数据包如何分析服务器主机名

A. cmd怎么将ip地址解析为主机名

ping命令
1，直接ping主机可以将主机解析为IP
2，-a＋IP可以将IP解析为主机名
3，-l＋数字 可以指定发送包大小

B. linux服务器被攻击如何进行抓包来进行分析

用途

tcpmp简义：mp the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

 tcpmp可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

语法

tcpmp [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>]

[-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

参数说明：http://write.blog.csdn.net/postedit/72898655

-a 尝试将网络和广播地址转换成名称。

-c<数据包数目> 收到指定的数据包数目后，就停止进行倾倒操作。

-d 把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

-dd 把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。

-ddd 把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出。

-e 在每列倾倒资料上显示连接层级的文件头。

-f 用数字显示网际网络地址。

-F<表达文件> 指定内含表达方式的文件。

-i<网络界面> 使用指定的网络截面送出数据包。

-l 使用标准输出列的缓冲区。

-n 不把主机的网络地址转换成名字。

-N 不列出域名。

-O 不将数据包编码最佳化。

-p 不让网络界面进入混杂模式。

-q 快速输出，仅列出少数的传输协议信息。

-r<数据包文件> 从指定的文件读取数据包数据。

-s<数据包大小> 设置每个数据包的大小。

-S 用绝对而非相对数值列出TCP关联数。

-t 在每列倾倒资料上不显示时间戳记。

-tt 在每列倾倒资料上显示未经格式化的时间戳记。

-T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。

-v 详细显示指令执行过程。

-vv 更详细显示指令执行过程。

-x 用十六进制字码列出数据包资料。

-w<数据包文件> 把数据包数据写入指定的文件。

案例

tcpmp -s 0 -i eth1  -w 94ip.cap

注：监听 ETH1网站 保存文件为94ip.cap

网云互联（www.94ip.net/www.94ip.com）是一家从事服务器安全防护、入侵检测、服务器代维等为一体的公司，免费服务器安全检测，并有24小时在线运维工程师为您服务。

C. 哪个命令可用于手动查询 dns 服务器来解析特定主机名

nslookup

Refer to curriculum topic: 8.1.2
nslookup命令允许用户手动查询 DNS 服务器来解析给定的主机名。ipconfig/displaydns命令只是显示之前已解析的 DNS 条目。tracert命令可以检查数据包通过网络时所用的路径，并能通过自动查询 DNS 服务器来解析主机名。net命令用于管理网络计算机、服务器、打印机和网络驱动器。

D. 如何分析IP数据包

完全依赖于你的觉悟，数据包监测既是一个重要的管理工具，也可以成为一项邪恶的黑客技 术。事实上，它两者皆是，一个好的数据包监测软件通常可以在网络管理和黑客技术工具包中同时找到。黑客可以用数据包监测软件监听互联网，并且追踪一些敏感数据的交换如登录对话和财经交 易。网络管理员可以用数据包监测软件检测错误布线，损坏的数据包和其它网络问题。在本文中，我们覆盖了开始进行数据包监测需知的所有内容，而没有涉及太多阴暗面。通过 一个最流行工具软件的实例，你将学习到在TCP/IP网上四处监听的基本技术。文中阐述较为 详细，以帮助你理解在查看数据包时确实能看到什么，并且介绍了IP欺骗技术。当然，我们 也提供了一个更多网络资源的列表以满足你所有监听的需要。一、什么是数据包监测？数据包监测可以被认为是一根窃听电话线在计算机-网络中的等价物。当某人在“监听”网络 时，他们实际上是在阅读和解释网络上传送的数据包。如果你在互联网上，正通过其它计算机发送数据。发送一封电子邮件或请求下载一个网页都 会使数据通过你和数据目的地之间的许多计算机。这些你传输信息时经过的计算机都能够看 到你发送的数据。数据包监测工具允许某人截获数据并且查看它。 互联网和大多数数据网络一样，通过从一个主机发送信息数据包到另一个主机来工作。每个> 数据包包含有数据本身和帧头，帧头包含数据包的信息如它的目的地和来源。数据包的数据 部分包含发送到网络的信息——它可能是电子邮件，网页，注册信息包括密码，电子商务信 息包括信用卡号码，和其它一切网络上流动的东西。基于TCP/IP协议的互联网采用的体系结构是以太网，它的特点是把所有的数据包在网络中广 播。网络为大多数计算机提供的接口是一个内置的以太网卡(也叫做网卡或NIC)。这些接口卡 默认提取出目标地址和自己的网卡地址一致的数据包而过滤掉所有其它的数据包。然而，以 太网卡典型地具有一个“混合模式”选项，能够关掉过滤功能而查看经过它的所有数据包。 这个混合模式选项恰好被数据包监测程序利用来实现它们的监听功能。防火墙完全不能阻止数据包被监测。虚拟个人网络(VPN)和加密技术也不能阻止数据包被监测 ，但能使它的危害小一点。要知道许多密码在网络上传输时是不加密的，有时即使已经加密 ，也不能挫败一个数据包监测工具侵入系统的企图。一个寻找登录序列和监听加密口令的入 侵者并不需要破译口令为自己所用，而只需要依赖未经授权的加密版。对于需要高度安全的系统，一个和数据包监测技术妥协的保护密码的最好措施是执行“使用 一次即更改”的密码方案——所以即使是一个不道德的黑客可能监测了登录序列，密码在下 一次试验时就不起作用了。二、用什么监测实际上有几百种可用的数据包监测程序，许多结合起来破译和扫描特定类型的数据并被专门 设计为黑客的工具。我们在这里不讨论任何寻找密码或信用卡号的工具，但它们确实存在。 这类工具经常有内置的协议分析程序，它能够帮助翻译不同网络协议的数据包，而不是提供 原始的数字数据。一个最古老也最成功的数据包和网络分析产品是由WildPackets (以前的AG 组)出品的Ether Peek。 EtherPeek已经存在了10年，堪称互联网时代真正的恐龙。他们提供Windows版 和Mac intosh版，每个都具有网络管理员-导向的价格。这个工具软件开始只是一个网络分析器型的 数据包监测软件，经过这些年的发展已经成为一个真正的网络管理工具并具有网站监视和分 析等新的功能。在他们的网站有一个演示版，想要试验的人可以去下载。另一个能够监视网络活动捕获和分析数据包的程序是TamoSoft的CommView。这个流行的监测 程序显示网络连接和IP统计数字，能够检查单独的数据包，通过对IP协议TCP, UDP,和 ICMP 的完全分析解码到最低层。完全访问原始数据也只需要花费一个非常友好的价格9（或者 是以更低的价格获得个人许可证，它只能捕获发送到你的PC的数据包）。TamiSoft的网站同 样提供一个可以下载的演示版。如果你运行微软的Windows NT Server，将不必买任何东西——它有一个内置的数据包监测程 序叫做网络监视器。要访问它，进入网络控制面板，选择服务标签，点击添加并选择网络监 视工具和代理。一旦它已经安装你就可以从程序菜单下的管理工具中运行网络监视器。三、如何监测好了，现在你的手头至少有一个流行的数据包监测软件的测试版了，我们要开始研究事情的 真相了，看一看我们实际上能从这些数据包中学到什么。本文将以Tamisoft的CommView为例 。但同样的概念和功能在其它的数据包监测产品中也很容易适用。开始工作以前，我们需要打开监测功能，在CommView中通过从下拉菜单中选择网络适配器， 然后按下开始捕获按钮，或从文件菜单中选择开始捕获。如果发生网络阻塞，你应该立即看 到一些行为。CommView和大多数数据包监测软件一样，有一个显示IP网络信息的屏幕和一个显示数据包数 据的屏幕。在默认方式下你将看到IP统计页。你应该能够在你的浏览器中输入一个URL，或检 查你的e-mail，看这个屏幕接收通讯两端的IP地址数据。除了两端的IP地址，你应该看到端口号，发送和接受的数据包数，对话的方向（谁发送第一 个数据包），两个主机间对话的次数，和有效的主机名。CommView能和可选择的SmartWhoIs 模块相结合，所以在IP列表中右击IP号将提供一个查找信息返回关于这个IP号的所有已知的 注册信息。如果你用popmail型的帐号查收电子邮件，将在IP列表中看到一条线，端口号为1 10，标准popmail端口。你访问任意网站都会在端口80产生一条线，参见图A。 查明某些数据包来自于哪儿是数据包监测程序最普通的应用之一。通过运行一个程序如Smar tWhoIs，你能够把数据包监测程序所给出的鉴定结果——IP和以太网地址扩展到潜在的更有 用的信息，如谁管理一个IP地址指向的域。一个IP地址和以太网地址对于要追踪一个无赖用 户来说没有太多作用，但他们的域管理员可能非常重要。在CommView中点击数据包标签可以在它们经过时看到实际的数据包。这样的视图意义很含糊 ，而且如果你惧怕十六进制，这不是适合你的地方。有一个数据包列表，其中每个数据包都 有一个独一无二的数据包编号。在列表视图中你也可以看到数据包的协议（如TCP/IP），MA C (以太网)地址，IP地址和端口号。在CommView数据包窗口中间的窗格中你可以看到在列表中选择的无论什么数据包的原始数据 。既有数据包数据的十六进制表示也有一个清楚的文本翻译。底部的窗格显示了IP数据包的 解码信息，包括数据包在IP, TCP, UDP, 和 ICMP层的完整分析，参见图B。如果你正在和这些信息打交道，那么你不是在进行繁重的网络故障排除工作，就是在四处窥 探。翻译十六进制代码不是这篇文章讨论的范围，但应用正确的工具，数据包可以被解开而 看到其内容。当然这些并不是用一个数据包检测软件所能做的一切——你也可以复制数据包，为捕获数据 包建立规则和过滤器，以成打不同的方式获得各种统计数字和日志。功能更加强大的工具不 仅限于可以查看，记录和分析发送和交换数据包，利用它们不费多少功夫就可以设想出一些狡猾的应用程序。四、IP欺骗和更多资源一个完全不友好的数据包监测应用程序是一种IP欺骗技术。这时，一个不道德的用户不仅查 看经过的数据包，而且修改它们以获得另一台计算机的身份。当一个数据包监测程序在两台正在通讯的计算机段内时，一个黑客就能监听出一端的身份。 然后通过找到一个信任端口的IP地址并修改数据包头使数据包看起来好象来自于那个端口达 到攻击连接的目的。这类活动通常伴随着一个对伪造地址的拒绝服务攻击，所以它的数据包 不会被入侵干扰。关于数据包监测和IP欺骗技术的信息成吨，我们仅仅描述了对TCP/IP数据包操作的一些表面 知识。在开始数据包监测以前最好深入了解TCP/IP和网络——这样做更有意义。这里是一个 为那些想要进一步研究这个问题的人们提供的附加的资源列表。 ZDNet"s Computer Shopper Network Utilities
Packetstorm"s packet sniffer section with over 100 sniffing programs
Wild Packets, makers of EtherPeekEtherPeekTamoSoft, makers of CommView
An overview of the TCP/IP Protocol Suite 最后一句警告——小心你监测的场所。在你家里的PC上运行一个数据包监测程序学习TCP/IP ，或者是在你控制的局域网运行以解决故障是一回事，在别人的网络上偷偷地安装却是另一 回事。机敏的网络管理员在集中注意力时会发现监测他们网络的人，并且他们通常不会很高兴。

E. 《Wireshark数据包分析实战》（三）地址解析协议(ARP)

网络上的通信会使用到逻辑地址（IP地址）和物理地址（MAC地址）。逻辑地址可以使得不同网络以及没有直接相连的设备之间能够进行通信。物理地址则用来在单一网段中交换机直接连接的设备之间进行通信。在大多数情况下，正常通信需要这两种地址协同工作。

我们假设这样一个场景：你需要和你网络中的一个设备进行通信，这个设备可能是某种服务器，或者只是你想与之共享文件的另一个工作站。你所用来创建这个通信的应用已经得到这个远程主机的IP地址（通过DNS服务），也意味着系统已经拥有用来构建它想要在第3层到第7层中传递的数据包所需要的信息。这时它所需要的唯一信息就是第2层包含目标主机MAC地址的数据链路层数据。

之所以需要MAC地址，是因为网络中用于连接各个设备的交换机使用了内容寻址寄存器（CAM）。这个表列出了它在每一个端口所有连接设备的MAC地址。当交换机收到一个指向特定MAC地址的流量，它会使用这个表，来确定应该使用哪一个端口发送流量。如果目标的MAC地址是未知的，这个传输设备会首先在它的缓存中查找这个地址，如果没有找到，那么这个地址就需要在网络上额外的通信来解析了。

TCP/IP网络（基于IPv4）中用来将IP地址解析为MAC地址的过程称为地址解析协议（Address Resolution Protocol，ARP），它的解析过程只使用两种数据包：一个ARP请求与一个ARP响应。

让我们做个小实验，在局域网内ping一个主机IP，假设是第一次ping，本机的ARP表并未缓存，可以通过 arp -a 命令查看。

本机IP192.168.3.7，ping局域网内192.168.3.5的主机，执行以下命令：

开始抓包分析。

上图是一个ARP请求数据包，通过Wireshark的Packet Details面板中，检查以太网头，来确定这个数据包是否是一个真的广播数据包。这个数据包的目的地址是ff:ff:ff:ff:ff:ff:ff。这是一个以太网的广播地址，所有发送到这个地址的数据包都会被广播到当前网段中的所有设备。这个数据包中以太网头的源地址就是我的MAC地址。

在这个给定的结构中，我们可以确定这的确是一个在以太网上使用IP的ARP请求，从数据包的操作码（opcode）为1可以得知。这个ARP的头列出了发送方的IP（本机的IP 192.168.3.7）和MAC地址，以及接收方的IP地址192.168.3.5。我们想要得到的目标MAC地址，还是未知的，所以这里的目的MAC地址填写为00:00:00:00:00:00。

这是一个回应ARP请求的响应，opcode现在是2表示这是一个响应而不是请求。

发送方和接收方的地址发生了转换，重要的是现在数据包中所有的信息都是可用的，也就是说我们现在有了192.168.3.5主机的MAC地址。

执行以下命令

可以得知192.168.3.5及其对应的MAC地址已经被缓存。

大多数情况下，一个设备的IP地址是可以改变的。当这样的改变发生后，网络主机中缓存的IP和MAC地址映射就不再有效了。为了防止造成通信错误，无偿的ARP请求会被发送到网络中，强制所有收到它的设备去用新的IP和MAC地址映射更新缓存。

检查上述数据包，你会看见这个数据包是以广播的形式发送，以便网络上的所有主机都能收到它。这个ARP头的特点就是发送方的IP地址和目标IP地址是相同的。当这个数据包被网络中的其他主机接收到之后，它会让这些主机更新映射表，由于这个ARP数据包时未经请求的，却导致客户端更新ARP缓存，所以会称之为无偿。

F. 使用带参数ping命令——可以得到对方的主机名

使用带-a参数ping命令,可以得到对方的主机名。

例如：ping -a 192.168.2.1。

在共享上网的机器中，出于安全考虑，大部分作为服务器的主机都安装了个人防火墙软件，而其他作为客户机的机器则一般不安装。

几乎所有的个人防火墙软件，默认情况下是不允许其他机器Ping本机的。一般的做法是将来自外部的ICMP请求报文滤掉，但它却对本机出去的ICMP请求报文，以及来自外部的ICMP应答报文不加任何限制。

这样，从本机Ping其他机器时，如果网络正常，就没有问题。但如果从其他机器Ping这台机器，即使网络一切正常，也会出现“超时无应答”的错误。

大部分的单方向Ping通现象源于此。解决的办法也很简单，根据你自己所用的不同类型的防火墙，调整相应的设置即可。

(6)数据包如何分析服务器主机名扩展阅读：

ping命令有很多参数，例如：

-tPing指定的计算机直到中断。

-a将地址解析为计算机名。

-ncount发送count指定的ECHO数据包数。默认值为4。

-llength发送包含由length指定的数据量的ECHO数据包。默认为32字节;最大值是65,527。

-f在数据包中发送"不要分段"标志。数据包就不会被路由上的网关分段。

-ittl将"生存时间"字段设置为ttl指定的值。

-vtos将"服务类型"字段设置为tos指定的值。

-rcount在"记录路由"字段中记录传出和返回数据包的路由。count可以指定最少1台，最多9台计算机。

-scount指定count指定的跃点数的时间戳。

-jcomputer-list利用computer-list指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP允许的最大数量为9。

G. 主机是如何分析一个数据包的目的地是子网内部还是其他子网的

主机会通过数据链路层来分析一个数据包，主机会通过本机路由表来判断目的网络是否同一子网还是另一个子网。数据包文件头上有地址，通过对照路由表来分析判断。划分子网的方法是从网络的主机号借用若干位作为子网号(subnet-id），当然主机号也就相应减少了同样的位数。于是两级IP地址在本单位内部就变为三级IP地址：网络号、子网号和主机号。