在Linux中輸入命令man tcpmp給出的定義如下所示:
是不是感覺很懵?我們用通俗、形象、學術的表達方式來全方位描述tcpmp:
常用選項如下所示:
1、第一個抓包示例
-i : 指定用來抓包的網路介面,這個參數在伺服器有多個網卡的時候非常有效
-nn : 不轉換協議和埠號,當tcpmp遇到協議號或埠號,不需要將這些數字轉換為對應的協議名稱或埠名稱,如22埠SSH埠,我們希望顯示22,而非SSH
-X : 將協議頭和包內容原原本本的顯示出來,tcpmp會同時以16進制和ASCII的形式進行顯示,在協議分析時非常好用。
'port 22' : 告訴tcpmp要有選擇的顯示所抓到的包,在該示例中,只顯示源埠或目的埠是22的數據包,其他的數據包則不顯示。
-c : 用來指定抓包的個數,示例設置的個數為1,則代表僅抓取一個包之後就退出不再抓包了。
2、-e 增加數據鏈路層的頭部信息
通過兩個命令的輸出對比,可以看到增加-e選項後,輸出的結果中增加MAC地址信息。而且在輸出內容中會有 oui Unknown ,OUI即Organizationally unique identifier(組織唯一標識符),在任何一塊網卡中燒錄的6位元組MAC地址中,前3個位元組體現了OUI,其表明了網卡的製造組織,通常情況下,該標識符是唯一的。在本例中,由於沒有識別出網卡的製造商,因此顯示為Unknown。
3、-l 將輸出變為行緩沖模式
-l的作用是將tcpmp的輸出行為變為 行緩沖 方式,這樣可以保證tcpmp遇到換行符,就立即將緩沖的內容輸出到標准輸出(stdout),方便利用管道或重定向方式進行後續處理,而不會造成延遲。
在Linux的標准I/O中提供了 全緩沖 、 行緩沖 、 無緩沖 三種緩沖方式。標准錯誤是不帶緩沖的,而終端設備常為行緩沖,其他默認則為全緩沖。
在該例中,將tcpmp輸出的內容通過管道提取第5列,可以用來查看詳細的連接信息。而如果不加 -l 選項時,則只有當緩沖區全部占滿時,tcpmp才會將緩沖區中的內容輸出,這樣就有可能導致輸出不連續的,如果強行結束,則會影響下一行的完整性。
4、-t 輸出不加時間戳
在增加選項 -t 選項後,時間23:48:03.193526就消失了。tcpmp默認情況下是按微秒來計時,因此最一個時間精確到了第6位。
5、 -v 顯示詳細信息
在增加 -v 選項後,會在輸出的內容中增加 tos 、 ttl 、 id 、 offset 、 協議編號 、 總長度 等,如需要理解這些信息,就需要了解TCP/IP協議中的頭的具體定義了。
6、-F 指定過濾表達式所在的文件
在第一個示例中,命令行增加了 'port 22' ,而這一項就叫 過濾條件 ,如果設置了過濾條件,則tcpmp只抓取滿足過濾條件的數據包。如需要設置較為復雜的過濾條件或復用過濾條件時,這時可以將過濾條件保存為文件,然後通過-F載入該過濾文件。
7、 -w 將原始數據包信息保存到文件中
當我們查看保存的文件時,出現的是亂碼。則代表無法直接查看,很有可能是二進制文件。那麼怎麼查看保存的文件了?請看下一個示例。
7、 -r 從文件中讀取原始數據包
通過-w和-r選項即可實現抓包的錄制回放功能。
2. linux備份文件夾常用的命令有哪些
linux備份文件夾的命令是什麼?在Linux操作系統中,可用於備份文件夾的命令有兩個:cp命令、mp命令,本文為大家詳細介紹一下這兩個命令,希望能夠給你們帶來幫助。
1、mp命令
Linux mp命令用於備份文件系統。
mp為備份工具程序,可將目錄或整個文件系統備份至指定的設備,或備份成一個大文件。
語法:
mp[-cnu][-0123456789][-b
<區塊大小>][-B<區塊數目>][-d<密度>][-f<設備名稱>搜晌][-h<層級>][-s<磁帶長度>][-T<日期>][目錄或文件系統]或mp[-wW]
參數:
-0123456789 備份的層級
-b<區塊大小> 指定區塊的大小,單位為KB
-B<區塊數目> 指定備份卷冊的區塊數目
-c 修改備份磁帶預設的密度與容量
-d<密度> 設置磁帶的密度,單位為BPI
-f<設備名稱> 指定備份設備
-h<層級> 當備份層級等於或大於指定的層級時,將不備份用戶標示為nomp的文件
-n 當備份工作需要管理員介入時,向所有operator群組中的使用者發出通知
-s<磁帶長度> 備份磁帶的長度,單位為英尺
-T<日期> 指定開始備份的時間與日期
-u 備份完畢後,在/etc/mpdates中記錄備份的文件系統,層級,日期與時間等
-w 與-W類似,但僅顯示需要備份的文件
-W 顯示需要備份的文件及其最後一次備份的層級,時間與日期。
2、cp命令
Linux cp命令主要用於復制文件或目錄。
語法:
①cp [options] source dest
②cp [options] source... directory
參數:
-a 此選項通常在復制目錄時使用,它保留鏈接、文件屬性,並復制目錄下的所有內容,其作用等於dpR參數組合
-d 復制時保留鏈接,這里所說的世爛鋒鏈接相當於Windows系統中的快捷方式
-f 覆蓋已經存在的目標文件而不給出提示
-i 與-f選項相反,在覆蓋目標文件之前給出提示,要求用戶確認是否覆蓋,回答y時目標文件將被覆蓋
-p 除復制文件的內容外,還歷叢把修改時間和訪問許可權也復制到新文件中
-r 若給出的源文件是一個目錄文件,此時將復制該目錄下所有的子目錄和文件
-l 不復制文件,只是生成鏈接文件。
3. Linux 系統掃描nmap與tcpmp抓包
NMAP掃描
一款強大的網路探測利器工具
支持多種探測技術檔神遲
--ping掃描
--多埠掃描
-- TCP/IP指紋校驗
為什麼需要掃描?
以獲取一些公開/非公開信息為目的
--檢測潛在風險
--查找可攻擊目標
--收集設備/主機/系統/軟體信息
--發現可利用的安全漏洞
基本用法
nmap [掃描類型] [選項] <掃描目標...>
常用的掃描類型
常用選項
-sS TCP SYN掃描(半開) 該方式發送SYN到目標埠,如果收到SYN/ACK回復,那麼判斷埠是開放的;如果收到RST包,說明該埠是關閉的。簡單理解就是3次握手只完成一半就可以判斷埠是否打開,提高掃描速度
-sT TCP 連接掃描(全開)
-sU UDP掃描
-sP ICMP掃描
-sV 探測打開的埠對應的服務版本信息
-A 目標系統全面分析 (可能會比較慢)
-p 掃描指定埠
1 ) 檢查目標主機是否能ping通
2)檢查目標主機所開啟的TCP服務
3 ) 檢查192.168.4.0/24網段內哪些主機開啟了FTP、SSH服務
4)檢查目標主機所開啟的UDP服務
5 ) 探測打開的埠對應的服務版本信息
6)全面分析目標主機192.168.4.100的操作系統信息
tcpmp
命令行抓取數據包工具
基本用法
tcpmp [選項] [過濾條件]
常見監控選項
-i,指定監控的網路介面(默認監聽第一個網卡)
-A,轉換為 ACSII 碼,以方便閱讀
-w,將數據包信息保存到指定文件
-r,從指定文件讀取數據包信息
常用的過濾條件:
類型:host、net、port、portrange
方向:src、dst
協議:tcp、udp、ip、wlan、arp、……
多個條件組合:and、or、not
案例1
案例2:使用tcpmp分析FTP訪問中的明文交換信息
1 ) 安裝部署vsftpd服務
2 ) 並啟動tcpmp等待抓包
執行tcpmp命令行,添加適當的過濾條件,只抓取訪問主機192.168.4.100的21埠的數據通信 ,並轉換為ASCII碼格式的易讀文本。
3 ) case100作為客戶端訪問case254服務端
4 ) 查看tcpmp抓包
5 ) 再次使用tcpmp抓包,行李使用-w選項可瞎知以將抓取的數據包另存為文件,方便後期慢慢分析。
6 ) tcpmp命令的-r選項,可以去讀之前抓取的歷史數據文件
4. linux系統下如何查看數據包
可以用 tcpmp 命令來抓包,比如
tcpmp-ieth0
其中,eth0就是你要抓包的網口。或者你可以用
tcpmp-ieth0-ne
其中 -ne 表示顯示不要省略MAC地址。
也可以抓包到文件,例如
tcpmp-ieth0-wtest.pcap
把抓下來的包保存到test.pcap文件中,可以用Wireshark打開來查看,慢慢分析包中的數據。