????????????? destination
? 623? 211K DROP?????? udp? --? *????? *?????? 192.168.0.135??????? 0.0.0.0/0?????????? udp spt:8094

立即可以看到600多個(gè)包被DROP了

另外我們限制他的TCP 連接也最多只能15個(gè)
iptables -A FORWARD -s 192.168.0.135 -p tcp? -m connlimit --connlimit-above 15 -j DROP

附：

PP軟件的封鎖
阻止對(duì)220.175.8.100 的http訪問, 即TCP/80port -不能搜索；阻止來源于LAN 的所有IP 對(duì)UDP/9090~9099 端囗的所有訪問（不能共享其它PP用戶的文件）；阻止來源于LAN 的所有IP 對(duì)udp/8094 端囗的所有訪問；阻止來源于LAN 的所有IP對(duì)TCP/5354 端囗的所有訪問-不能登錄PP。

結(jié)合time和string來管制BT
BT可透過過濾BT種子進(jìn)行阻絕，由于BT種子文件名稱都為有”.torrent”的字符串，所以我們可以利用這個(gè)功能加以過濾。相關(guān)的設(shè)定為：啟動(dòng)網(wǎng)頁字符串管制，新增輸入要過濾的關(guān)鍵詞”.torrent”即可。時(shí)間管制設(shè)定全部或到某一時(shí)間開始到某一時(shí)間失效。可以使用在非工作時(shí)間失效, 結(jié)合下面的日期, 可以控制在工作天上班時(shí)間禁止訪問帶某些關(guān)鍵詞的網(wǎng)頁,如果要禁止所有時(shí)段,

網(wǎng)絡(luò)上流量最大的20個(gè)端口
?
排名端口號(hào) 服務(wù)名稱
1 4662 Emule、edonkey
2 16881 BitSpirit
3 80 http
4 8094
5 5354 pp點(diǎn)點(diǎn)通、poco
6 7000 傳奇、天驕
7 3077 迅雷
8 2001 聯(lián)眾
9 443 https
10 8000 QQ、中國(guó)游戲中心、上海熱線游戲頻道
11 1007 聯(lián)眾
12 17381
13 22594
14 27005 CS
15 7002 CS1.5
16 27015 CS
17 27016 CS
18 16584
19 10399
20 17130

上一篇：/proc/net/ip_conntrack

下一篇：MySql 基礎(chǔ)

相關(guān)熱門文章

女性需要這樣去口 @交(組圖)...
女性需要這樣去口 @交(組圖)...
女性需要這樣去口 @交(組圖)...
女性需要這樣去口 @交(組圖)...
女性需要這樣去口 @交(組圖)...

linux 常見服務(wù)端口
什么是shell
linux socket的bug??
linux的線程是否受到了保護(hù)？...
一個(gè)適用于windows和linux的抓...

制作jffs2文件系統(tǒng)
make命令詳解
nagios 進(jìn)程突然增多一個(gè)...
第七章進(jìn)程調(diào)度
ubuntu安裝tftp服務(wù)器

給主人留下些什么吧！~~ 評(píng)論熱議

總結(jié)

以上是生活随笔為你收集整理的使用tcpdump找出PP用户的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：手写笔迹还原算法（InkCanvas）
下一篇： CA证书合法性验证