内容发布更新时间 : 2024/12/24 1:36:58星期一 下面是文章的全部内容请认真阅读。
可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'||';
这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来
1、想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包: #tcpdump host 210.27.48.1
2、想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用括号时,一定要
#tcpdump host 210.27.48.1 and \\ (210.27.48.2 or 210.27.48.3 \\) 3、如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
ip host 210.27.48.1 and ! 210.27.48.2
4、如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令: tcp port 23 host 210.27.48.1 5.过滤规则实例
? 捕捉主机10.14.26.53和www服务器www.zju.edu.cn之间的通信(这里主机
10.14.26.53可以是自身,也可以是通过普通HUB(而不是交换机)与本机相连的LAN上的其它主机或路由器,下同),Ethereal的capture filter 的filter string设置为:
host 10.14.26.53 and www.zju.edu.cn
? 捕捉局域网上的所有ARP包,Ethereal的capture filter 的filter string
设置为: arp
? 捕捉局域网上主机10.14.26.53发出或接受的所有ARP包,Ethereal的
capture filter 的filter string设置为:arp host 10.14.26.53 或者等价地设置为:arp and host 10.12.105.27
? 捕捉局域网上主机10.14.26.53发出或接受的所有POP包(即src or dst port
=110),Ethereal的capture filter 的filter string设置为:
tcp port 110 and host 10.14.26.53
或者等价地设置为:tcp and port 110 and host 10.14.26.53 ? 捕捉局域网上主机10.14.26.53发出或接受的所有FTP包(即src or dst port
=21),Ethereal的capture filter 的filter string设置为:
tcp port 21 and host 10.14.26.53
(1). 在主机10.14.26.53上用FTP客户端软件访问FTP server。
(2). 观察并分析10.14.26.53和FTP server之间传输的Ethernet II (即DIX Ethernet v2) 帧结构,IP数据报结构,TCP segment结构。
(3). 观察并分析FTP PDU名称和结构。注意10.14.26.53发出的FTP request PDU中以USER开头、以PASS开头的两个PDU,他们包含了什么信息?对INTERNET的FTP协议的安全性作出评价。
? 捕捉局域网上的所有icmp包,Ethereal的capture filter 的filter string
设置为:icmp
? 捕捉局域网上的所有ethernet broadcast帧,Ethereal的capture filter 的
filter string设置为:ether broadcast
? 捕捉局域网上的所有IP广播包,Ethereal的capture filter 的filter
string设置为:ip broadcast ? 捕捉局域网上的所有ethernet multicast帧,Ethereal的capture filter 的
filter string设置为:ether multicast
? 捕捉局域网上的所有IP广播包,Ethereal的capture filter 的filter
string设置为: ip multicast
? 捕捉局域网上的所有ethernet multicast或broadcast帧,Ethereal的
capture filter 的filter string设置为: ether[0] & 1 != 0 ? 要以MAC address 00:00:11:11:22:22为抓封包条件, Filter string设置为:
ether host 00:00:11:11:22:22
FTP模型与测试分析环境
协议分析器
协议分析器的作用就是监视FTP客户与FTP服务器的协议交互过程,记录并对协议包进行分析; 分析环境的具体参数是:
FTP服务器:MAC地址为 00-00-C0-22-A1-01 IP地址为 201.5.21.1 控制连接端口号为 20 数据连接端口号为 21
FTP客户: MAC地址为 02-60-8C-01-24-28 IP地址为 201.5.21.25 数据连接端口号为 15432 控制连接端口号为 7180 FTP工作模型
FTP控制连接建立过程的协议分析
地址解析ARP协议执行过程
FTP控制连接建立过程
协议包4~6 是FTP 控制连接建立的协议执行过程 协议包4:FTP客户请求建立与FTP服务器控制连接包
FTP控制连接建立的协议包交互过程
FTP用户登录身份验证过程的协议分析
协议包9~16是用户身份的协议执行过程
协议包9:FTP客户发送给FTP服务器的User命令协议包
协议包10:FTP服务器发送给FTP客户对User命令的应答包
协议包12:FTP客户发送给FTP服务器的带有用户名与密码的应答包