网络嗅探数据包分析工具

　　1、ARP原理及攻击
　　2、抓包工具的使用
　　1）tcpdump
　　2）wiresharksniffer
　　1、ARP原理及攻击
　　1）ARP原理：
　　1、正常的arp，把IP地址解析成为MAC地址。
　　2、RARP，把MAC地址解析成IP址
　　3、代理arp
　　4、工作网络层
　　应用层（PDU）
　　传输层（segment）
　　网络层（packet）
　　数据链路层（frame）
　　物理层（bit）
　　2、使用ettercape实现ARP攻击：
　　arpettercape用户名密码等敏感信息的嗅探抓包工具（欺骗）
　　1）安装2。8以上的cmake
　　tarxfcmake2。8。11。1。tar。gz
　　cdcmake2。8。11。1
　　。configuremakemakeinstall
　　2）安装依赖软件
　　yumyinstallncursesdevel
　　yumygroupinstallDesktopPlatformDevelopment
　　yumyinstallbisonflex
　　vimetcyum。repos。doptional。repo
　　〔optional〕
　　baseurlftp：192。168。0。254pubrhel6Optional
　　gpgcheck0
　　yumyinstalllibpcapdevel
　　vimetcyum。repos。depel。repo
　　〔epel〕
　　baseurlhttp：dl。fedoraproject。orgpubepel6x8664
　　gpgcheck0
　　yumyinstallyumplugindownloadonly。noarch
　　yumyinstalllibnet。x8664libnetdevel。x8664downloadonlydownloaddirvartmp
　　rpmivhvartmplibnet。rpm
　　tarxfettercap0。7。6。tar。gz
　　cdettercap
　　mkdirbuild
　　cdbuild
　　cmake。。
　　3、启动ettercap软件
　　ettercapC在字符界面启动
　　ettercapG在图形界面启动
　　操作：
　　、欺骗所有主机
　　、欺骗指定的主机
　　3）使用MAC静态绑定防止ARP病毒攻击
　　arp常用的操作命令：
　　arpn查看arp缓存表
　　arpdip删除对应arp缓存条目
　　arpfetcethers读取arp的绑写文件，实现arp的静态绑定
　　如何arp欺骗：
　　在健康的网络状态下，抓取所有服务器正确的MAC地址（在所有服务器上做此操作）：
　　arpngrepvincompsed1dawk｛print13｝etcethers
　　vimetcrc。local
　　arpfetcether
　　2、抓包工具的使用
　　1）tcpdump（传输网络层）
　　tcpdumpieth0
　　tcpdumpieth0vnn
　　v：显示包含有TTL，TOS值等等更详细的信息
　　n：不要做IP解析为主机名
　　nn：不做名字解析和端口解析
　　更有针对性的抓包：
　　针对IP，网段，端口，协议
　　tcpdumpieth0vnnhost192。168。0。154主机地址里边只要包含地址有：192。168。0。154
　　tcpdumpieth0vnnnet192。168。0。024抓取一个网段数据包
　　tcpdumpieth0vnnport22
　　tcpdumpieth0vnnudp
　　tcpdumpieth0vnnicmp
　　tcpdumpieth0vnnarp
　　tcpdumpieth0vnnip
　　tcpdumpieth0vnnsrchost192。168。0。154
　　tcpdumpieth0vnndsthost192。168。0。154
　　tcpdumpieth0vnnsrcport22
　　tcpdumpieth0vnnsrchost192。168。0。253anddstport22
　　tcpdumpieth0vnnsrchost192。168。0。154orport22
　　tcpdumpieth0vnnsrchost192。168。0。154andnotport22
　　2）wireshark
　　wireshark（windowssniffer）
　　抓取网络数据包并进行逐层分解的协议分析软件
　　yumyinstallwiresharkgnomewireshark
　　抓捉包操作：
　　、在图形界面下执行wireshark
　　、指定抓包的网卡
　　、执行数据包的抓取或者指定过滤规则抓包
　　、查看抓包的信息
　　3）iptraf
　　IPTraf是一个基于控制台的网络监视工具，主要用于收集TCP连接包和字节计数、接口统计和活动指示、TCPUDP交通分析、以及LAN站点包和字节计数之类的数据。
　　IPTraf的功能包括：
　　1。一个显示TCP标志信息、包和字节计数、ICMP细节、OSPF包类型、以及超大IP包警告的IP通信监视器
　　2。显示IP、TCP、UDP、ICMP、非IP及其它IP包计数，IP查验值错误，界面接口活动及包大小计数的接口统计
　　3。一个为公用TCP和UDP程序端口显示进入和出去的包计数的TCP和UDP服务监视器
　　4。一个发现活跃主机并显示它们的活动统计的LAN统计模块
　　5。TCP、UDP和其它协议显示过滤器（因而您可以只查看您想看的通信数据）
　　6。记录日志
　　7。对以太网、FDDI、ISDN、SLIP、PPP、和回环接口的支持
　　8。对Linux内核的内建原始套接字界面的利用，因而它能够在类型广泛的被支持的网卡上使用
　　安装：
　　yumyinstalliptraf
　　使用：
　　1）按IP数据连接查看eth0网卡中的数据通信情况
　　iptrafieth0
　　2）按不同网络接口查看系统中的总体数据通信情况
　　iptrafg
　　3）按TCP、UDP协议分别查看数据通信情况
　　iptrafseth0
　　4）按数据包大小查看eth0网卡中的数据通信情况
　　iptrafzeth0
　　5）查看eth0网卡中各类网络通信数据的详细统计信息，并写入到日志文件
　　iptrafdeth0Lvarlogiptraftraflog。eth0