网络嗅探数据包分析工具

　　1、ARP原理及攻击
　　2、抓包工具的使用
　　1）tcpdump
　　2）wireshark/sniffer
　　1、ARP原理及攻击
　　1）ARP原理：
　　1、正常的arp，把IP地址解析成为MAC地址。
　　2、RARP，把MAC地址解析成IP址
　　3、代理arp
　　4、工作网络层
　　应用层(PDU)
　　传输层(segment)
　　网络层(packet)
　　数据链路层(frame)
　　物理层（bit）
　　2、使用ettercape实现ARP攻击：
　　arp/ettercape --用户名/密码等敏感信息的嗅探抓包工具（ＡＲＰ欺骗）
　　1)安装2.8以上的cmake
　　# tar xf cmake-2.8.11.1.tar.gz
　　# cd cmake-2.8.11.1
　　# ./configure && make && make install
　　2)安装依赖软件
　　# yum -y install ncurses-devel
　　# yum -y groupinstall ＂Desktop Platform Development＂
　　# yum -y install bison flex
　　# vim /etc/yum.repos.d/optional.repo
　　[optional]
　　baseurl=ftp://192.168.0.254/pub/rhel6/Optional/
　　gpgcheck=0
　　yum -y install libpcap-devel
　　==================================
　　# vim /etc/yum.repos.d/epel.repo
　　[epel]
　　baseurl=http://dl.fedoraproject.org/pub/epel/6/x86_64/
　　gpgcheck=0
　　# yum -y install yum-plugin-downloadonly.noarch
　　# yum -y install libnet.x86_64 libnet-devel.x86_64 --downloadonly --downloaddir /var/tmp
　　# rpm -ivh /var/tmp/libnet-*.rpm
　　===================================
　　# tar xf ettercap-0.7.6.tar.gz
　　# cd ettercap
　　# mkdir build
　　# cd build/
　　# cmake ../
　　3、启动ettercap软件
　　# ettercap -C --在字符界面启动
　　# ettercap -G --在图形界面启动
　　操作：
　　１、欺骗所有主机
　　２、欺骗指定的主机
　　3）使用MAC静态绑定防止ARP病毒攻击
　　arp常用的操作命令：
　　arp -n --查看arp缓存表
　　arp -d ip --删除对应arp缓存条目
　　arp -f /etc/ethers --读取arp的绑写文件，实现arp的静态绑定
　　如何arp欺骗：
　　在健康的网络状态下，抓取所有服务器正确的MAC地址（在所有服务器上做此操作）：
　　# arp -n|grep -v incomp|sed 1d|awk ＂{print $1＂	＂$3}＂ > /etc/ethers
　　# vim /etc/rc.local
　　arp -f /etc/ether
　　2、抓包工具的使用
　　1）tcpdump（传输／网络层）
　　tcpdump -i eth0
　　tcpdump -i eth0 -vnn
　　-v：显示包含有TTL，TOS值等等更详细的信息
　　-n：不要做IP解析为主机名
　　-nn：不做名字解析和端口解析
　　更有针对性的抓包：
　　针对IP，网段，端口，协议
　　# tcpdump -i eth0 -vnn host 192.168.0.154 --主机地址里边只要包含地址有：192.168.0.154
　　# tcpdump -i eth0 -vnn net 19 2.168.0.0/24 --抓取一个网段数据包
　　# tcpdump -i eth0 -vnn port 22
　　# tcpdump -i eth0 -vnn udp
　　# tcpdump -i eth0 -vnn icmp
　　# tcpdump -i eth0 -vnn arp
　　# tcpdump -i eth0 -vnn ip
　　# tcpdump -i eth0 -vnn src hos t 192.168.0.154
　　# tcpdump -i eth0 -vnn dst ho st 192.168.0.154
　　# tcpdump -i eth0 -vnn src port 22
　　# tcpdump -i eth0 -vnn src host 192.168.0.253 and ds t port 22
　　# tcpdump -i eth0 -vnn src host 192.168.0.154 or po rt 22
　　# tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22
　　2）wireshark
　　wireshark（windows sniffer）
　　抓取网络数据包并进行逐层分解的协议分析软件
　　# yum -y install wireshark-gnome wireshark
　　抓捉包操作：
　　１、在图形界面下执行wireshark &
　　２、指定抓包的网卡
　　３、执行数据包的抓取/或者指定过滤规则抓包
　　４、查看抓包的信息
　　3）iptraf
　　IPTraf 是一个基于控制台的网络监视工具，主要用于收集 TCP 连接包和字节计数、接口统计和活动指示、TCP/UDP 交通分析、以及 LAN 站点包和字节计数之类的数据。
　　IPTraf 的功能包括：
　　1.一个显示 TCP 标志信息、包和字节计数、ICMP 细节、OSPF 包类型、以及超大 IP包警告的 IP 通信监视器
　　2.显示 IP、TCP、UDP、ICMP、非 IP 及其它 IP 包计数，IP 查验值错误，界面接口活动及包大小计数的接口统计
　　3.一个为公用 TCP 和 UDP 程序端口显示进入和出去的包计数的 TCP 和 UDP 服务监视器
　　4.一个发现活跃主机并显示它们的活动统计的 LAN 统计模块
　　5.TCP、UDP 和其它协议显示过滤器(因而您可以只查看您想看的通信数据)
　　6.记录日志
　　7.对以太网、FDDI、ISDN、SLIP、PPP、和回环接口的支持
　　8.对 Linux内核的内建原始套接字界面的利用，因而它能够在类型广泛的被支持的网卡上使用
　　安装：
　　# yum -y install iptraf
　　使用：
　　1)按IP数据连接查看eth0网卡中的数据通信情况
　　# iptraf -i eth0
　　2)按不同网络接口查看系统中的总体数据通信情况
　　# iptraf -g
　　3)按TCP、UDP协议分别查看数据通信情况
　　# iptraf s eth0
　　4)按数据包大小查看eth0网卡中的数据通信情况
　　# iptraf z eth0
　　5)查看eth0网卡中各类网络通信数据的详细统计信息，并写入到日志文件
　　# iptraf -d eth0 -L /var/log/iptraf/traflog.eth0