今天我们来学习对tcpdump输出内容的学习和了解【

作者: 操作系统  发布:2019-11-29

    经过前边的上学,tcpdump的用法相信应该都调控了,今日大家来学学对tcpdump输出内容的求学和理解。大家以率先个示范进行讲明如下所示:

为了加强通晓IP左券和有些DoS攻击花招大家有无法缺乏看看以下内容,恐怕对您理解这么些定义有所扶助.先来寻访IP碎片是怎么样爆发的呢。

转载:http://blog.csdn.net/zhangliangzi/article/details/52554439

IP左券包解析

[root@localhost ~]# tcpdump -i ens5f1 -nn -X 'port 22' -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
22:34:11.334916 IP 192.168.8.8.22 > 112.64.61.186.37035: Flags [P.], seq 3341229570:3341229782, ack 1999159071, win 31152, length 212
    0x0000:  4510 00fc 7e99 4000 4006 44a8 c0a8 0808  E...~.@.@.D.....
    0x0010:  7040 3dba 0016 90ab c727 1e02 7728 bf1f  p@=......'..w(..
    0x0020:  5018 79b0 7799 0000 0000 00b0 823d 4cf1  P.y.w........=L.
    0x0030:  1108 58fc 3686 2bd2 5220 fe37 85ab 74cc  ..X.6.+.R..7..t.
    0x0040:  bfb1 8831 7d1c 3b57 52ae aa91 28a2 67d8  ...1}.;WR...(.g.
    0x0050:  08fb a257 7fc8 7186 39dc d266 3d32 cce8  ...W..q.9..f=2..
    0x0060:  3eb7 130b a7d3 833b 59c9 bdf8 2141 6863  >......;Y...!Ahc
    0x0070:  7cae 25ff 459e c94a a635 7098 6925 db48  |.%.E..J.5p.i%.H
    0x0080:  a9b0 32ab 5393 737f cf8c f2ed b47a 7d8b  ..2.S.s......z}.
    0x0090:  346c 39df 3ecc d2b0 e0ad 5104 272d 6513  4l9.>.....Q.'-e.
    0x00a0:  4b8d 5ee6 6c7d 9477 e40b 8637 996a bb5a  K.^.l}.w...7.j.Z
    0x00b0:  471a 2ac4 3335 266d 0485 2e52 b2c2 f6e8  G.*.35&m...R....
    0x00c0:  0549 5ae0 9c7b ad45 da0a eef2 1ccb b2ac  .IZ..{.E........
    0x00d0:  a4a2 0a96 cc5f 238c 9570 0d15 984e 6f58  ....._#..p...NoX
    0x00e0:  d8ff 8034 1165 cf44 02e4 ed6b 631e 2548  ...4.e.D...kc.%H
    0x00f0:  56fd 4c8a 664c e5ee d845 2e50            V.L.fL...E.P
1 packet captured
1 packet received by filter
0 packets dropped by kernel

 


第一行

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes

那边仅仅是唤醒借使想获得和查阅更详实的下令能够品味加多的参数。

      意气风发.IP碎片是什么样爆发的

一、IP 首部

9159金沙官网 1

IP 首部

  • 1、第三个4字节(约等于第生龙活虎行):

    • (1)版本号(Version),4位;用于标记IP左券版本,IPv4是0100,IPv6是0110,也正是二进制的4和6。
    • (2)首院长度(Internet Header Length),4位;用于标记首部的尺寸,单位为4字节,所以首局长度最大值为:(2^4 - 1卡塔尔国 * 4 = 60字节,但貌似只援引应用20字节的定势长度。
    • (3)服务类型(Type Of Service),8位;用于标记IP包的优先级,但现行反革命从不选用。
    • 9159金沙官网,(4)总参谋长度(Total Length),十拾壹位;标记IP数据报的总参谋长度,最大为:2^16 -1 = 65535字节。
  • 2、第一个四字节:

    • (1)标记(Identification),15人;用于标记IP数据报,借使因为数量链路层帧数据段长度限定(也便是MTU,援救的最大传输单元),IP数据报需求张开分片发送,则每一种分片的IP数据报标记都以雷同的。
    • (2)标志(Flag),3位,但近期唯有2位有含义;最低位为MF,MF=1代表背后还会有分片的数据报,MF=0代表当前数量报已然是最后的数据报。次没有为DF,DF=1代表不能够分片,DF=0代表能够分片。
    • (3)片偏移(Fragment Offset),十三人;代表有个别分片在本来数据中的相对地方。
  • 3、第多少个四字节:

    • (1)生存时间(TTL),8位;在此之前代表IP数据报最大的生存时间,今后标志IP数据报能够因而的路由器数。
    • (2)左券(Protocol),8位;代表上层传输层协议的门类,1代表ICMP,2意味着I创新霉素P,6意味着TCP,17意味着UDP。
    • (3)校验和(Header Checksum),十几个人;用于注脚数据完整性,计算方式为,首先将官和校官验和职位零,然后将每十三个人二进制反码求和即为校验和,最终写入校验和地方。
  • 4、第多少个四字节:源IP地址

  • 5、第三个四字节:目标IP地址


第二行

listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes

tcpdump监听的网络设施接口和链路层类型(以太网)要抓包的大大小小节制

      链路层具有最大传输单元MTU那么些特点,它界定了数据帧的最大尺寸,不相同的互连网项目都有二个上限值。以太网的MTU是1500,你能够用 netstat -i 命令查看那几个值。借使IP层有数据包要传,何况数据包的长度抢先了MTU,那么IP层将在对数据包实行分片(fragmentation卡塔尔(قطر‎操作,使每一片的长短都低于或等于MTU。大家只要要传输八个UDP数据包,以太网的MTU为1500字节,常常IP首部为20字节,UDP首部为8字节,数据的净荷(payload)部分留住是1500-20-8=1472字节。如若数量部分超过1472字节,就能够见世分片现象。 
      IP首部包蕴了分片和组成所需的音讯: 

二、TCP 首部

9159金沙官网 2

TCP 首部

  • 1、第一个4字节:
    • (1)源端口,16个人;发送数据的源进度端口
    • (2)目标端口,13位;选用数据的进度端口
  • 2、第二个4字节与第四个4字节
    • (1)序号,34个人;代表当前TCP数据段第一个字节占全部字节流的相对地方;
    • (2)确认号,叁十一个人;代表选用端希望接收的数额序号,为上次收到到数据报的序号+1,当ACK标识位为1时才生效。
  • 3、第四个4字节:
    • (1)数据偏移,4位;实际代表TCP首省长度,最大为60字节。
    • (2)6个标记位,各类标记位1位;
      SYN,为协同标识,用于数据同步;
      ACK,为确认序号,ACK=1时认同号才使得;
      FIN,为竣事序号,用于发送端提议断开连接;
      U奥迪Q5G,为热切序号,UPRADOG=1是十万迫切指针有效;
      PSH,提示接纳方立刻将数据交到给应用层,并不是伺机缓冲区满;
      LANDST,重新载入参数连接。
    • (3)窗口值,21人;标志接纳方可接收的数据字节数。精解可参照:http://www.cnblogs.com/woaiyy/p/3554182.html
  • 4、第五个4字节
    • (1)校验和,18位;用于核准数据完整性。
    • (2)急迫指针,十贰个人;唯有当UTiggoG标记位为1时,紧迫指针才有效。急切指针的值与序号的相加值为热切数据的终极一个字节地点。用于发送急切数据。

第三行

22:34:11.334916 IP 192.168.8.8.22 > 112.64.61.186.37035: Flags [P.], seq 3341229570:3341229782, ack 1999159071, win 31152, length 212
  • 22:34:11.334916 :抓包的时日
  • IP : 抓取的数码包位于网络层,即IP包
  • 192.168.8.8.22:抓取包的源IP地址和端口
  • > :数据的传输方向
  • 112.64.61.186.37035:抓取的包目的地IP和端口
  • Flags和前边内容:构建三回握手音讯

      | Identification |R|DF|MF| Fragment Offset | 
      |<-16>|<3>|<-13>|
      参数解释:
      Identification:发送端发送的IP数据包标识字段都以三个唯豆蔻梢头值,该值在分片时被复制到每种片中。 
      大切诺基:保留未用。
      DF:Dont Fragment,“不分片”位,假如将那后生可畏比特置1 ,IP层将不对数据报开展分片。 
      MF:More Fragment,“越来越多的分片”,除了最终一片外,别的每种组成数据报的片都要把该比特置为1。 
      Fragment Offset:该片偏移原始数据包开端处的岗位。偏移的字节数是该值乘以8。 
      了然了分片,也剖判了IP头的一些音讯,让我们看看IP碎片是哪些利用在互连网攻击上的。

三、UDP 首部

9159金沙官网 3

UDP 首部

  • 端口号:用来表示发送和承担进度。由于 I P层已经把I P数据报分配给T C P或U D P(依照I P首部中协商字段值),因此T C P端口号由T C P来查看,而 U D P端口号由UDP来查阅。T C P端口号与UDP端口号是相互独立的。

  • 长度:UDP长度字段指的是UDP首部和UDP数据的字节长度。该字段的最小值为 8字节(发送黄金年代份0字节的UDP数据报是 O K)。

  • 核准和:UDP考验和是二个端到端的核实和。它由发送端总结,然后由选择端验证。其指标是为了开采UDP首部和数据在出殡和下葬端到接受端之间发生的其余变动。

第4~16行

    0x0000:  4510 00fc 7e99 4000 4006 44a8 c0a8 0808  E...~.@.@.D.....
    0x0010:  7040 3dba 0016 90ab c727 1e02 7728 bf1f  p@=......'..w(..
    0x0020:  5018 79b0 7799 0000 0000 00b0 823d 4cf1  P.y.w........=L.
    0x0030:  1108 58fc 3686 2bd2 5220 fe37 85ab 74cc  ..X.6.+.R..7..t.
    0x0040:  bfb1 8831 7d1c 3b57 52ae aa91 28a2 67d8  ...1}.;WR...(.g.
    0x0050:  08fb a257 7fc8 7186 39dc d266 3d32 cce8  ...W..q.9..f=2..
    0x0060:  3eb7 130b a7d3 833b 59c9 bdf8 2141 6863  >......;Y...!Ahc
    0x0070:  7cae 25ff 459e c94a a635 7098 6925 db48  |.%.E..J.5p.i%.H
    0x0080:  a9b0 32ab 5393 737f cf8c f2ed b47a 7d8b  ..2.S.s......z}.
    0x0090:  346c 39df 3ecc d2b0 e0ad 5104 272d 6513  4l9.>.....Q.'-e.
    0x00a0:  4b8d 5ee6 6c7d 9477 e40b 8637 996a bb5a  K.^.l}.w...7.j.Z
    0x00b0:  471a 2ac4 3335 266d 0485 2e52 b2c2 f6e8  G.*.35&m...R....
    0x00c0:  0549 5ae0 9c7b ad45 da0a eef2 1ccb b2ac  .IZ..{.E........
    0x00d0:  a4a2 0a96 cc5f 238c 9570 0d15 984e 6f58  ....._#..p...NoX
    0x00e0:  d8ff 8034 1165 cf44 02e4 ed6b 631e 2548  ...4.e.D...kc.%H
    0x00f0:  56fd 4c8a 664c e5ee d845 2e50            V.L.fL...E.P

上述那几个是IP包的源委,左边是16进制,侧面是ASCII部分。假如想看见那一个现实的数目则需求查阅前风华正茂期中TCP数据报的格式。

  • 4510
    4:IP版本,此处代表为IPv4
    5:代表首参谋长度,此处代表为20B
    10:代表共同商议的服务类型
  • 00fc
    代表数据总参谋长度,00FC:代表总参谋长度为252B
  • 7e99
    意味着标志,假若IP包的深浅抢先了数据链路层的MTU约束,就须求对IP包实行拆分,这时将在用那个域来表示什么包在拆分前是如出一辙组的。此处的标志域为0x7e99
  • 4
    再持续向后看,正是3位标识位,用来调整IP抓分后再行组建用,最低位为MF(More Fragment),中间位为DF(Don't Fragment)不能够分片
  • MF=1:表示后边还会有分片
  • MF=0:表示那已是多少分片中的最终一个
  • DF=0:允许分片
  • 000:片偏移量,此番未有拆分包,所以全为0
  • 40:TTL(Time To Life卡塔尔国,数据包在互连网中的寿命。此处为0x40,进制为64,表示假使中间超过了那么些路由节点,则以为目标不可达,中间路由器将扩充吐弃管理。
  • 06:指上意气风发层协商项目,此处为0x06,能够看见协议编号为6,代表为TCP协议。
  • 44a8:表示IP首部校验和,此处为0x44a8
  • c0a8 0808:IP源地址,此处为192.168.8.8
  • 7040 3dba:IP目标地点:此处为:112.64.60.186
    到此,数据淮安部已经全副解说到位。

 

UDP磋商品邮递包裹解析

    大家先来抓取叁个UDP包,如下所示:

[root@localhost ~]# tcpdump -i ens5f1 -nn -X 'udp' -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
18:18:12.499924 IP 192.168.8.101.137 > 192.168.8.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    0x0000:  4500 004e 31ab 0000 8011 763f c0a8 0865  E..N1.....v?...e
    0x0010:  c0a8 08ff 0089 0089 003a 1277 ddc1 0110  .........:.w....
    0x0020:  0001 0000 0000 0000 2046 4b46 4545 4643  .........FKFEEFC
    0x0030:  4e44 4344 4144 4244 4744 4144 4944 4144  NDCDADBDGDADIDAD
    0x0040:  4245 4945 4645 4841 4100 0020 0001       BEIEFEHAA.....
1 packet captured
1 packet received by filter
0 packets dropped by kernel

相持于IP包来讲,UDP的包要简单相当多,其首部总共就8个字节。而UDP坐落于传输层,自然前边也增添了IP包相关的底部。

  • 0089:源端口为0x0089即:137
  • 0089:指标端口为0x0089即:137
  • 003a:UDP包的总参谋长度,即58字节,去掉首部的8字节后,真正得以用来传输的独有50字节。
  • 1277:UDP校验和。为0x1277

正文同步在Wechat订阅号上发表,如各位小同伴们合意本身的篇章,也足以关怀本身的Wechat订阅号:woaitest,或扫描上面包车型大巴二维码增多关怀:
9159金沙官网 4

      二. IP碎片攻击

      IP首部有八个字节表示全数IP数据包的尺寸,所以IP数据包最长只好为0xFFFF,就是65535字节。假使有意发送总参谋长度超越65535 的IP碎片,一些老的种类基本在管理的时候就能够忍俊不禁难点,引致崩溃可能谢绝服务。别的,借使分片之间偏移量经过全面协会,一些系统就不能够管理,招致死机。所以说,漏洞的导火线是出在重新组合算法上。下边大家逐生龙活虎深入深入分析部分出名的零散攻击程序,来打探如哪个人为创设IP碎片来攻击系统。

 

      1. 攻击方式之ping o death

      ping o death是运用ICMP合同的生机勃勃种碎片攻击。攻击者发送二个尺寸超越65535的Echo Request数据包,指标主机在组合分片的时候会促成事情发生早先分配的65535字节缓冲区溢出,系统日常会崩溃或挂起。ping不正是殡葬ICMP Echo Request数据包的吗?让大家品尝攻击一下呢!不管IP和ICMP首厅长度了,数据长度反正是得陇望蜀,就65535啊,发送八个包:

      # ping -c 1 -s 65535 192.168.0.1 
      Error: packet size 65535 is too large. Maximum is 65507 
      经常的话,Linux自带的ping是不相同意我们做这几个坏事的。
      65507是它计算好的:65535-20-8=65507。Win2K下的ping更抠门,数据只同意65500轻重缓急。所以您必得找此外的程序来发包,但是当前新本子的操作系统已经消除那些毛病了,所以你依然继续往下阅读本文吧。

 

      2. 攻击方式之jolt2

      jolt2.c是在三个死循环中不停的出殡和下葬二个ICMP/UDP的IP碎片,可以使Windows系统的机器死锁。作者测验了没打SP的Windows 贰零零零,CPU利用率会立立刻升到百分百,鼠标不恐怕移动。

      大家用Snort分别抓取接纳ICMP和UDP磋商发送的数据包。 
      发送的ICMP包: 
      01/07-15:33:26.974096 192.168.0.9 -> 192.168.0.1 
      ICMP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29 
      Frag Offset: 0x1FFE Frag Size: 0x9 
      08 00 00 00 00 00 00 00 00 ......... 
      发送的UDP包: 
      01/10-14:21:00.298282 192.168.0.9 -> 192.168.0.1 
      UDP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29 
      Frag Offset: 0x1FFE Frag Size: 0x9 
      04 D3 04 D2 00 09 00 00 61 ........a

     从地方的结果可以旁观:

     分片标记位MF=0,表明是最终二个分片。
     偏移量为0x1FFE,总结重新整合后的尺寸为 (0x1FFE * 8) + 29 = 65549 > 65535,溢出。
     IP包的ID为1109,能够作为IDS检查评定的二个风味。
     ICMP包:
     类型为8、代码为0,是Echo Request;
     校验和为0x0000,程序还未有总括校验,所以确切的说那些ICMP包是私自的。
     UDP包:
     指标端口由客商在命令参数中钦命;
     源端口是目标端口和1235实行O中华V的结果;
     校验和为0x0000,和ICMP的形似,未有测算,违规的UDP。
     净荷部分唯有一个字符a。
     jolt2.c应有能够杜撰源IP地址,可是源程序中并从未把客商打算伪装的IP地址赋值给src_addr,不掌握小编是不是故意的。
     jolt2的熏陶非常的大,通过不停的出殡和安葬这一个偏移量异常的大的数据包,不仅仅死锁未打补丁的Windows系统,同一时间也大大扩展了网络流量。曾经有人利用jolt2模拟互联网流量,测量检验IDS在高负载流量下的笔诛墨伐检验频率,就是运用那些特点。
     
     三. 如何阻止IP碎片攻击

     Windows系统请打上最新的ServicePack,近来的Linux内核已经不受影响。即使可能,在互连网边界上幸免碎片包通过,也许用iptables限定每秒通过碎片包的数目。假设防火墙有结合碎片的功用,请保管自个儿的算法未有毛病,不然被DoS就能够潜濡默化总体互连网。Win2K系统中,自定义IP安全策略,设置“碎片检查”。

     在重重路由上也是有" IP 碎片(Fragment卡塔尔攻击防守"的设置,互联网规模在150台左右,提议IP碎片值设置在:3000包/秒,在海蜘蛛路由上测试过,若是IP碎片值设置过小有一些私性格很顽强在荆棘塞途或巨大压力面前不屈游戏网址打不开。

本文由9159.com发布于操作系统,转载请注明出处:今天我们来学习对tcpdump输出内容的学习和了解【

关键词:

上一篇:北京理工大学,我热爱开源
下一篇:没有了