Kali-3·Tcpdump抓包

一、概念：

• 传输的各种数据，在网络中都是一个个的数据包
• tcpdump是命令行抓取数据包的工具

二、Tcpdump常用抓包命令：

-- 基本语法：

• -tcpdump [选项] [过滤条件]

-- 常见监控选项

• -i：指定抓取哪块网卡进入的数据包
• -A：转换为ASCII码，使得可读
• -w：抓包写入文件
• -r：从文件中读取抓包信息
• -c：定义抓包的个数

-- 常用的过滤条件

• 类型：host、net、port、portrange600-800
  -使用host过滤主机
  -使用net过滤网段
  -使用port过滤端口
• 方向：src、dst
• 协议：tcp、udp、ip、wlan、arp
• 多个条件组合：and、or、not

-- 示例：

• 抓取eth0上进出的、与192.168.88.11有关的、涉及TCP21（ftp）端口的数据包。

# 终端开启抓包
┌──(kali㉿kali)-[~]
└─$ sudo tcpdump -i eth0 -A host 192.168.88.11 and tcp port 21

• 在新的终端进行FTP登录

# 在新终端登陆ftp
┌──(kali㉿kali)-[~]
└─$ ftp 192.168.88.11
Connected to 192.168.88.11.
220 (vsFTPd 3.0.2)
Name (192.168.88.11:kali): tom   # 用户名
331 Please specify the password.
Password:abc123   # 此处是tom的密码
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit    # 退出
221 Goodbye.

• 查看抓包数据

# 在第一个终端可以看到明文的用户名和密码
┌──(kali㉿kali)-[~]
└─$ sudo tcpdump -i eth0 -A host 192.168.88.11 and tcp port 21
tcpdump -A dst host 192....
...
..10:00:32.2492081P 192.168.88....
:.... user mickey
10:00:34.9681731P 192....
:.....pass 123456000000.8

• 保持抓包数据至文件ftp.cap

# 将抓到的包存入文件ftp.cap
┌──(kali㉿kali)-[~]
└─$ sudo tcpdump -i eth0 -A -w ftp.cap host 192.168.88.11 and tcp port 21