抓包實戰

1.
[email protected]:~$ sudo tcpdump -i wlp4s0 -nn -X 'port 53' -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:48:41.368480 IP 192.168.155.4.5774 > 192.168.155.1.53: 12187+ A? www.baidu.com. (31)

0x0000: 4500 003b fc84 4000 4011 86d6 c0a8 9b04 E..;[email protected]@....... 0x0010: c0a8 9b01 168e 0035 0027 45ea 2f9b 0100 .......5.'E./...

0x0020: 0001 0000 0000 0000 0377 7777 0562 6169 .........www.bai

0x0030: 6475 0363 6f6d 0000 0100 01 du.com..... 1 packet captured

2 packets received by filter 0 packets dropped by kernel

-i選項: 是interface的含義，是指我們有義務告訴tcpdump希望他去監聽哪一個網絡卡。這在我們一臺服務 器有多塊網絡卡時很有必要。預設情況下，tcpdump 會從系統介面列表中搜尋編號最小的已配置好 的介面(不包括 loopback 介面)。一但找到第一個符合條件的介面, 搜尋馬上結束。可以用tcpdump檢視該表。

-nn選項: 意思是說當tcpdump遇到協議號或埠號時，不要將這些號碼轉換成對應的協議名稱或埠名 稱。

-X選項: 告訴tcpdump命令，需要把協議頭和包內容都原原本本的顯示出來(tcpdump會以16進位制和ASCII的形式顯示)，這在進行協議分析時是絕對的利器。

‘port 53’: 這是告訴tcpdump不要看到啥就顯示啥。我們只關心源埠或目的埠是53的資料包，其他的數據包別給我顯示出來。

-c選項: 是Count的含義，這設定了我們希望tcpdump幫我們抓幾個包。

2.
[email protected]:~$ sudo tcpdump -i wlp4s0 -nn -c 10 -l | awk '{print $1}' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes
10 packets captured
10 packets received by filter
0 packets dropped by kernel
11:59:28.456442
11:59:29.276005
11:59:30.300463
11:59:33.172354
11:59:34.197729
11:59:37.269987
11:59:38.293051
11:59:43.414552
11:59:44.241995
11:59:45.258773

-l選項:-l選項的作用就是將tcpdump的輸出變為“行緩衝”方式，這樣可以確保tcpdump遇到的內容一旦 是換行符即將緩衝的內容輸出到標準輸出，以便於利用管道或重定向方式來進行後續處理。 眾所周知，Linux/UNIX的標準I/O提供了全緩衝、行緩衝和無緩衝三種緩衝方式。標準錯誤是不帶 緩衝的，終端裝置常為行緩衝，而其他情況預設都是全緩衝的。 大家在使用tcpdump時，有時會有這樣的需求:“對於tcpdump輸出的內容，提取每一行的第一 個域，即”時間域”，並輸出出來，為後續統計所用”，這種場景下，我們就需要使用到-l來將默認的全緩衝變為行緩衝了。 如果不加-l選項，那麼只有全緩衝區滿，才會輸出一次，這樣不僅會導致輸出是間隔不順暢的，而 且當你ctrl-c時，很可能會斷到一行的半截，損壞統計資料的完整性。

3.
[email protected]:~$ sudo tcpdump -c 1 -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes
ARP, Request who-has N46LB4A51FFLXYS.workgroup tell iPad.workgroup, length 28 1 packet captured
9 packets received by filter
2 packets dropped by kernel

-t選項: 在每行輸出中不列印時間戳

4.
[email protected]:~$ sudo tcpdump -c 1 -F filter.txt
tcpdump: can't open filter.txt: Permission denied
-F 選項:使用file 檔案作為過濾條件表示式的輸入, 此時命令列上的輸入將被忽略. 

該筆記為安全牛課堂學員筆記，想看此課程或者資訊保安類乾貨可以移步到安全牛課堂

Security+認證為什麼是網際網路+時代最火爆的認證？

      牛妹先給大家介紹一下Security+

        Security+ 認證是一種中立第三方認證，其發證機構為美國計算機行業協會CompTIA ；是和CISSP、ITIL 等共同包含在內的國際 IT 業 10 大熱門認證之一，和CISSP偏重資訊保安管理相比，Security+ 認證更偏重資訊保安技術和操作。

       通過該認證證明了您具備網路安全，合規性和操作安全，威脅和漏洞，應用程式、資料和主機安全，訪問控制和身份管理以及加密技術等方面的能力。因其考試難度不易，含金量較高，目前已被全球企業和安全專業人士所普遍採納。

Security+認證如此火爆的原因？  

       原因一：在所有資訊保安認證當中，偏重資訊保安技術的認證是空白的， Security+認證正好可以彌補資訊保安技術領域的空白 。

      目前行業內受認可的資訊保安認證主要有CISP和CISSP，但是無論CISP還是CISSP都是偏重資訊保安管理的，技術知識講的寬泛且淺顯，考試都是一帶而過。而且CISSP要求持證人員的資訊保安工作經驗都要5年以上，CISP也要求大專學歷4年以上工作經驗，這些要求無疑把有能力且上進的年輕人的持證之路堵住。在現實社會中，無論是找工作還是升職加薪，或是投標時候報人員，認證都是必不可少的，這給年輕人帶來了很多不公平。而Security+的出現可以掃清這些年輕人職業發展中的障礙，由於Security+偏重資訊保安技術，所以對工作經驗沒有特別的要求。只要你有IT相關背景，追求進步就可以學習和考試。

       原因二： IT運維人員工作與翻身的利器。

       在銀行、證券、保險、資訊通訊等行業，IT運維人員非常多，IT運維涉及的工作面也非常廣。是一個集網路、系統、安全、應用架構、儲存為一體的綜合性技術崗。雖然沒有程式猿們“生當做光棍，死亦寫程式碼”的悲壯，但也有著“鋤禾日當午，不如運維苦“的感慨。天天對著電腦和機器，時間長了難免有對於職業發展的迷茫和困惑。Security+國際認證的出現可以讓有追求的IT運維人員學習網路安全知識，掌握網路安全實踐。職業發展朝著網路安全的方向發展，解決國內資訊保安人才的匱乏問題。另外，即使不轉型，要做好運維工作，學習安全知識取得安全認證也是必不可少的。

        原因三：接地氣、國際範兒、考試方便、費用適中！

CompTIA作為全球ICT領域最具影響力的全球領先機構,在資訊保安人才認證方面是專業、公平、公正的。Security+認證偏重操作且和一線工程師的日常工作息息相關。適合銀行、證券、保險、網際網路公司等IT相關人員學習。作為國際認證在全球147個國家受到廣泛的認可。

        在目前的資訊保安大潮之下，人才是資訊保安發展的關鍵。而目前國內的資訊保安人才是非常匱乏的，相信Security+認證一定會成為最火爆的資訊保安認證。