linux原始套接字抓包

『壹』 在linux命令行环境下如何抓取网络数据包

  众所周知，在Windows下开发运行环境下，在调试网络环境时，可以可以很方便的借助wireshark等软件进行抓包分析；并且在linux或者Ubuntu等桌面版里也可以进行安装抓包工具进行抓包分析，但总有一些情况，无法直接运用工具（比如一些没有界面的linux环境系统中），则此时我们就需要使用到最简单的tcpmp命令进行网络抓包。

  一般的，linux下抓包时，抓取特定的网络数据包到当前文件夹下的文件中，再把文件拷贝出来利用Windows下的wireshark软件进行分析。

tcpmp命令详解：（简单举例）

  1、抓取到的文件为filename.cap，然后将此文件拷贝到Windows下，使用wireshar打开后，即可对此文件进行分析。
  2、eth0 是主机的网络适配器名称，具体的参数值可以在linux命令行窗口中通过 ifconfig 指令查询。

『贰』 如何在linux服务器上抓包

tcpmp -s 0 -i any host 抓包的IP -w test.pcap //抓包完成后按Ctrl+C结束抓包

『叁』 linux用原始套接字可以分析ip包吗

1. 本文所介绍程序平台
发板：arm9-mini2440
虚拟机：Red Hat Enterprise Linux 5
发板系统内核版本：linux-2.6.32.2

2. 原始套接字概述
通情况程序设计员接触网络知识限于两类：
（1）流式套接字（SOCK_STREAM）种面向连接套接字应于TCP应用程序
（2）数据报套接字（SOCK_DGRAM）种连接套接字应于UDP应用程序
除两种基本套接字外类原始套接字种原始网络报文进行处理套接字
前面几章介绍基础套接字知识流式套接字（SOCK_STREAM）数据报套接字（SOCK_DGRAM）涵盖般应用层TCP/IP应用

原始套接字创建使用与通用套接字创建致套接字类型选项使用另SOCK_RAW使用socket函数进行函数创建完毕候要进行套接字数据格式类型指定设置套接字接收网络数据格式
创建原始套接字使用函数socket第二参数设置SOCK_RAW函数socket()创建原始套接字面代码创建AF_INET协议族原始套接字协议类型protocol
int rawsock = socket(AF_INET, SOCK_RAW, protocol);
注意：超级用户才权利创建套接字否则函数返-1并设置errnoEACCES
protocol参数：量定义in.h>面
IPPROTO_IP = 0, /* Dummy protocol for TCP. */
#define IPPROTO_IP IPPROTO_IP
IPPROTO_HOPOPTS = 0, /* IPv6 Hop-by-Hop options. */
#define IPPROTO_HOPOPTS IPPROTO_HOPOPTS
IPPROTO_ICMP = 1, /* Internet Control Message Protocol. */
#define IPPROTO_ICMP IPPROTO_ICMP
IPPROTO_IGMP = 2, /* Internet Group Management Protocol. */
#define IPPROTO_IGMP IPPROTO_IGMP
IPPROTO_IPIP = 4, /* IPIP tunnels (older KA9Q tunnels use 94). */
#define IPPROTO_IPIP IPPROTO_IPIP
IPPROTO_TCP = 6, /* Transmission Control Protocol. */
#define IPPROTO_TCP IPPROTO_TCP
IPPROTO_EGP = 8, /* Exterior Gateway Protocol. */
#define IPPROTO_EGP IPPROTO_EGP
IPPROTO_PUP = 12, /* PUP protocol. */
#define IPPROTO_PUP IPPROTO_PUP
IPPROTO_UDP = 17, /* User Datagram Protocol. */
#define IPPROTO_UDP IPPROTO_UDP
IPPROTO_IDP = 22, /* XNS IDP protocol. */
#define IPPROTO_IDP IPPROTO_IDP
IPPROTO_TP = 29, /* SO Transport Protocol Class 4. */
#define IPPROTO_TP IPPROTO_TP
IPPROTO_IPV6 = 41, /* IPv6 header. */
#define IPPROTO_IPV6 IPPROTO_IPV6
IPPROTO_ROUTING = 43, /* IPv6 routing header. */
#define IPPROTO_ROUTING IPPROTO_ROUTING
IPPROTO_FRAGMENT = 44, /* IPv6 fragmentation header. */
#define IPPROTO_FRAGMENT IPPROTO_FRAGMENT
IPPROTO_RSVP = 46, /* Reservation Protocol. */
#define IPPROTO_RSVP IPPROTO_RSVP
IPPROTO_GRE = 47, /* General Routing Encapsulation. */
#define IPPROTO_GRE IPPROTO_GRE
IPPROTO_ESP = 50, /* encapsulating security payload. */
#define IPPROTO_ESP IPPROTO_ESP
IPPROTO_AH = 51, /* authentication header. */
#define IPPROTO_AH IPPROTO_AH
IPPROTO_ICMPV6 = 58, /* ICMPv6. */
#define IPPROTO_ICMPV6 IPPROTO_ICMPV6
IPPROTO_NONE = 59, /* IPv6 no next header. */
#define IPPROTO_NONE IPPROTO_NONE
IPPROTO_DSTOPTS = 60, /* IPv6 destination options. */
#define IPPROTO_DSTOPTS IPPROTO_DSTOPTS
IPPROTO_MTP = 92, /* Multicast Transport Protocol. */
#define IPPROTO_MTP IPPROTO_MTP
IPPROTO_ENCAP = 98, /* Encapsulation Header. */
#define IPPROTO_ENCAP IPPROTO_ENCAP
IPPROTO_PIM = 103, /* Protocol Independent Multicast. */
#define IPPROTO_PIM IPPROTO_PIM
IPPROTO_COMP = 108, /* Compression Header Protocol. */
#define IPPROTO_COMP IPPROTO_COMP
IPPROTO_SCTP = 132, /* Stream Control Transmission Protocol. */
#define IPPROTO_SCTP IPPROTO_SCTP
IPPROTO_RAW = 255, /* Raw IP packets. */
#define IPPROTO_RAW IPPROTO_RAW
IPPROTO_MAX

『肆』 linux下怎么抓包

tcpmp，就可以用这个抓包了，具体使用 tcpmp -vvv -nn -port 80 -w /tmp/file，你也可以用man tcpmp 查看此命令的具体使用

『伍』 如何在linux上抓包tcpflow

无论是在
Linux
系统下抄，还是在袭
WINDOWS
系统下，使用
tcpflow
或者
wireshark
抓取数据包，基本思路都是一样的。即：根据你需要抓取的数据包，设定特定的过滤规则，以及在哪一个网络适配器上进行抓包。最后将抓取的数据包保存到一个文件中，供以后的分析使用。
展开全部

『陆』 如何在linux下编写抓包程序

你用SOCK_RAW的模式建立原始套接字然后接收包。
剩下的就全是分析内容的事情了。。。。最多再用一下多线程。

用到linux下socket编程的最基本知识， 以及对网络协议细节的了解弊团橘。 前者随便找本socket编程的书就很详细了， 后者你因该懂。

—————租团—
例如， 你需或橡要include以下这些头：
stdio.h,stdlib.h, unistd.h, sys/socket.h, sys/types.h, netinet/if_ether.h, netinet/in.h,

然后建立socket的时候用
socket(PF_PACKET,SOCK_RAW,htons(ETH_P_IP))，这样就能用这个socket来监听以太网的包。
然后循环调用recvfrom函数来听这个socket的接受到的数据， 再分析就好了。

如果要嗅探别人机器的包， 就要用ARP欺骗了。。呵呵

『柒』 Linux 系统扫描nmap与tcpmp抓包

NMAP扫描
一款强大的网络探测利器工具
支持多种探测技术

--ping扫描
--多端口扫描
-- TCP/IP指纹校验

为什么需要扫描?
以获取一些公开/非公开信息为目的
--检测潜在风险
--查找可攻击目标
--收集设备/主机/系统/软件信息
--发现可利用的安全漏洞

基本用法
nmap [扫描类型] [选项] <扫描目标...>
常用的扫描类型

常用选项
-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度
-sT TCP 连接扫描(全开)
-sU UDP扫描
-sP ICMP扫描
-sV 探测打开的端口对应的服务版本信息
-A 目标系统全面分析 (可能会比较慢)
-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机192.168.4.100的操作系统信息

tcpmp
命令行抓取数据包工具
基本用法
tcpmp [选项] [过滤条件]

常见监控选项
-i，指定监控的网络接口（默认监听第一个网卡）
-A，转换为 ACSII 码，以方便阅读
-w，将数据包信息保存到指定文件
-r，从指定文件读取数据包信息

常用的过滤条件：
类型：host、net、port、portrange
方向：src、dst
协议：tcp、udp、ip、wlan、arp、……
多个条件组合：and、or、not

案例1

案例2:使用tcpmp分析FTP访问中的明文交换信息
1 ) 安装部署vsftpd服务

2 ) 并启动tcpmp等待抓包
执行tcpmp命令行，添加适当的过滤条件，只抓取访问主机192.168.4.100的21端口的数据通信 ，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpmp抓包

5 ) 再次使用tcpmp抓包，使用-w选项可以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpmp命令的-r选项，可以去读之前抓取的历史数据文件

『捌』 Linux下如何抓指定IP的包

用tcpm命令可以抓指定IP的包，具体命令为：

tcpmp tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

参数解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

-i eth1 : 只抓经过接口eth1的包

-t : 不显示时间戳

-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

-c 100 : 只抓取100个数据包

dst port 22 : 抓取目标端口是22的数据包

src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

(8)linux原始套接字抓包扩展阅读

tcpmp语法格式：

tcpmp [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

tcpmp主要参数说明：

1、-a 尝试将网络和广播地址转换成名称。

2、-c<数据包数目> 收到指定的数据包数目后，就停止进行倾倒操作。

3、-d 把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

4、-dd 把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。

5、-ddd 把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出。

6、-e 在每列倾倒资料上显示连接层级的文件头。

7、-f 用数字显示网际网络地址。

8、-F<表达文件键散> 指定内含表达方式的文件。

9、-i<网络界面> 使用指定的网络陵亮乱截面送出数据包。

10、-l 使用标准输出列的缓冲区。

11、-n 不把主机的网络地址转换成名字。

12、-N 不列出域尺档名。

『玖』 linux系统如何抓包

linux主机抓包使用tcpmp，可以加不同参数过滤源IP、端口，目的IP、端口，可以撰写到指定文件中。抓包结果可以用ethereal，wireshark进行分析。

『拾』 linux原始套接字抓包缓存效率

linux原始套接字抓包缓存效率高。根据查询相关信息显示，原始套接字可能会接收到或者发送出去大量的报文，因此效率对其是非常重要的，而报文在内核拿手态与用户态之间的拷贝是很费资源的，为此，Linux内核消喊嫌在很早就引入了原始套接字的MMAP机制用于解决渗和这一问题。