本文中的这些示例均基于Checkpoint防火墙。在其他平台上,输出和

命令选项可能有所不同。

基本的TCPDUMP命令:

  • tcpdump端口257   , <–在防火墙上,这将使您查看日志是否正在从防火墙传递到管理器,以及它们要到达的地址。
  • tcpdump -iWAN.15  <-data-blogger-escaped-capture =“” data-blogger-escaped-everything =“” data-blogger-escaped-interface =“” data-blogger-escaped-li =“” data-blogger-escaped-on =“ ” data-blogger-escaped-this =“”” data-blogger-escaped-to =””>
  • tcpdump -ieth1.16 icmp  <–仅捕获此接口上的PING
  • tcpdump -i MGMT -vvv -s0 -w tcpdumpfile.log   <–这会将FULL数据包捕获到一个对Wireshark有用的文件中-s0停止缩短文件
  • tcpdump -iINT port 67   <– view dhcp requests
  • tcpdump -eP -nni任何主机10.9.4.30 
  • tcpdump -iany  
  • tcpdump -nn

    标志:

  • S – 同步(开始连接)
    。 –未设置标志
    P – PSH(推送数据)
    F – FIN(完成连接)
    R – RST(重置连接)
    “ 确认”表示确认,“ 赢得”表示“滑动窗口”,“ mss”表示“最大段大小”,“ nop”表示“无操作”。
    标志是S(SYN),F(FIN),P(PUSH),R(RST),W(ECN CWR)或E(ECN-Echo)的某种组合,
    或单个“。”(无标记)
    允许选择确认(SackOK):此选项仅表示允许对此连接进行选择确认。在TCP三向握手期间,SackOK必须包含在SYN和SYN / 确认数据包的TCP选项中,否则无法使用。 SackOK不应出现在任何其他数据包中。
    可以在史蒂文的帖子中找到更多解释– “大师班– Tcpdump –解释输出”

    三向握手:

    三向握手只是源主机和目标主机请求连接,然后彼此确认已建立连接。如上所述,要打开会话,客户端需要确定本地源端口和初始序列号(ISN)。 ISN是
    在0到4,294,967,295之间的随机确定的整数。通信主机在连接初始化期间交换ISN。每个主机设置两个计数器:顺序和确认。在单个TCP数据包的上下文中,序列号由发送主机设置,确认号由接收主机设置。
    主机A发送一个TCP 同步将数据包同步到主机B
    主机B收到A的SYN
    主机B发送一个 同步同步确认诺言
    主持人A收到了B的 同步确认
    主机A发送 确认诺言
    主机B收到 确认.
    TCP协议套接字连接已建立。
    tcp三向握手,syn,syn-ack,ack
    TCP协议三向握手(SYN,SYN-ACK,ACK)–有关更多信息,请参见  这个网址:

    命令和输出示例:

    1. ICMP示例

    [[电子邮件 protected] CP1:0]#tcpdump -iMgmt host 172.16.1.53
    tcpdump:禁止详细输出,请使用-v或-vv进行完整协议解码
    在Mgmt上侦听,链接类型EN10MB(以太网),捕获大小为96个字节
    09:37:38.370763 知识产权 10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列3,长度40
    09:37:38.372210 知识产权 172.16.1.53 >10.9.20.14:ICMP回显应答,ID 1,SEQ 3,长度40
    09:37:39.365648 知识产权 10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列4,长度40
    09:37:39.366558 知识产权 172.16.1.53>10.9.200.14:ICMP回显应答,ID 1,SEQ 4,长度40
    09:37:40.363506 知识产权 10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列5,长度40
    09:37:40.364318 知识产权 172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 5,长度40
    09:37:41.361947 知识产权 10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列6,长度40
    09:37:41.362771 知识产权 172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 6,长度40

    [[电子邮件 protected]:0]# tcpdump -v -nn -i Mgmt主机172.16.1.53
    tcpdump:在Mgmt上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    09:38:29.232691 知识产权(tos 0x0,ttl 126,id 5783,偏移量0,标志[无],原型:ICMP(1),长度:60)10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列7,长度40
    09:38:29.233395 知识产权(tos 0x0,ttl 127,id 4146,偏移量0,标志[无],原型:ICMP(1),长度:60)172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 7,长度40
    09:38:30.222653 知识产权(tos 0x0,ttl 126,id 5788,偏移量0,标志[无],原型:ICMP(1),长度:60)10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列8,长度40
    09:38:30.223565 知识产权(tos 0x0,ttl 127,id 4147,偏移量0,标志[无],原型:ICMP(1),长度:60)172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 8,长度40
    09:38:31.220764 知识产权(tos 0x0,ttl 126,id 5791,偏移量0,标志[无],原型:ICMP(1),长度:60)10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列9,长度40
    09:38:31.221607 知识产权(tos 0x0,ttl 127,id 4149,偏移量0,标志[无],原型:ICMP(1),长度:60)172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 9,长度40
    09:38:32.235355 知识产权(tos 0x0,ttl 126,id 5795,偏移量0,标志[无],原型:ICMP(1),长度:60)10.9.20.14>172.16.1.53:ICMP回显请求,id 1,seq 10,长度为40
    09:38:32.236151 知识产权(tos 0x0,ttl 127,id 4152,偏移量0,标志[无],原型:ICMP(1),长度:60)172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 10,长度40

    2. HTTPS示例

    [[电子邮件 protected]:0]# tcpdump -vvv -nn -i eth1-01主机19.26.16.19
    tcpdump:在eth1-01上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    11:39:04.822700 知识产权(tos 0x0,ttl 126,id 7241,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.19.10747>19.26.16.24.443:S,cksum 0xea51(正确),2579834556:2579834556(0)赢得8192  //SYN
    11:39:04.826136 知识产权(tos 0x0,ttl 63,id 0,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.24.443>19.26.16.19.10747:S,cksum 0x99db(正确),487537799:487537799(0)ack 2579834557 Win 5840 // 同步 确认
    11:39:04.826153 知识产权(tos 0x0,ttl 63,id 0,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.24.443>19.26.16.19.10747:S,cksum 0x99db(正确),487537799:487537799(0)ack 2579834557 Win 5840 //此数据包被重复SYN 确认
    11:39:04.826926 知识产权(tos 0x0,ttl 125,id 7242,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.19.10747>10.9.1.25.443:。,cksum 0xd4d0(正确),2579834557:2579834557(0)ack 487537800 赢得 256 //ACK
    11:39:06.883076 知识产权(tos 0x0,ttl 125,id 7243,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb101(正确),0:2(2)ack 1 赢得 256
    11:39:06.883285 知识产权(tos 0x0,ttl 63,id 16050,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf14d(正确),1:1(0)ack 3获胜46
    11:39:07.048713 知识产权(tos 0x0,ttl 125,id 7244,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0ff(正确),2:4(2)ack 1 赢得 256
    11:39:07.048905 知识产权(tos 0x0,ttl 63,id 16051,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf14b(正确),1:1(0)ack 5获胜46
    11:39:07.199352 知识产权(tos 0x0,ttl 125,id 7245,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0fd(正确),4:6(2)ack 1 赢得 256
    11:39:07.199883 知识产权(tos 0x0,ttl 63,id 16052,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf149(正确),1:1(0)ack 7赢得46
    11:39:07.342045 知识产权(tos 0x0,ttl 125,id 7246,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0fb(正确),6:8(2)ack 1赢得256
    11:39:07.342228 知识产权(tos 0x0,ttl 63,id 16053,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf147(正确),1:1(0)ack 9赢得46
    11:39:07.492210 知识产权(tos 0x0,ttl 125,id 7247,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0f9(正确),8:10(2)ack 1 赢得 256
    11:39:07.492407 知识产权(tos 0x0,ttl 63,id 16054,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf145(正确),1:1(0)ack 11赢得46
    11:39:07.634867 知识产权(tos 0x0,ttl 125,id 7248,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0f7(正确),10:12(2)ack 1 赢得 256
    11:39:07.635119 知识产权(tos 0x0,ttl 63,id 16055,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf143(正确),1:1(0)ack 13赢得46
    11:39:07.635269 知识产权(tos 0x0,ttl 63,id 16056,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:F,cksum 0xf142(正确),1:1(0)ack 13获胜46
    11:39:07.635864 知识产权(tos 0x0,ttl 125,id 7249,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.19.10747>10.9.1.25.443:。,cksum 0xbe08(正确),12:12(0)ack 2 赢得 256
    11:39:07.635927 知识产权(tos 0x0,ttl 125,id 7250,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.19.10747>10.9.1.25.443:F,cksum 0xbe07(正确),12:12(0)ack 2赢得256
    11:39:07.636058 知识产权(tos 0x0,ttl 63,id 0,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf141(正确),2:2(0)ack 14 赢得 46


    3. SSH示例




    [[电子邮件 protected]:0]# tcpdump -v -nn -i Mgmt主机172.16.1.53
    tcpdump:在Mgmt上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    09:46:34.443382 知识产权(tos 0x0,ttl 126,id 7173,偏移量0,标志[DF],原型:TCP(6),长度:52)10.9.2.14.50831>172.16.1.53.22:S,cksum 0xac58(正确),3232602545:3232602545(0)赢得8192
    09:46:34.444081 知识产权(tos 0x0,ttl 127,id 6889,偏移量0,标志[DF],原型:TCP(6),长度:52)172.16.1.53.22>10.9.2.14.50831:S,cksum 0xb937(正确),41283738:41283738(0)ack 3232602546赢得8192
    09:46:34.444916 知识产权(tos 0x0,ttl 126,id 7175,偏移量0,标志[DF],原型:TCP(6),长度:40)10.9.2.14.50831>172.16.1.53.22:。,cksum 0x190b(正确),ack 1赢得256
    09:46:34.452567 知识产权(tos 0x0,ttl 127,id 6893,偏移量0,标志[DF],原型:TCP(6),长度:73)172.16.1.53.22>10.9.2.14.50831:P,cksum 0x1960(正确),1:34(33)ack 1 赢得 256
    09:46:34.647359 知识产权(tos 0x0,ttl 126,id 7180,偏移量0,标志[DF],原型:TCP(6),长度:40)10.9.2.14.50831>172.16.1.53.22:。,cksum 0x18ea(正确),ack 34赢得256
    09:46:35.764373 知识产权(tos 0x0,ttl 126,id 7184,偏移量0,标志[DF],原型:TCP(6),长度:41)10.9.2.14.50831>172.16.1.53.22:P,cksum 0x15e1(正确),1:2(1)ack 34 赢得 256
    09:46:35.764610 知识产权(tos 0x0,ttl 128,id 9109,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.22>10.9.2.14.50831:R,cksum 0x19f6(正确),41283772:41283772(0)赢得0


    4. FTP示例


    [[电子邮件 protected]:0]# tcpdump -v -nn -i Mgmt主机172.16.1.53
    tcpdump:在Mgmt上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    09:47:11.477696 知识产权(tos 0x0,ttl 126,id 30923,偏移量0,标志[无],原型:TCP(6),长度:44)10.9.2.14.50864>172.16.1.53.21:S,cksum 0xebe1(正确),2535345973:2535345973(0)赢得32120
    09:47:11.479045 知识产权(tos 0x0,ttl 127,id 6954,偏移量0,标志[DF],原型:TCP(6),长度:44)172.16.1.53.21>10.9.2.14.50864:S,cksum 0x31a2(正确),3764401990:3764401990(0)ack 2535345974 Win 8192
    09:47:11.480173 知识产权(tos 0x0,ttl 126,id 30925,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:。,cksum 0xebe6(正确),ack 1获胜32120
    09:47:11.480858 知识产权(tos 0x0,ttl 127,id 6955,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.21>10.9.2.14.50864:。,cksum 0x695f(正确),ack 1赢得65535
    09:47:11.690070 知识产权(tos 0x0,ttl 127,id 6959,偏移量0,标志[DF],原型:TCP(6),长度:334)172.16.1.53.21>10.9.2.14.50864:P 1:295(294)ack 1胜利65535
    09:47:11.690579 知识产权(tos 0x0,ttl 126,id 30926,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:。,cksum 0xebe6(正确),ack 295赢得31826
    09:47:13.470582 知识产权(tos 0x0,ttl 126,id 30933,偏移量0,标志[无],原型:TCP(6),长度:46)10.9.2.14.50864>172.16.1.53.21:P,cksum 0x02bf(正确),1:7(6)ack 295 赢得 32120
    09:47:13.472164 知识产权(tos 0x0,ttl 127,id 6963,偏移量0,标志[DF],原型:TCP(6),长度:81)172.16.1.53.21>10.9.2.14.50864:P,cksum 0xc94d(正确),295:336(41)ack 7赢65529
    09:47:13.472557 知识产权(tos 0x0,ttl 126,id 30934,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:。,cksum 0xeaba(正确),ACK 336获胜32079
    09:47:13.473093 知识产权(tos 0x0,ttl 127,id 6965,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.21>10.9.2.14.50864:F,cksum 0x680f(正确),336:336(0)ack 7赢65529
    09:47:13.473336 知识产权(tos 0x0,ttl 126,id 30936,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:。,cksum 0xea90(正确),ack 337获胜32120
    09:47:13.489842 知识产权(tos 0x0,ttl 126,id 30939,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:F,cksum 0xea8f(正确),7:7(0)ack 337 赢得 32120
    09:47:13.490369 知识产权(tos 0x0,ttl 127,id 6967,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.21>10.9.2.14.50864:。,cksum 0x680e(正确),ack 8 赢得 65529
    09:47:14.836964 知识产权(tos 0x0,ttl 126,id 19859,偏移量0,标志[DF],原型:TCP(6),长度:112)10.9.16.48.58884>172.16.1.53.445:P 1912308033:1912308105(72)ACK 3052976289赢得258
    09:47:14.836979 知识产权(tos 0x0,ttl 126,id 19860,偏移量0,标志[DF],原型:TCP(6),长度:112)10.9.16.48.58884>172.16.1.53.445:P 72:144(72)ack 1胜利258
    09:47:14.837677 知识产权(tos 0x0,ttl 127,id 6970,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.445>10.9.16.48.58884:。,cksum 0x9ad5(正确),ack 144赢得258
    09:47:14.837693 知识产权(tos 0x0,ttl 127,id 6971,偏移量0,标志[DF],原型:TCP(6),长度:112)172.16.1.53.445>10.9.16.48.58884:P 1:73(72)ack 144获胜258
    09:47:14.837700 知识产权(tos 0x0,ttl 127,id 6972,偏移量0,标志[DF],原型:TCP(6),长度:112)172.16.1.53.445>10.9.16.48.58884:P 73:145(72)ack 144获胜258
    09:47:14.838389 知识产权(tos 0x0,ttl 126,id 19870,偏移量0,标志[DF],原型:TCP(6),长度:40)10.9.16.48.58884>172.16.1.53.445:。,cksum 0x9a46(正确),ack 145 赢得 257
    09:47:14.838843 知识产权(tos 0x0,ttl 126,id 19872,偏移量0,标志[DF],原型:TCP(6),长度:40)10.9.16.48.58884>172.16.1.53.445:R,cksum 0x9b43(正确),144:144(0)ack 145 赢得 0

    5. FTPS示例


    [[电子邮件 protected]:0]# tcpdump -v -n -i eth1-01主机12.25.20.4
    tcpdump:在eth1-01上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    10:59:02.525754 知识产权(tos 0x0,ttl 39,id 26220,偏移量0,标志[无],原型:TCP(6),长度:60)12.25.20.4.62712>19.26.16.5.ftps:S,cksum 0xd8cb(正确),1970824717:1970824717(0)赢得65535
    10:59:02.526420 知识产权(tos 0x0,ttl 127,id 32480,偏移量0,标志[DF],原型:TCP(6),长度:60)19.26.16.5.ftps>12.25.20.4.62712:S,cksum 0xdbb7(正确),2713847003:2713847003(0)ack 1970824718赢8192
    10:59:02.570606 知识产权(tos 0x0,ttl 38,id 26433,偏移量0,标志[无],原型:TCP(6),长度:52)12.25.20.4.62712>12.17.3.59.ftps:。,cksum 0xa43c(正确),ack 2713847004 赢得 4096
    10:59:02.906868 知识产权(tos 0x0,ttl 46,id 22227,偏移量0,标志[无],原型:TCP(6),长度:98)12.25.20.4.62712>12.17.3.59.ftps:P 0:58(58)ack 1 赢得 2047
    10:59:02.908200 知识产权(tos 0x0,ttl 127,id 32486,偏移量0,标志[DF],原型:TCP(6),长度:1476)19.26.16.5.ftps>12.25.20.4.62712 :。 1:1425(1424)ACK 59胜利261
    10:59:02.908216 知识产权(tos 0x0,ttl 127,id 32487,偏移量0,标志[DF],原型:TCP(6),长度:245)19.26.16.5.ftps>12.25.20.4.62712:P 1425:1618(193)ack 59胜利261
    10:59:02.949626 知识产权(tos 0x0,ttl 47,id 2661,偏移量0,标志[无],原型:TCP(6),长度:40)12.25.20.4.62712>12.17.3.59.ftps:。,cksum 0xfe5b(正确),ack 1 赢得 2047
    10:59:02.968018 知识产权(tos 0x0,ttl 46,id 63635,偏移量0,标志[无],原型:TCP(6),长度:366)12.25.20.4.62712>12.17.3.59.ftps:P 58:384(326)ack 1618 赢得 2047
    10:59:02.972322 知识产权(tos 0x0,ttl 46,id 41339,偏移量0,标志[无],原型:TCP(6),长度:40)12.25.20.4.62712>12.17.3.59.ftps:F,cksum 0xf6c3(正确),384:384(0)ack 1618 赢得 2047
    10:59:02.972387 知识产权(tos 0x0,ttl 46,id 33795,偏移量0,标志[无],原型:TCP(6),长度:40)12.25.20.4.62712>12.17.3.59.ftps:。,cksum 0xf6c3(正确),ack 1618 赢得 2047
    10:59:02.972523 知识产权(tos 0x0,ttl 127,id 32489,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.5.ftps>12.25.20.4.62712:。,cksum 0x1e55(正确),ack 386赢得260
    10:59:02.972737 知识产权(tos 0x0,ttl 127,id 32490,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.5.ftps>12.25.20.4.62712:F,cksum 0x1e54(正确),1618:1618(0)ack 386 赢得 260
    10:59:03.015360 知识产权(tos 0x0,ttl 46,id 24500,偏移量0,标志[无],原型:TCP(6),长度:40)12.25.20.4.62712>12.17.3.59.ftps:。,cksum 0xf6c2(正确),ack 1619 赢得 2047

    6. SQL示例 



    [[电子邮件 protected]:0]# tcpdump -ieth1-02.104 host 172.16.1.2
    10:39:52.671997 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:S 3761967874:3761967874(0)赢8192
    10:39:52.673393 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:S 4159880273:4159880273(0)ACK 3761967875赢8192
    10:39:52.673743 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s: 确认 1赢256
    10:39:52.673970 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    10:39:52.674791 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 1:44(43)ack 48赢256
    10:39:52.675230 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 48:151(103)ack 44赢得256
    10:39:52.675570 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 44:661(617)ACK 151赢得256
    10:39:52.676104 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 151:357(206)ACK 661胜利254
    10:39:52.676980 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 661:728(67)ack 357赢得255
    10:39:52.677889 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 357:714(357)ack 728 赢得 253
    10:39:52.680064 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 728:1141(413)ack 714胜利254
    10:39:52.681073 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 714:866(152)ACK 1141赢得252
    10:39:52.681402 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 1141:1510(369)ACK 866胜利253

    有问题的SQL会话:



    [[电子邮件 protected]:0]# tcpdump -ieth1-02.104 host 172.16.1.2
    11:03:28.691563 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:S 3948339855:3948339855(0)赢得8192
    11:03:28.692264 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19451:S 909862134:909862134(0)ACK 3948339856赢得8192
    11:03:28.692795 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s: 确认 1赢256
    11:03:28.693041 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:28.998541 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:29.606984 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:30.808145 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:31.692318 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19451:S 909862134:909862134(0)ACK 3948339856赢得8192
    11:03:31.692610 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s: 确认 1赢256
    11:03:32.025035 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:33.226224 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:35.628622 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:37.690075 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19451:S 909862134:909862134(0)ACK 3948339856胜利65535
    11:03:37.690422 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s: 确认 1赢256
    11:03:40.449096 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:43.681010 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:F 48:48(0)ack 1赢得256                     //Finish packets
    11:03:49.690374 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19451:R 909862135:909862135(0)赢0    //重置数据包


    7.问题Telnet会话



    [[电子邮件 protected]:0]# tcpdump -v -n -i eth1-01主机19.26.16.129
    tcpdump:在eth1-01上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    11:17:59.759390 知识产权(tos 0x0,ttl 126,id 360,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.129.10329>19.26.16.24.telnet:S,cksum 0x8b11(正确),4908502333:4098502333(0)赢得8192
    11:18:02.756485 知识产权(tos 0x0,ttl 126,id 469,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.129.10329>19.26.16.24.telnet:S,cksum 0x8b11(正确),4908502333:4098502333(0)赢得8192
    11:18:08.760662 知识产权(tos 0x0,ttl 126,id 658,偏移量0,标志[DF],原型:TCP(6),长度:48)19.26.16.129.10329>19.26.16.24.telnet:S,cksum 0x9f20(正确),4908502333:4098502333(0)赢得8192

    注意:19.26.16.24发送了三个Sync数据包到19.26.16.129,但是什么也没收到。

    4098502333:4098502333(0)表示正在发送的TCP堆栈将4095032333设置为初始同步号(ISN),并且在此数据包中传递了“ 0”(否)数据。

    通用TCP

    这是与SSH会话相关的输出行。注意 -v 如果没有使用该参数,则不会显示IP标头信息和某些TCP信息。
    22:24:18.910372 知识产权 ( 0×10ttl 64ID  9792抵消 0标志 [东风], 原型 TCP协议 (6)长度 88)
    78.47.105.76.ssh > 82.132.219.219.55495标志 [P.], cks 0xcb29(正确)序列497880562:497880610确认 1593322765赢得 379长度 48
    因此,让我们分解一下各个组成部分(与IP标头相关的位和八位位组);
    • 22:24:18.910372 –数据报的时间戳
    • 知识产权( 0×10ttl 64ID  9792抵消 0标志 [东风], 原型 TCP协议(6)长度 88) –第三层数据报的标头字段和值;
      •  0×10 – 知识产权 TOS值(在当前上下文中,更正确的是DS和ECN字段(8位,第二个八位字节)
      • ttl 64 – 知识产权 TTL值(8位,第9个八位字节)
      • ID  9792 –主要用于识别分段数据报的各个部分;发送的每个数据包(16位,第5和第6个八位位组)加1
      • 抵消 0 –分段偏移,用于分段数据包(第7个和第8个八位位组的13位)
      • 标志 [东风] –设置的任何IP标志; [DF]表示不分段,[MR]表示更多分段(第7个八位位组的3位)
      • 原型 TCP协议(6) –高层(四层)协议及其编号(8位,第十个八位字节)
      • 长度 88 –整个IP数据包长度,包括报头(16位,第3和第4个八位位组)
    • 78.47.105.76.ssh –源IP地址和端口
    • 82.132.219.219.55495 –目的IP地址和端口
    • 标志 [P.] –任何TCP标志;一段时间 '.‘表示ACK
    • cks 0xcb29(正确) –数据包的TCP校验和值
    • 序列 497880562:497880610 – TCP协议数据包的序列号
    • 确认 1593322765 – TCP协议数据包的确认号
    • 赢得 379 –源主机的TCP窗口
    • 长度 48 – TCP协议包长度,包括头

    通用UDP

    奇怪的是人们常常不使用UDP,但我们都使用语音,视频,DNS,DHCP,NTP,VXLAN等。
    这是一些与DNS相关的输出。没有要求 -v;
    22:54:40.769351 知识产权 78.47.105.76.6891 > 213.133.100.100.domain:28642+ AAAA? vps.allenz.eu。 (31)
    回应 -v, 如你看到的, 没有它,则不显示IP标头信息和UDP信息;
    22:47:08.352707 知识产权( 0×0ttl 60ID  1457抵消 0标志 [没有], 原型 UDP协议(17)长度 72)
    213.133.99.99.domain > 78.47.105.76.16165:[udp总和 ] 11711 ServFail问:是吗? 40.1.255.158.bl.tiopan.com。 0/0/0(44)
    因此,让我们分解最后一个的组成部分;
    • 22:47:08.352707 –数据报的时间戳
    • 知识产权 ( 0×0ttl 60ID  1457抵消 0标志 [没有], 原型 UDP协议(17)长度 72) –第三层数据报的标头字段和值;
      •  0×0 – 知识产权 TOS值(在当前上下文中,更正确的是DS和ECN字段(8位,第二个八位字节)
      • ttl 60 – 知识产权 TTL值(8位,第9个八位字节)
      • ID  1457 –主要用于识别分段数据报的各个部分;发送的每个数据包(16位,第5和第6个八位位组)加1
      • 抵消 0 –分段偏移,用于分段数据包(第7个和第8个八位位组的13位)
      • 标志 [没有] –设置的任何IP标志; [DF]表示不分段,[MR]表示更多分段(第7个八位位组的3位)
      • 原型 UDP协议 (17) –高层(四层)协议及其编号(8位,第十个八位字节)
      • 长度 72–整个IP数据包长度,包括报头(16位,第3和第4个八位位组)
    • 213.133.99.99.domain –源IP地址和端口
    • 78.47.105.76.16165 –目的IP地址和端口
    • [udp总和 –数据报的校验和状态
    • 其他所有内容都与DNS应用程序响应有关。

    原始字段注释

    您可以找到协议编号分配的完整列表 这里。您可能还会知道更多。
    • ICMP(1)
    • IGMP(2)
    • GRE(47)
    • ESP(50)
    • VINES(83) 
    • EIGRP(88)
    • ETHERIP(97)
    • OSPF(89)
    • VRRP(112)
    • L2TP (115)
    • SCTP(132) 

    服务端口注意事项

    我相信大家都知道,但是无论如何,有效的端口号是0到65535。如果您想过 IANA分配 (我们都应该对吗?);
    • 0 to 1023 是 reserved for well known applications
    • 1024 to 49151 是 registered (with IANA) ports
    • 49152 to 65535 是 user and 动态端口(又名临时端口或临时端口)

    协议格式

    tcpdump提供了以下协议以及其他协议的数据格式(有关更多信息,请参见下面的Jens注释);
    • ICMP
    • ISAMP
    • ARP
    • NTP
    • 域名解析
    • STP
    • HSRP
    • SNMP协议
    • 半径
    再次感谢Jens:如果您在详细输出的末尾看到“ [| 原型]”,例如“ [| radius]”捕捉长度太小,无法捕获应用程序数据;只是增加它(使用 -s0 参数)以查看完整的应用程序数据信息。
    这里有几个例子;
    ARP:22:45:47.220050 ARP,以太网(len 6),IPv4(len 4),请求谁拥有78.47.108.52告诉78.47.108.49,长度46
    NTP(带有 -v);
    78.47.105.76.ntp>213.239.239.166.ntp:NTPv4,长度48
    客户,飞跃指标: (0),第3层(二级参考),轮询10秒,精度-22
    根延迟:0.020477,根分散:0.056991,参考ID:83.137.98.96
    域名解析: 213.133.99.99.domain>78.47.105.76.16165:[udp sum 好] 11711 ServFail q:A? 40.1.255.158.bl.tiopan.com。 0/0/0(44)

    Here 是 some Tcpdump Scenarios from 与tcpdump建立连接,第二部分

    方案1:建立Telnet连接

    使用tcpdump,我们可以分析建立和终止TCP / 知识产权连接的PDU。 TCP协议使用一种特殊的机制来打开和关闭连接。下面的tcpdump输出显示主机192.168.2.10和192.168.2.165之间不同连接方案的数据。以下tcpdump命令和选项用于生成输出:
    #tcpdump -nn host 192.168.2.165 and port 23
    在检查输出之前,我们先绕道而过,简要了解一下TCP / 知识产权连接管理。这个小弯路将为刚接触规程的个人提供帮助。为了保证可靠的连接(启动和关闭),TCP使用一种交换三个消息的方法。该过程称为三向握手。要启动连接:
    • 请求主机在TCP段中发送同步标志(SYN)以创建连接。
    • 接收方主机192.168.2.165接收SYN标志并返回确认标志(ACK)。
    • 发出请求的主机192.168.2.10收到SYN标志并返回其自己的ACK标志。
    类似的握手过程用于使用完成标志(FIN)关闭连接。
    为了建立连接,发送主机创建一个段,其中包含要连接的主机的IP地址和端口号。该段包含一个SYN标志和发送主机的初始序列号。数据在发送之前被分段。序列号允许段以正确的顺序组装。
    20:06:32.845356 192.168.2.10.1249 > 192.168.2.165.23:
    S 3263977215:3263977215(0) 赢得 16384 (DF)
    接收主机以其自己的SYN标志及其初始序列号进行响应。该段还包含一个ACK标志,以确认发送主机的SYN(段3263977215 +1)。这种类型的确认称为预期确认,因为接收方会确认其预期接收的下一个段的序列号。
    20:06:32.845725 192.168.2.165.23 > 192.168.2.10.1249: S
    48495364:48495364(0) 确认 3263977216 赢得 32120
    (DF)
    发送主机通过发送另一个包含的段来确认接收主机的SYN标志。和ACK标志。
    20:06:32.845921 192.168.2.10.1249 > 192.168.2.165.23: . 确认 1 赢得 17520
    (DF)
    到目前为止,已经看到两个标志S和.。一共有五个。
    • S:SYN(同步序列号–连接建立)
    • F:FIN(发送方发送结束-连接终止)
    • R:RST(重置连接)
    • P:PSH(推送数据)
    • 。:(未设置标志)

    方案2:关闭Telnet连接

    要终止连接,包含FIN标志的网段将从主机192.168.2.165发送回具有打开会话的主机。
    20:07:32.916410 192.168.2.165.23 > 192.168.2.10.1249: F 147:147(0) 确认
    56 赢得 32120 (DF)
    这可能会倒退,但请相信我,不是。考虑一下会话在何处打开-这就是要求关闭连接的关键所在。主机192.168.2.10确认FIN段。
    20:07:32.916680 192.168.2.10.1249 > 192.168.2.165.23: . 确认 148 赢得
    17374 (DF)
    然后,主机192.168.2.10通过发送包含FIN标志的段来终止其连接。
    20:07:32.928907 192.168.2.10.1249 > 192.168.2.165.23: F 56:56(0) 确认 148
    赢得 17374 (DF)
    主机192.168.2.165确认该网段。
    20:07:32.929121 192.168.2.165.23 > 192.168.2.10.1249: . 确认 57 赢得 32120
    (DF)
    方案3:Telnet连接被拒绝(主机未提供服务)
    要建立连接,主机192.168.2.10发送一个包含其要连接的主机的IP地址和端口号的网段。该段包含一个SYN标志和发送主机的初始序列号。
    05:28:00.080798 192.168.2.10.1063 > 192.168.2.165.23:
    S 3034008467:3034008467(0) 赢得 16384 (DF)
    主机192.168.2.165通过发送包含R(连接重置)和ACK标志的另一个段来确认来自主机192.168.2.10的SYN。
    05:28:00.080979 192.168.2.165.23 > 192.168.2.10.1063: R 0:0(0)
    确认 3034008468 赢得 0
    主持人不会拒绝,然后重试。
    05:28:00.579420 192.168.2.10.1063 > 192.168.2.165.23: S
    3034008467:3034008467(0) 赢得 16384 (DF)
    但是它从接收主机接收到相同的结果。
    05:28:00.579524 192.168.2.165.23 > 192.168.2.10.1063: R 0:0(0) 确认 1 赢得
    0
    最后尝试建立连接。
    05:28:01.080114 192.168.2.10.1063 &glt; 192.168.2.165.23: S
    3034008467:3034008467(0) 赢得 16384 (DF)
    在这场球赛中只有三击。发送主机放弃。
    05:28:01.080225 192.168.2.165.23 > 192.168.2.10.1063: R 0:0(0) 确认 1 赢得
    0
    比较“建立Telnet连接”方案和“ Telnet连接拒绝”方案的输出。接收主机的输出是不同的。对于Telnet连接拒绝方案,使用/etc/inetd.conf文件在接收主机上关闭了Telnet服务。如果该服务不可用,则无法建立连接。请注意:简单的安全措施会关闭未使用的服务。

    方案3:拒绝Telnet连接(主机使用的TCP包装器安全性)

    与以前相同的开口用于建立连接。
    05:40:39.838710 192.168.2.10.1064 > 192.168.2.165.23: S
    3223709294:3223709294(0) 赢得 16384 (DF)
    接收主机以其自己的SYN标志及其初始序列号进行响应。该段还包含一个ACK标志,以确认发送主机SYN(段3223709294 +1)。
    05:40:39.839045 192.168.2.165.23 > 192.168.2.10.1064: S
    063202536:2063202536(0) 确认 3223709295 赢得 32120 1460,nop,nop,sackOK> (DF)
    主机192.168.2.10通过发送另一个包含的段来确认来自主机192.168.2.165的SYN。和ACK标志。
    05:40:39.839295 192.168.2.10.1064 > 192.168.2.165.23: . 确认 1 赢得 17520
    (DF)
    主机192.168.2.165响应包含FIN标志的网段-连接终止。有人告诉接收主机不允许连接。
    05:40:44.852844 192.168.2.165.23 > 192.168.2.10.1064:
    F 1:1(0) 确认 1 赢得 32120 (DF)
    主机192.168.2.10具有未设置标志的第二次确认。
    05:40:44.853137 192.168.2.10.1064 > 192.168.2.165.23: . 确认 2 赢得 17520
    (DF)
    因为收到了FIN标志段,所以必须终止连接。因此主机192.168.2.10发送FIN标志来终止连接。
    05:40:44.855050 192.168.2.10.1064 > 192.168.2.165.23: F 1:1(0) 确认 2 赢得
    17520 (DF)
    主机192.168.2.165响应以段确认。
    05:40:44.855176 192.168.2.165.23 > 192.168.2.10.1064: . 确认 2 赢得 32120
    (DF)
    比较“建立Telnet连接”方案和“ Telnet连接拒绝(tcp包装)”方案的输出。接收主机的输出是不同的。在“ Telnet连接拒绝”(tcp包装器)方案中,通过将以下行添加到/etc/hosts.deny文件来启用tcp包装器: 全部:192.168.2.10。这意味着“拒绝对该地址为192.168.2.10的主机的所有服务”。使用iptables防火墙中的规则进行了类似的连接测试。结果输出是相同的。
    读者可以从tcpdump的陷阱中了解系统如何处于危险之中。在可能发生系统骇客之前,需要花费一些精力来设计这种骇客。检查系统中的数据可以为黑客提供一些洞察力,让他们了解在哪些地方努力可以提供最大的成功机会。

    方案4:无Telnet连接(从网络中删除主机)

    相同的开头,不同的场景。
    05:55:21.557846 192.168.2.10.1065 > 192.168.2.165.23: S
    3443876657:3443876657(0) 赢得 16384 (DF)
    没有响应,因此发送主机再次尝试相同的请求。
    05:55:24.560891 192.168.2.10.1065 > 192.168.2.165.23: S
    3443876657:3443876657(0) 赢得 16384 (DF)
    由于第三次尝试仍无反应,三击规则开始生效。发送主机放弃连接尝试。
    05:55:30.569584 192.168.2.10.1065 > 192.168.2.165.23: S
    3443876657:3443876657(0) 赢得 16384 (DF)

    参考:

    通过 约翰

    发表评论 取消回复