信息安全备忘录

学习&共享InfoSec知识

网络

了解TCPDUMP输出

通过约翰

2014年7月24日

本文中的这些示例均基于Checkpoint防火墙。在其他平台上,输出和

命令选项可能有所不同。

基本的TCPDUMP命令:

  • tcpdump端口257   , <–在防火墙上,这将使您查看日志是否正在从防火墙传递到管理器,以及它们要到达的地址。
  • tcpdump -iWAN.15  <-data-blogger-escaped-capture =“” data-blogger-escaped-everything =“” data-blogger-escaped-interface =“” data-blogger-escaped-li =“” data-blogger-escaped-on =“ ” data-blogger-escaped-this =“”” data-blogger-escaped-to =””>
  • tcpdump -ieth1.16 icmp  <–仅捕获此接口上的PING
  • tcpdump -i MGMT -vvv -s0 -w tcpdumpfile.log   <–这会将FULL数据包捕获到一个对Wireshark有用的文件中-s0停止缩短文件
  • tcpdump -iINT port 67   <– view dhcp requests
  • tcpdump -eP -nni任何主机10.9.4.30 
  • tcpdump -iany  
  • tcpdump -nn

    标志:

    • S – 同步(开始连接)
    。 –未设置标志
    P – PSH(推送数据)
    F – FIN(完成连接)
    R – RST(重置连接)
    “ 确认”表示确认,“ 赢得”表示“滑动窗口”,“ mss”表示“最大段大小”,“ nop”表示“无操作”。
    标志是S(SYN),F(FIN),P(PUSH),R(RST),W(ECN CWR)或E(ECN-Echo)的某种组合,
    或单个“。”(无标记)
    允许选择确认(SackOK):此选项仅表示允许对此连接进行选择确认。在TCP三向握手期间,SackOK必须包含在SYN和SYN / 确认数据包的TCP选项中,否则无法使用。 SackOK不应出现在任何其他数据包中。
    可以在史蒂文的帖子中找到更多解释– “大师班– Tcpdump –解释输出”

    三向握手:

    三向握手只是源主机和目标主机请求连接,然后彼此确认已建立连接。如上所述,要打开会话,客户端需要确定本地源端口和初始序列号(ISN)。 ISN是
    在0到4,294,967,295之间的随机确定的整数。通信主机在连接初始化期间交换ISN。每个主机设置两个计数器:顺序和确认。在单个TCP数据包的上下文中,序列号由发送主机设置,确认号由接收主机设置。
    主机A发送一个TCP 同步将数据包同步到主机B
    主机B收到A的SYN
    主机B发送一个 同步同步确认诺言
    主持人A收到了B的 同步确认
    主机A发送 确认诺言
    主机B收到 确认.
    TCP协议套接字连接已建立。
    tcp三向握手,syn,syn-ack,ack
    TCP协议三向握手(SYN,SYN-ACK,ACK)–有关更多信息,请参见  这个网址:

    命令和输出示例:

    1. ICMP示例

    [[电子邮件 protected] CP1:0]#tcpdump -iMgmt host 172.16.1.53
    tcpdump:禁止详细输出,请使用-v或-vv进行完整协议解码
    在Mgmt上侦听,链接类型EN10MB(以太网),捕获大小为96个字节
    09:37:38.370763 知识产权 10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列3,长度40
    09:37:38.372210 知识产权 172.16.1.53 >10.9.20.14:ICMP回显应答,ID 1,SEQ 3,长度40
    09:37:39.365648 知识产权 10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列4,长度40
    09:37:39.366558 知识产权 172.16.1.53>10.9.200.14:ICMP回显应答,ID 1,SEQ 4,长度40
    09:37:40.363506 知识产权 10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列5,长度40
    09:37:40.364318 知识产权 172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 5,长度40
    09:37:41.361947 知识产权 10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列6,长度40
    09:37:41.362771 知识产权 172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 6,长度40

    [[电子邮件 protected]:0]# tcpdump -v -nn -i Mgmt主机172.16.1.53
    tcpdump:在Mgmt上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    09:38:29.232691 知识产权(tos 0x0,ttl 126,id 5783,偏移量0,标志[无],原型:ICMP(1),长度:60)10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列7,长度40
    09:38:29.233395 知识产权(tos 0x0,ttl 127,id 4146,偏移量0,标志[无],原型:ICMP(1),长度:60)172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 7,长度40
    09:38:30.222653 知识产权(tos 0x0,ttl 126,id 5788,偏移量0,标志[无],原型:ICMP(1),长度:60)10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列8,长度40
    09:38:30.223565 知识产权(tos 0x0,ttl 127,id 4147,偏移量0,标志[无],原型:ICMP(1),长度:60)172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 8,长度40
    09:38:31.220764 知识产权(tos 0x0,ttl 126,id 5791,偏移量0,标志[无],原型:ICMP(1),长度:60)10.9.20.14>172.16.1.53:ICMP回显请求,标识1,序列9,长度40
    09:38:31.221607 知识产权(tos 0x0,ttl 127,id 4149,偏移量0,标志[无],原型:ICMP(1),长度:60)172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 9,长度40
    09:38:32.235355 知识产权(tos 0x0,ttl 126,id 5795,偏移量0,标志[无],原型:ICMP(1),长度:60)10.9.20.14>172.16.1.53:ICMP回显请求,id 1,seq 10,长度为40
    09:38:32.236151 知识产权(tos 0x0,ttl 127,id 4152,偏移量0,标志[无],原型:ICMP(1),长度:60)172.16.1.53>10.9.20.14:ICMP回显应答,ID 1,SEQ 10,长度40

    2. HTTPS示例

    [[电子邮件 protected]:0]# tcpdump -vvv -nn -i eth1-01主机19.26.16.19
    tcpdump:在eth1-01上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    11:39:04.822700 知识产权(tos 0x0,ttl 126,id 7241,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.19.10747>19.26.16.24.443:S,cksum 0xea51(正确),2579834556:2579834556(0)赢得8192  //SYN
    11:39:04.826136 知识产权(tos 0x0,ttl 63,id 0,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.24.443>19.26.16.19.10747:S,cksum 0x99db(正确),487537799:487537799(0)ack 2579834557 Win 5840 // 同步 确认
    11:39:04.826153 知识产权(tos 0x0,ttl 63,id 0,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.24.443>19.26.16.19.10747:S,cksum 0x99db(正确),487537799:487537799(0)ack 2579834557 Win 5840 //此数据包被重复SYN 确认
    11:39:04.826926 知识产权(tos 0x0,ttl 125,id 7242,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.19.10747>10.9.1.25.443:。,cksum 0xd4d0(正确),2579834557:2579834557(0)ack 487537800 赢得 256 //ACK
    11:39:06.883076 知识产权(tos 0x0,ttl 125,id 7243,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb101(正确),0:2(2)ack 1 赢得 256
    11:39:06.883285 知识产权(tos 0x0,ttl 63,id 16050,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf14d(正确),1:1(0)ack 3获胜46
    11:39:07.048713 知识产权(tos 0x0,ttl 125,id 7244,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0ff(正确),2:4(2)ack 1 赢得 256
    11:39:07.048905 知识产权(tos 0x0,ttl 63,id 16051,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf14b(正确),1:1(0)ack 5获胜46
    11:39:07.199352 知识产权(tos 0x0,ttl 125,id 7245,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0fd(正确),4:6(2)ack 1 赢得 256
    11:39:07.199883 知识产权(tos 0x0,ttl 63,id 16052,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf149(正确),1:1(0)ack 7赢得46
    11:39:07.342045 知识产权(tos 0x0,ttl 125,id 7246,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0fb(正确),6:8(2)ack 1赢得256
    11:39:07.342228 知识产权(tos 0x0,ttl 63,id 16053,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf147(正确),1:1(0)ack 9赢得46
    11:39:07.492210 知识产权(tos 0x0,ttl 125,id 7247,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0f9(正确),8:10(2)ack 1 赢得 256
    11:39:07.492407 知识产权(tos 0x0,ttl 63,id 16054,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf145(正确),1:1(0)ack 11赢得46
    11:39:07.634867 知识产权(tos 0x0,ttl 125,id 7248,偏移量0,标志[DF],原型:TCP(6),长度:42)19.26.16.19.10747>10.9.1.25.443:P,cksum 0xb0f7(正确),10:12(2)ack 1 赢得 256
    11:39:07.635119 知识产权(tos 0x0,ttl 63,id 16055,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf143(正确),1:1(0)ack 13赢得46
    11:39:07.635269 知识产权(tos 0x0,ttl 63,id 16056,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:F,cksum 0xf142(正确),1:1(0)ack 13获胜46
    11:39:07.635864 知识产权(tos 0x0,ttl 125,id 7249,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.19.10747>10.9.1.25.443:。,cksum 0xbe08(正确),12:12(0)ack 2 赢得 256
    11:39:07.635927 知识产权(tos 0x0,ttl 125,id 7250,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.19.10747>10.9.1.25.443:F,cksum 0xbe07(正确),12:12(0)ack 2赢得256
    11:39:07.636058 知识产权(tos 0x0,ttl 63,id 0,偏移量0,标志[DF],原型:TCP(6),长度:40)19.26.16.24.443>19.26.16.19.10747:。,cksum 0xf141(正确),2:2(0)ack 14 赢得 46

    3. SSH示例




    [[电子邮件 protected]:0]# tcpdump -v -nn -i Mgmt主机172.16.1.53
    tcpdump:在Mgmt上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    09:46:34.443382 知识产权(tos 0x0,ttl 126,id 7173,偏移量0,标志[DF],原型:TCP(6),长度:52)10.9.2.14.50831>172.16.1.53.22:S,cksum 0xac58(正确),3232602545:3232602545(0)赢得8192
    09:46:34.444081 知识产权(tos 0x0,ttl 127,id 6889,偏移量0,标志[DF],原型:TCP(6),长度:52)172.16.1.53.22>10.9.2.14.50831:S,cksum 0xb937(正确),41283738:41283738(0)ack 3232602546赢得8192
    09:46:34.444916 知识产权(tos 0x0,ttl 126,id 7175,偏移量0,标志[DF],原型:TCP(6),长度:40)10.9.2.14.50831>172.16.1.53.22:。,cksum 0x190b(正确),ack 1赢得256
    09:46:34.452567 知识产权(tos 0x0,ttl 127,id 6893,偏移量0,标志[DF],原型:TCP(6),长度:73)172.16.1.53.22>10.9.2.14.50831:P,cksum 0x1960(正确),1:34(33)ack 1 赢得 256
    09:46:34.647359 知识产权(tos 0x0,ttl 126,id 7180,偏移量0,标志[DF],原型:TCP(6),长度:40)10.9.2.14.50831>172.16.1.53.22:。,cksum 0x18ea(正确),ack 34赢得256
    09:46:35.764373 知识产权(tos 0x0,ttl 126,id 7184,偏移量0,标志[DF],原型:TCP(6),长度:41)10.9.2.14.50831>172.16.1.53.22:P,cksum 0x15e1(正确),1:2(1)ack 34 赢得 256
    09:46:35.764610 知识产权(tos 0x0,ttl 128,id 9109,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.22>10.9.2.14.50831:R,cksum 0x19f6(正确),41283772:41283772(0)赢得0

    4. FTP示例


    [[电子邮件 protected]:0]# tcpdump -v -nn -i Mgmt主机172.16.1.53
    tcpdump:在Mgmt上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    09:47:11.477696 知识产权(tos 0x0,ttl 126,id 30923,偏移量0,标志[无],原型:TCP(6),长度:44)10.9.2.14.50864>172.16.1.53.21:S,cksum 0xebe1(正确),2535345973:2535345973(0)赢得32120
    09:47:11.479045 知识产权(tos 0x0,ttl 127,id 6954,偏移量0,标志[DF],原型:TCP(6),长度:44)172.16.1.53.21>10.9.2.14.50864:S,cksum 0x31a2(正确),3764401990:3764401990(0)ack 2535345974 Win 8192
    09:47:11.480173 知识产权(tos 0x0,ttl 126,id 30925,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:。,cksum 0xebe6(正确),ack 1获胜32120
    09:47:11.480858 知识产权(tos 0x0,ttl 127,id 6955,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.21>10.9.2.14.50864:。,cksum 0x695f(正确),ack 1赢得65535
    09:47:11.690070 知识产权(tos 0x0,ttl 127,id 6959,偏移量0,标志[DF],原型:TCP(6),长度:334)172.16.1.53.21>10.9.2.14.50864:P 1:295(294)ack 1胜利65535
    09:47:11.690579 知识产权(tos 0x0,ttl 126,id 30926,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:。,cksum 0xebe6(正确),ack 295赢得31826
    09:47:13.470582 知识产权(tos 0x0,ttl 126,id 30933,偏移量0,标志[无],原型:TCP(6),长度:46)10.9.2.14.50864>172.16.1.53.21:P,cksum 0x02bf(正确),1:7(6)ack 295 赢得 32120
    09:47:13.472164 知识产权(tos 0x0,ttl 127,id 6963,偏移量0,标志[DF],原型:TCP(6),长度:81)172.16.1.53.21>10.9.2.14.50864:P,cksum 0xc94d(正确),295:336(41)ack 7赢65529
    09:47:13.472557 知识产权(tos 0x0,ttl 126,id 30934,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:。,cksum 0xeaba(正确),ACK 336获胜32079
    09:47:13.473093 知识产权(tos 0x0,ttl 127,id 6965,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.21>10.9.2.14.50864:F,cksum 0x680f(正确),336:336(0)ack 7赢65529
    09:47:13.473336 知识产权(tos 0x0,ttl 126,id 30936,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:。,cksum 0xea90(正确),ack 337获胜32120
    09:47:13.489842 知识产权(tos 0x0,ttl 126,id 30939,偏移量0,标志[无],原型:TCP(6),长度:40)10.9.2.14.50864>172.16.1.53.21:F,cksum 0xea8f(正确),7:7(0)ack 337 赢得 32120
    09:47:13.490369 知识产权(tos 0x0,ttl 127,id 6967,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.21>10.9.2.14.50864:。,cksum 0x680e(正确),ack 8 赢得 65529
    09:47:14.836964 知识产权(tos 0x0,ttl 126,id 19859,偏移量0,标志[DF],原型:TCP(6),长度:112)10.9.16.48.58884>172.16.1.53.445:P 1912308033:1912308105(72)ACK 3052976289赢得258
    09:47:14.836979 知识产权(tos 0x0,ttl 126,id 19860,偏移量0,标志[DF],原型:TCP(6),长度:112)10.9.16.48.58884>172.16.1.53.445:P 72:144(72)ack 1胜利258
    09:47:14.837677 知识产权(tos 0x0,ttl 127,id 6970,偏移量0,标志[DF],原型:TCP(6),长度:40)172.16.1.53.445>10.9.16.48.58884:。,cksum 0x9ad5(正确),ack 144赢得258
    09:47:14.837693 知识产权(tos 0x0,ttl 127,id 6971,偏移量0,标志[DF],原型:TCP(6),长度:112)172.16.1.53.445>10.9.16.48.58884:P 1:73(72)ack 144获胜258
    09:47:14.837700 知识产权(tos 0x0,ttl 127,id 6972,偏移量0,标志[DF],原型:TCP(6),长度:112)172.16.1.53.445>10.9.16.48.58884:P 73:145(72)ack 144获胜258
    09:47:14.838389 知识产权(tos 0x0,ttl 126,id 19870,偏移量0,标志[DF],原型:TCP(6),长度:40)10.9.16.48.58884>172.16.1.53.445:。,cksum 0x9a46(正确),ack 145 赢得 257
    09:47:14.838843 知识产权(tos 0x0,ttl 126,id 19872,偏移量0,标志[DF],原型:TCP(6),长度:40)10.9.16.48.58884>172.16.1.53.445:R,cksum 0x9b43(正确),144:144(0)ack 145 赢得 0

    5. FTPS示例


    [[电子邮件 protected]:0]# tcpdump -v -n -i eth1-01主机12.25.20.4
    tcpdump:在eth1-01上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    10:59:02.525754 知识产权(tos 0x0,ttl 39,id 26220,偏移量0,标志[无],原型:TCP(6),长度:60)12.25.20.4.62712>19.26.16.5.ftps:S,cksum 0xd8cb(正确),1970824717:1970824717(0)赢得65535
    10:59:02.526420 知识产权(tos 0x0,ttl 127,id 32480,偏移量0,标志[DF],原型:TCP(6),长度:60)19.26.16.5.ftps>12.25.20.4.62712:S,cksum 0xdbb7(正确),2713847003:2713847003(0)ack 1970824718赢8192
    10:59:02.570606 知识产权(tos 0x0,ttl 38,id 26433,偏移量0,标志[无],原型:TCP(6),长度:52)12.25.20.4.62712>12.17.3.59.ftps:。,cksum 0xa43c(正确),ack 2713847004 赢得 4096
    10:59:02.906868 知识产权(tos 0x0,ttl 46,id 22227,偏移量0,标志[无],原型:TCP(6),长度:98)12.25.20.4.62712>12.17.3.59.ftps:P 0:58(58)ack 1 赢得 2047
    10:59:02.908200 知识产权(tos 0x0,ttl 127,id 32486,偏移量0,标志[DF],原型:TCP(6),长度:1476)19.26.16.5.ftps>12.25.20.4.62712 :。 1:1425(1424)ACK 59胜利261
    10:59:02.908216 知识产权(tos 0x0,ttl 127,id 32487,偏移量0,标志[DF],原型:TCP(6),长度:245)19.26.16.5.ftps>12.25.20.4.62712:P 1425:1618(193)ack 59胜利261
    10:59:02.949626 知识产权(tos 0x0,ttl 47,id 2661,偏移量0,标志[无],原型:TCP(6),长度:40)12.25.20.4.62712>12.17.3.59.ftps:。,cksum 0xfe5b(正确),ack 1 赢得 2047
    10:59:02.968018 知识产权(tos 0x0,ttl 46,id 63635,偏移量0,标志[无],原型:TCP(6),长度:366)12.25.20.4.62712>12.17.3.59.ftps:P 58:384(326)ack 1618 赢得 2047
    10:59:02.972322 知识产权(tos 0x0,ttl 46,id 41339,偏移量0,标志[无],原型:TCP(6),长度:40)12.25.20.4.62712>12.17.3.59.ftps:F,cksum 0xf6c3(正确),384:384(0)ack 1618 赢得 2047
    10:59:02.972387 知识产权(tos 0x0,ttl 46,id 33795,偏移量0,标志[无],原型:TCP(6),长度:40)12.25.20.4.62712>12.17.3.59.ftps:。,cksum 0xf6c3(正确),ack 1618 赢得 2047
    10:59:02.972523 知识产权(tos 0x0,ttl 127,id 32489,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.5.ftps>12.25.20.4.62712:。,cksum 0x1e55(正确),ack 386赢得260
    10:59:02.972737 知识产权(tos 0x0,ttl 127,id 32490,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.5.ftps>12.25.20.4.62712:F,cksum 0x1e54(正确),1618:1618(0)ack 386 赢得 260
    10:59:03.015360 知识产权(tos 0x0,ttl 46,id 24500,偏移量0,标志[无],原型:TCP(6),长度:40)12.25.20.4.62712>12.17.3.59.ftps:。,cksum 0xf6c2(正确),ack 1619 赢得 2047

    6. SQL示例 



    [[电子邮件 protected]:0]# tcpdump -ieth1-02.104 host 172.16.1.2
    10:39:52.671997 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:S 3761967874:3761967874(0)赢8192
    10:39:52.673393 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:S 4159880273:4159880273(0)ACK 3761967875赢8192
    10:39:52.673743 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s: 确认 1赢256
    10:39:52.673970 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    10:39:52.674791 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 1:44(43)ack 48赢256
    10:39:52.675230 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 48:151(103)ack 44赢得256
    10:39:52.675570 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 44:661(617)ACK 151赢得256
    10:39:52.676104 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 151:357(206)ACK 661胜利254
    10:39:52.676980 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 661:728(67)ack 357赢得255
    10:39:52.677889 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 357:714(357)ack 728 赢得 253
    10:39:52.680064 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 728:1141(413)ack 714胜利254
    10:39:52.681073 知识产权 172.16.1.2.19209>10.9.10.252.ms-sql-s:P 714:866(152)ACK 1141赢得252
    10:39:52.681402 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19209:P 1141:1510(369)ACK 866胜利253

    有问题的SQL会话:



    [[电子邮件 protected]:0]# tcpdump -ieth1-02.104 host 172.16.1.2
    11:03:28.691563 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:S 3948339855:3948339855(0)赢得8192
    11:03:28.692264 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19451:S 909862134:909862134(0)ACK 3948339856赢得8192
    11:03:28.692795 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s: 确认 1赢256
    11:03:28.693041 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:28.998541 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:29.606984 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:30.808145 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:31.692318 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19451:S 909862134:909862134(0)ACK 3948339856赢得8192
    11:03:31.692610 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s: 确认 1赢256
    11:03:32.025035 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:33.226224 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:35.628622 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:37.690075 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19451:S 909862134:909862134(0)ACK 3948339856胜利65535
    11:03:37.690422 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s: 确认 1赢256
    11:03:40.449096 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:P 1:48(47)ack 1赢得256
    11:03:43.681010 知识产权 172.16.1.2.19451>10.9.10.252.ms-sql-s:F 48:48(0)ack 1赢得256                     //Finish packets
    11:03:49.690374 知识产权 10.9.10.252.ms-sql-s>172.16.1.2.19451:R 909862135:909862135(0)赢0    //重置数据包

    7.问题Telnet会话



    [[电子邮件 protected]:0]# tcpdump -v -n -i eth1-01主机19.26.16.129
    tcpdump:在eth1-01上侦听,链接类型为EN10MB(以太网),捕获大小为96个字节
    11:17:59.759390 知识产权(tos 0x0,ttl 126,id 360,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.129.10329>19.26.16.24.telnet:S,cksum 0x8b11(正确),4908502333:4098502333(0)赢得8192
    11:18:02.756485 知识产权(tos 0x0,ttl 126,id 469,偏移量0,标志[DF],原型:TCP(6),长度:52)19.26.16.129.10329>19.26.16.24.telnet:S,cksum 0x8b11(正确),4908502333:4098502333(0)赢得8192
    11:18:08.760662 知识产权(tos 0x0,ttl 126,id 658,偏移量0,标志[DF],原型:TCP(6),长度:48)19.26.16.129.10329>19.26.16.24.telnet:S,cksum 0x9f20(正确),4908502333:4098502333(0)赢得8192

    注意:19.26.16.24发送了三个Sync数据包到19.26.16.129,但是什么也没收到。

    4098502333:4098502333(0)表示正在发送的TCP堆栈将4095032333设置为初始同步号(ISN),并且在此数据包中传递了“ 0”(否)数据。

    通用TCP

    这是与SSH会话相关的输出行。注意 -v 如果没有使用该参数,则不会显示IP标头信息和某些TCP信息。
    22:24:18.910372 知识产权 ( 0×10ttl 64ID  9792抵消 0标志 [东风], 原型 TCP协议 (6)长度 88)
    78.47.105.76.ssh > 82.132.219.219.55495标志 [P.], cks 0xcb29(正确)序列497880562:497880610确认 1593322765赢得 379长度 48
    因此,让我们分解一下各个组成部分(与IP标头相关的位和八位位组);
    • 22:24:18.910372 –数据报的时间戳
    • 知识产权( 0×10ttl 64ID  9792抵消 0标志 [东风], 原型 TCP协议(6)长度 88) –第三层数据报的标头字段和值;
      •  0×10 – 知识产权 TOS值(在当前上下文中,更正确的是DS和ECN字段(8位,第二个八位字节)
      • ttl 64 – 知识产权 TTL值(8位,第9个八位字节)
      • ID  9792 –主要用于识别分段数据报的各个部分;发送的每个数据包(16位,第5和第6个八位位组)加1
      • 抵消 0 –分段偏移,用于分段数据包(第7个和第8个八位位组的13位)
      • 标志 [东风] –设置的任何IP标志; [DF]表示不分段,[MR]表示更多分段(第7个八位位组的3位)
      • 原型 TCP协议(6) –高层(四层)协议及其编号(8位,第十个八位字节)
      • 长度 88 –整个IP数据包长度,包括报头(16位,第3和第4个八位位组)
    • 78.47.105.76.ssh –源IP地址和端口
    • 82.132.219.219.55495 –目的IP地址和端口
    • 标志 [P.] –任何TCP标志;一段时间 '.‘表示ACK
    • cks 0xcb29(正确) –数据包的TCP校验和值
    • 序列 497880562:497880610 – TCP协议数据包的序列号
    • 确认 1593322765 – TCP协议数据包的确认号
    • 赢得 379 –源主机的TCP窗口
    • 长度 48 – TCP协议包长度,包括头

    通用UDP

    奇怪的是人们常常不使用UDP,但我们都使用语音,视频,DNS,DHCP,NTP,VXLAN等。
    这是一些与DNS相关的输出。没有要求 -v;
    22:54:40.769351 知识产权 78.47.105.76.6891 > 213.133.100.100.domain:28642+ AAAA? vps.allenz.eu。 (31)
    回应 -v, 如你看到的, 没有它,则不显示IP标头信息和UDP信息;
    22:47:08.352707 知识产权( 0×0ttl 60ID  1457抵消 0标志 [没有], 原型 UDP协议(17)长度 72)
    213.133.99.99.domain > 78.47.105.76.16165:[udp总和 ] 11711 ServFail问:是吗? 40.1.255.158.bl.tiopan.com。 0/0/0(44)
    因此,让我们分解最后一个的组成部分;
    • 22:47:08.352707 –数据报的时间戳
    • 知识产权 ( 0×0ttl 60ID  1457抵消 0标志 [没有], 原型 UDP协议(17)长度 72) –第三层数据报的标头字段和值;
      •  0×0 – 知识产权 TOS值(在当前上下文中,更正确的是DS和ECN字段(8位,第二个八位字节)
      • ttl 60 – 知识产权 TTL值(8位,第9个八位字节)
      • ID  1457 –主要用于识别分段数据报的各个部分;发送的每个数据包(16位,第5和第6个八位位组)加1
      • 抵消 0 –分段偏移,用于分段数据包(第7个和第8个八位位组的13位)
      • 标志 [没有] –设置的任何IP标志; [DF]表示不分段,[MR]表示更多分段(第7个八位位组的3位)
      • 原型 UDP协议 (17) –高层(四层)协议及其编号(8位,第十个八位字节)
      • 长度 72–整个IP数据包长度,包括报头(16位,第3和第4个八位位组)
    • 213.133.99.99.domain –源IP地址和端口
    • 78.47.105.76.16165 –目的IP地址和端口
    • [udp总和 –数据报的校验和状态
    • 其他所有内容都与DNS应用程序响应有关。

    原始字段注释

    您可以找到协议编号分配的完整列表 这里。您可能还会知道更多。
    • ICMP(1)
    • IGMP(2)
    • GRE(47)
    • ESP(50)
    • VINES(83) 
    • EIGRP(88)
    • ETHERIP(97)
    • OSPF(89)
    • VRRP(112)
    • L2TP (115)
    • SCTP(132) 

    服务端口注意事项

    我相信大家都知道,但是无论如何,有效的端口号是0到65535。如果您想过 IANA分配 (我们都应该对吗?);
    • 0 to 1023 是 reserved for well known applications
    • 1024 to 49151 是 registered (with IANA) ports
    • 49152 to 65535 是 user and 动态端口(又名临时端口或临时端口)

    协议格式

    tcpdump提供了以下协议以及其他协议的数据格式(有关更多信息,请参见下面的Jens注释);
    • ICMP
    • ISAMP
    • ARP
    • NTP
    • 域名解析
    • STP
    • HSRP
    • SNMP协议
    • 半径
    再次感谢Jens:如果您在详细输出的末尾看到“ [| 原型]”,例如“ [| radius]”捕捉长度太小,无法捕获应用程序数据;只是增加它(使用 -s0 参数)以查看完整的应用程序数据信息。
    这里有几个例子;
    ARP:22:45:47.220050 ARP,以太网(len 6),IPv4(len 4),请求谁拥有78.47.108.52告诉78.47.108.49,长度46
    NTP(带有 -v);
    78.47.105.76.ntp>213.239.239.166.ntp:NTPv4,长度48
    客户,飞跃指标: (0),第3层(二级参考),轮询10秒,精度-22
    根延迟:0.020477,根分散:0.056991,参考ID:83.137.98.96
    域名解析: 213.133.99.99.domain>78.47.105.76.16165:[udp sum 好] 11711 ServFail q:A? 40.1.255.158.bl.tiopan.com。 0/0/0(44)

    Here 是 some Tcpdump Scenarios from 与tcpdump建立连接,第二部分

    方案1:建立Telnet连接

    使用tcpdump,我们可以分析建立和终止TCP / 知识产权连接的PDU。 TCP协议使用一种特殊的机制来打开和关闭连接。下面的tcpdump输出显示主机192.168.2.10和192.168.2.165之间不同连接方案的数据。以下tcpdump命令和选项用于生成输出:
    #tcpdump -nn host 192.168.2.165 and port 23
    在检查输出之前,我们先绕道而过,简要了解一下TCP / 知识产权连接管理。这个小弯路将为刚接触规程的个人提供帮助。为了保证可靠的连接(启动和关闭),TCP使用一种交换三个消息的方法。该过程称为三向握手。要启动连接:
    • 请求主机在TCP段中发送同步标志(SYN)以创建连接。
    • 接收方主机192.168.2.165接收SYN标志并返回确认标志(ACK)。
    • 发出请求的主机192.168.2.10收到SYN标志并返回其自己的ACK标志。
    类似的握手过程用于使用完成标志(FIN)关闭连接。
    为了建立连接,发送主机创建一个段,其中包含要连接的主机的IP地址和端口号。该段包含一个SYN标志和发送主机的初始序列号。数据在发送之前被分段。序列号允许段以正确的顺序组装。
    20:06:32.845356 192.168.2.10.1249 > 192.168.2.165.23:
    S 3263977215:3263977215(0) 赢得 16384  (DF)
    接收主机以其自己的SYN标志及其初始序列号进行响应。该段还包含一个ACK标志,以确认发送主机的SYN(段3263977215 +1)。这种类型的确认称为预期确认,因为接收方会确认其预期接收的下一个段的序列号。
    20:06:32.845725 192.168.2.165.23 > 192.168.2.10.1249: S
    48495364:48495364(0) 确认 3263977216 赢得 32120 
    (DF)
    发送主机通过发送另一个包含的段来确认接收主机的SYN标志。和ACK标志。
    20:06:32.845921 192.168.2.10.1249 > 192.168.2.165.23: . 确认 1 赢得 17520
    (DF)
    到目前为止,已经看到两个标志S和.。一共有五个。
    • S:SYN(同步序列号–连接建立)
    • F:FIN(发送方发送结束-连接终止)
    • R:RST(重置连接)
    • P:PSH(推送数据)
    • 。:(未设置标志)

    方案2:关闭Telnet连接

    要终止连接,包含FIN标志的网段将从主机192.168.2.165发送回具有打开会话的主机。
    20:07:32.916410 192.168.2.165.23 > 192.168.2.10.1249: F 147:147(0) 确认
    56 赢得 32120 (DF)
    这可能会倒退,但请相信我,不是。考虑一下会话在何处打开-这就是要求关闭连接的关键所在。主机192.168.2.10确认FIN段。
    20:07:32.916680 192.168.2.10.1249 > 192.168.2.165.23: . 确认 148 赢得
    17374 (DF)
    然后,主机192.168.2.10通过发送包含FIN标志的段来终止其连接。
    20:07:32.928907 192.168.2.10.1249 > 192.168.2.165.23: F 56:56(0) 确认 148
    赢得 17374 (DF)
    主机192.168.2.165确认该网段。
    20:07:32.929121 192.168.2.165.23 > 192.168.2.10.1249: . 确认 57 赢得 32120
    (DF)
    方案3:Telnet连接被拒绝(主机未提供服务)
    要建立连接,主机192.168.2.10发送一个包含其要连接的主机的IP地址和端口号的网段。该段包含一个SYN标志和发送主机的初始序列号。
    05:28:00.080798 192.168.2.10.1063 > 192.168.2.165.23:
    S 3034008467:3034008467(0) 赢得 16384  (DF)
    主机192.168.2.165通过发送包含R(连接重置)和ACK标志的另一个段来确认来自主机192.168.2.10的SYN。
    05:28:00.080979 192.168.2.165.23 > 192.168.2.10.1063: R 0:0(0)
    确认 3034008468 赢得 0
    主持人不会拒绝,然后重试。
    05:28:00.579420 192.168.2.10.1063 > 192.168.2.165.23: S
    3034008467:3034008467(0) 赢得 16384  (DF)
    但是它从接收主机接收到相同的结果。
    05:28:00.579524 192.168.2.165.23 > 192.168.2.10.1063: R 0:0(0) 确认 1 赢得
    0
    最后尝试建立连接。
    05:28:01.080114 192.168.2.10.1063 &glt; 192.168.2.165.23: S
    3034008467:3034008467(0) 赢得 16384  (DF)
    在这场球赛中只有三击。发送主机放弃。
    05:28:01.080225 192.168.2.165.23 > 192.168.2.10.1063: R 0:0(0) 确认 1 赢得
    0
    比较“建立Telnet连接”方案和“ Telnet连接拒绝”方案的输出。接收主机的输出是不同的。对于Telnet连接拒绝方案,使用/etc/inetd.conf文件在接收主机上关闭了Telnet服务。如果该服务不可用,则无法建立连接。请注意:简单的安全措施会关闭未使用的服务。

    方案3:拒绝Telnet连接(主机使用的TCP包装器安全性)

    与以前相同的开口用于建立连接。
    05:40:39.838710 192.168.2.10.1064 > 192.168.2.165.23: S
    3223709294:3223709294(0) 赢得 16384  (DF)
    接收主机以其自己的SYN标志及其初始序列号进行响应。该段还包含一个ACK标志,以确认发送主机SYN(段3223709294 +1)。
    05:40:39.839045 192.168.2.165.23 > 192.168.2.10.1064: S
    063202536:2063202536(0) 确认 3223709295 赢得 32120 1460,nop,nop,sackOK> (DF)
    主机192.168.2.10通过发送另一个包含的段来确认来自主机192.168.2.165的SYN。和ACK标志。
    05:40:39.839295 192.168.2.10.1064 > 192.168.2.165.23: . 确认 1 赢得 17520
    (DF)
    主机192.168.2.165响应包含FIN标志的网段-连接终止。有人告诉接收主机不允许连接。
    05:40:44.852844 192.168.2.165.23 > 192.168.2.10.1064:
    F 1:1(0) 确认 1 赢得 32120 (DF)
    主机192.168.2.10具有未设置标志的第二次确认。
    05:40:44.853137 192.168.2.10.1064 > 192.168.2.165.23: . 确认 2 赢得 17520
    (DF)
    因为收到了FIN标志段,所以必须终止连接。因此主机192.168.2.10发送FIN标志来终止连接。
    05:40:44.855050 192.168.2.10.1064 > 192.168.2.165.23: F 1:1(0) 确认 2 赢得
    17520 (DF)
    主机192.168.2.165响应以段确认。
    05:40:44.855176 192.168.2.165.23 > 192.168.2.10.1064: . 确认 2 赢得 32120
    (DF)
    比较“建立Telnet连接”方案和“ Telnet连接拒绝(tcp包装)”方案的输出。接收主机的输出是不同的。在“ Telnet连接拒绝”(tcp包装器)方案中,通过将以下行添加到/etc/hosts.deny文件来启用tcp包装器: 全部:192.168.2.10。这意味着“拒绝对该地址为192.168.2.10的主机的所有服务”。使用iptables防火墙中的规则进行了类似的连接测试。结果输出是相同的。
    读者可以从tcpdump的陷阱中了解系统如何处于危险之中。在可能发生系统骇客之前,需要花费一些精力来设计这种骇客。检查系统中的数据可以为黑客提供一些洞察力,让他们了解在哪些地方努力可以提供最大的成功机会。

    方案4:无Telnet连接(从网络中删除主机)

    相同的开头,不同的场景。
    05:55:21.557846 192.168.2.10.1065 > 192.168.2.165.23: S
    3443876657:3443876657(0) 赢得 16384  (DF)
    没有响应,因此发送主机再次尝试相同的请求。
    05:55:24.560891 192.168.2.10.1065 > 192.168.2.165.23: S
    3443876657:3443876657(0) 赢得 16384  (DF)
    由于第三次尝试仍无反应,三击规则开始生效。发送主机放弃连接尝试。
    05:55:30.569584 192.168.2.10.1065 > 192.168.2.165.23: S
    3443876657:3443876657(0) 赢得 16384  (DF)

    参考:

    通过 约翰

    相关文章

    网络

    Ansible教程–安装Ansible并远程运行简单命令

    2020年11月18日 网络安全
    的Linux 网络

    将Zabbix代理部署到CentOS并添加到Zabbix服务器

    2020年3月20日 约翰扬
    网络 视窗

    将Windows主机添加到Zabbix(活动检查模式)

    2020年3月16日 约翰扬

    发表评论 取消回复

    你错过了

    云flare防火墙配置示例

    2020年12月6日 约翰
    威胁搜寻

    DarkTrace调查步骤

    2020年12月3日 约翰
    博客

    使用Cloudflare和ShaerX在BackBlaze B2中创建自己的Cloud Photo存储站点

    2020年12月2日 约翰
    赛博方舟 安全

    Cyber​​Ark EPM从V11.0升级到V11.5

    2020年11月30日 Nishant Srivastava
    x
    x