TCP数据报头六个标志位
U (URG) Urgent pointer field significant
紧急指针,用到的时候值为,用来处理避免TCP数据流中断
A (ACK) Acknowledgment field significant 置1时表示确认号(Acknowledgment
Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略
P (PSH) Push function.
PUSH标志的数据,置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送
R (RST) Reset the connection
用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。
S (SYN) Synchronize sequence numbers
用来建立连接,在连接请求中,SYN=1,ACK=0,连接响应时,SYN=1,ACK=1。即,SYN和ACK来区分Connection
Request和Connection Accepted
F (FIN) No more data from sender. 用来释放连接,表明发送方已经没有数据发送了
TCP的三次握手过程:
首先客户端(请求方)在连接请求中,发送SYN=1,ACK=0的TCP数据包给服务器端(接收请求端),表示要求同服务器端建立一个连接;然后如果服务
器端响应这个连接,就返回一个SYN=1,ACK=1的数据报给客户端,表示服务器端同意这个连接,并要求客户端确认;最后客户端就再发送
SYN=0,ACK=1的数据包给服务器端,表示确认建立连接。
后面的范例种我们就利用这些标志位和TCP协议连接的三次握手特性来进行扫描探测的.基本的介绍就这么多了,对TCP/IP不太熟的,建议去看看W.Richard
Stevens的鼎鼎大作《TCP/IP详解》,
第1章 Windump软件简介
1.1 概述
Windump是Windows环境下基于命令行的网络数据包分析和嗅探工具,其Unix版本名称为Tcpdump。它可以捕捉网络上两台电脑之间所有的
数据包,供网络管理员/入侵分析员做进一步流量分析和入侵检测。在这种监视状态下,任何两台电脑之间都没有秘密可言,所有的流量、所有的数据都逃不过你的
眼睛(当然加密的数据不在讨论范畴之内,而且,对数据包分析的结果依赖于你的TCP/IP知识和经验,不同水平的人得出的结果可能会大相径庭)。如果你做
过DEBUG或者反汇编,你会发现二者是那么惊人的相似。Windump是免费软件,命令行下面使用,需要WinPcap驱动.
1.2 功能简介
1.2.1 运行
我们打开一个命令提示符,运行windump后出现:
D:\>windump
windump:listening
on\Device\Packet_{9D9A4413-7F41-463A-BA3C-B17145F4A626}
1.2.2 Windump参数简介
windump支持相当多的不同参数,如使用-i参数指定Windump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存,等等。
Windump的参数很多,运行windump -h可以看到:
D:\>windump -h
windump version current-cvs.Windump.org, based on Windump version
current-cvs.tc
pdump.org
WinPcap version 3.0 alpha, based on libpcap version
current-cvs.Windump.org
Usage: windump [-aAdDeflnNOpqRStuvxX] [-B size] [-c count] [ -C
file_size ]
[ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ]
[ -T type ] [ -w file ] [ -E algo:secret ] [ expression_r ]
Windump的参数选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;如Windump -l>tcpcap.txt
-n 不把网络地址转换成名字;
-N 不打印出默认的域名。
-nn 不进行端口名称的转换。
-O 不进行匹配代码的优化
-t 在输出的每一行不打印时间戳;
-tt 打印原始的、未格式化过的时间。
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,Windump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
直接启动windump将监视第一个网络界面上所有流过的数据包,然而更复杂的windump参数是用于过滤目的,这是因为网络中流量很大,如果不加分辨
将所有的数据包都截留下来,数据量太大,反而不容易发现需要的数据包。使用这些参数定义的过滤规则可以截留特定的数据包,以缩小目标,才能更好的分析网络
中存在的问题。windump使用参数指定要监视数据包的类型、地址、端口等,根据具体的网络问题,充分利用这些过滤规则就能达到迅速定位故障的目的。
1.2.3 Windump表达式介绍
表达式是一个正则表达式,Windump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。
ü 第一种是关于类型的关键字,主要包括host,net,port, 例如 host 192.168.0.111,指明
192.168.0.111是一台主机,net 192.168.0.0 指明 192.168.0.0是一个网络地址,port 23
指明端口号是23。如果没有指定类型,缺省的类型是host.
ü 第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src
,这些关键字指明了传输的方向。举例说明,src192.168.0.94 ,指明ip包中源地址是192.168.0.94 , dst
net 192.168.0.0 指明目的网络地址是192.168.0.0。如果没有指明方向关键字,则缺省是src or
dst关键字。
ü
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定
的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和
分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则Windump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway,
broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ',
与运算是'and','&&';或运算 是'or'
,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
A想要截获所有192.168.0.94 的主机收到的和发出的所有的数据包:
#Windump host 192.168.0.94
B想要截获主机192.168.0.94 和主机192.168.0.168
或192.168.0.111的通信,使用命令:(在命令行中适用括号时,一定要
#Windump host 192.168.0.94 and (192.168.0.168 or
192.168.0.111)
C如果想要获取主机192.168.0.94除了和主机192.168.0.111之外所有主机通信的ip包,使用命令:
#Windump ip host 192.168.0.94 and ! 192.168.0.111
D如果想要获取主机192.168.0.94接收或发出的telnet包,使用如下命令:
#Windump tcp port 23 host 192.168.0.94
1.2.4 Windump的输出结果介绍
下面我们介绍几种典型的Windump命令的输出信息
ü A,数据链路层头信息
使用命令
#Windump --e host test100
16:20:51.602645 arp who-has TEST100 tell wh
16:20:51.602931 arp reply TEST100 is-at 0:1:2:9a:d:24
16:20:51.602979 wh.137 > TEST100.137:
16:29:26.397806 TEST100.139 > wh.1226: .
4218060367:4218060368(1) ack 4122708076 win 17223
分析:16:20:51是显示的时间,
602645是ID号,首先主机wh发出arp请求test100的MAC地址,接着test100返回了它的MAC地址,wh的137与test100
的137端口发送.test100的139端口向wh的1226端口发送数据, ack 4122708076
表明对序列号是4122708076的包进行响应. win 17223表明发送窗口的大小是17223
ü B,ARP包的WINDUMP输出信息
使用命令
#Windump arp
得到的输出结果是:
22:32:42.802509 arp who-has 192.168.0.168 tell 192.168.0.94
22:32:42.802902 arp reply 192.168.0.168 is-at 0:1:2:9a:d:24
分析: 22:32:42是时间戳, 802509是ID号, arp表明是ARP请求包, who-has 192.168.0.168
tell 192.168.0.94 表示主机192.168.0.94请求主机192.168.0.168的MAC地址.接着arp
reply 192.168.0.168 is-at
0:1:2:9a:d:24表示主机192.168.0.168收到请求并返回自己的MAC地址.
Unix下的Tcpdump格式略有不同,如下
22:32:42.802509 eth0 > arp who-has route tell ice
(0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at
0:90:27:12:10:66 (0:90:27:58:af:1a)
eth0 <表示从网络接口eth0 接受该数据包,eth0
>表示从网络接口设备发送数据包, 其他与windump一样.
ü C,TCP包的输出信息
用WINDUMP捕获的TCP包的一般输出信息是:
时间戳&ID号 src.port1>dst.port2 : flags
data-seqno ack window urgent options
02:53:03是时间戳, 541838是ID号,src > dst:表明从源地址到目的地址,
port1,port2代表端口号,flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R
(RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号,
window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. Options是选项.
ü D,UDP包的输出信息
用WINDUMP捕获的UDP包的一般输出信息是:
时间戳&ID号 src.port1>dst.port2: udp
length
UDP十分简单,上面的输出行表明从主机src的port1端口发出的一个UDP数据包到主机dst的port2端口,类型是UDP,
包的长度是length
1.2.5 Windump网络数据的过滤
不带任何参数的Windump将搜索系统中所有的网络接口,并显示它截获的所有数据,这些数据对我们不一定全都需要,而且数据太多不利于分析。所以,我们应当先想好需要哪些数据,Windump提供以下参数供我们选择数据:
Windump后直接跟 数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。例如:
D:\>Windump arp //将只显示网络中的arp即地址转换协议信息。
-i选择过滤的网络接口,如果是作为路由器至少有两个网络接口,通过这个选项,就可以只过滤指定的接口上通过的数据。例如:
src、dst、port、host、net、ether、gateway这几个选项又分别包含src、dst、port、host、net、ehost
等附加选项。他们用来分辨数据包的来源和去向,src host 192.168.0.1指定源主机IP地址是192.168.0.1,dst
net
192.168.0.0/24指定目标是网络192.168.0.0。以此类推,host是与其指定主机相关无论它是源还是目的,net是与其指定网络相
关的,ether后面跟的不是IP地址而是物理地址,而gateway则用于网关主机。可能有点复杂,看下面例子就知道了:
D:\>Windump src host 192.168.0.1 and dst net
192.168.0.0/24
过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头。
D:\>Windump ether src 00:50:04:BA:9B and dst……
过滤源主机物理地址为XXX的报头(为什么ether src后面没有host或者net?物理地址当然不可能有网络喽)。
D:\>Windump src host 192.168.0.1 and dst port not
telnet
过滤源主机192.168.0.1和目的端口不是telnet的报头。
ip icmp arp rarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。例如:
D:\>Windump ip src……
只过滤数据-链路层上的IP报头。
D:\>Windump udp and src host 192.168.0.1
只过滤源主机192.168.0.1的所有udp报头
-n不进行IP地址到主机名的转换。
1.2.6 Windump实战解析
我经常用的命令是windump –n –S,或者windump –n –S –v 或者windump
–n-S-vv.-n表示源地址和目的地址不采用主机名的形式显示而采用IP地址的形式;-S是显示TCP/IP的实际进程数,如果不选择这个选项,可能
出现的就是近似值,比如:如果现在的进程数是87334271,下一秒变成了多了一个,就会显示出来是87334272.-v和-vv是让机器显示更加全
面的信息,显示诸如存活时间/IP的ID等信息.,上一节1.2.2中已经对各参数的详细功能做了介绍.
接着我们对TCP握手过程进行嗅探分析,在windows命令行界面下,运行windump,如下:
D:\>windump –n
windump: listening
on\Device\Packet_{9D9A4413-7F41-463A-BA3C-B17145F4A626}
02:53:03.541838 192.168.0.194.4423 >
192.168.0.168.80: S 4057648491:4057648491(0) win 16384
(DF)
02:53:03.542005 192.168.0.168.1234 >
192.168.0.194.4423: S 1391008532:1391008532(0) ack 4057648492 win
17520
(DF)
02:53:03.542167 192.168.0.194.4423 >
192.168.0.168.1234: . ack 1 win 17520 (DF)
当TCP三次握手不成功又是怎么样的呢?接着telnet到一台没有开telnet服务的计算机上面,插看windump抓获的数据包
C:\Documents and Settings\wh>telnet
192.168.0.194
Connecting To 192.168.0.194...Could not open a connection to host
on port 23 : Connect failed
D:\>windump –n
windump: listening
on\Device\Packet_{9D9A4413-7F41-463A-BA3C-B17145F4A626}
18:19:45.278916 arp who-has 192.168.0.194 tell 192.168.0.168
18:19:45.279090 arp reply 192.168.0.194 is-at
0:d0:f8:38:de:ab
18:19:45.279108 192.168.0.168.1148 >
192.168.0.194.23: S 2869223552:2869223552(0) win 16384
(DF)
18:19:45.279269 192.168.0.194.23 >
192.168.0.168.1148: R 0:0(0) ack 2869223553 win 0
18:19:45.769542 192.168.0.168.1148 >
192.168.0.194.23: S 2869223552:2869223552(0) win 16384
(DF)
18:19:45.769757 192.168.0.194.23 >
192.168.0.168.1148: R 0:0(0) ack 1 win 0
18:19:46.316397 192.168.0.168.1148 >
192.168.0.194.23: S 2869223552:2869223552(0) win 16384
(DF)
18:19:46.316636 192.168.0.194.23 >
192.168.0.168.1148: R 0:0(0) ack 1 win 0
以上是利用Windump对TCP的三次握手过程进行分析,Windump的参数很多,功能也非常强大,实际运用中根据实际的需求,来设置参数,获得你所需要的信息.相信每次使用都会有不同的收获.
阅读(1745) | 评论(0) | 转发(0) |