网络相关工具的使用.docx
《网络相关工具的使用.docx》由会员分享,可在线阅读,更多相关《网络相关工具的使用.docx(35页珍藏版)》请在冰豆网上搜索。
网络相关工具的使用
目录
1.Wireshark2
1.1Wireshark介绍2
1.2Wireshark安装与配置介绍2
1.3Wireshark窗口介绍:
4
1.4实例分析TCP三次握手过程6
2.FireBug8
2.1FireBug介绍8
2.2FireFox安装9
2.3FireBug使用方法10
3.Netstat15
3.1Netstat介绍15
3.2Netstat使用15
4.Telnet19
4.1Telnet介绍19
4.2开启telnet服务19
4.3telnet命令20
4.4远程桌面演示20
4.5Telnet入侵演示22
5.Tracert24
5.1Tracert介绍24
5.2Tracert参数介绍24
5.3Tractert演示24
6.Windump25
6.1Windump介绍25
6.3Windump参数介绍25
6.4Windump使用介绍26
7.WinPcap27
7.1WinPcap介绍27
7.2Winpcap驱动功能27
7.3Winpcap使用27
8.ZMap31
8.1ZMap介绍31
8.2ZMap常用参数31
8.3ZMap安装32
8.4ZMap使用32
网络相关工具使用
1.Wireshark
1.1Wireshark介绍
Wireshark(前称Ethereal)是一个网络封包分析软件。
网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。
当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……
1.2Wireshark安装与配置介绍
(1)下载Wiresharkan安装包,并安装此软件,如图1–1所示。
安装成功后打开软件,开始界面显示如图1-2所示。
图1–1
图1–2
(2)图1-3所示就是抓包选项界面,首先中最上面的红框是选择需要抓的网卡。
然后CaptureFilter中就是要写抓包规则的地方,也叫做“过滤规则”,规则写好后,点下面的Start就开始抓包了。
图1-4所示显示的是本机网卡的信息。
图1–3
图1–4
1.3Wireshark窗口介绍:
WireShark主要分为这几个界面
1.DisplayFilter(显示过滤器), 用于过滤
2.PacketListPane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。
颜色不同,代表
3.PacketDetailsPane(封包详细信息),显示封包中的字段
4.DissectorPane(16进制数据)
5.Miscellanous(地址栏,杂项)
(1)显示过滤器,如图1-5所示。
图1-5
使用过滤是非常重要的,如果不能很好地使用过滤器,那么将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分,搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,
◆一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
◆一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。
在Capture->CaptureFilters中设置,需要在开始捕捉前设置。
。
使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。
这就是为什么过滤器会如此重要。
它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
(2)过滤表达式的的规则
a.协议过滤:
比如TCP,只显示TCP协议。
b.IP过滤。
比如ip.src==192.168.1.102显示源地址为192.168.1.102,ip.dst==192.168.1.102,目标地址为192.168.1.102
c.端口过滤:
tcp.port==80, 端口为80的;tcp.srcport==80,只显示TCP协议的愿端口为80的。
d.Http模式过滤:
http.request.method=="GET",只显示HTTPGET方法的。
e.逻辑运算符为AND/OR。
f.常用的过滤表达式:
ip.src==172.16.220.1orip.dst==172.16.220.1,源地址或者目标地址是172.16.220.1,只查看HTTP协议的记录。
(3)封包列表(PacketListPane)
图1-6
如图1-6所示,封包列表的面板中显示编号、时间戳、源地址、目标地址、协议、长度以及封包信息。
我们可以看到不同的协议用了不同的颜色显示。
我们也可以修改这些显示颜色的规则,菜单栏View->ColoringRules。
(4)
封包详细信息是最重要的,用来查看协议中的每一个字段。
各行信息分别为
Frame:
物理层的数据帧概况。
EthernetII:
数据链路层以太网帧头部信息。
InternetProtocolVersion4:
互联网层IP包头部信息。
TransmissionControlProtocol:
传输层T的数据段头部信息,此处是TCP。
HypertextTransferProtocol:
应用层的信息,此处是HTTP协议。
Wireshark与对应的OSI七层模型图如图1-7所示。
图1-7
1.4实例分析TCP三次握手过程
(1)三次握手的过程,如图1-8所示。
(2)在Wireshark中获得的三次握手的数据包显示如图1-9所示中红色方框中的数据。
图1-9
(3)第一次握手数据包。
客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。
如图1-10所示。
图1-10
(4)第二次握手的数据包。
服务器发回确认包,标志位为SYN,ACK.将确认序号(AcknowledgementNumber)设置为客户的ISN加1以.即0+1=1,如图1-11所示。
图1-11
(5)第三次握手的数据包。
客户端再次发送确认包(ACK)SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如图1-12所示。
图1-12
2.FireBug
2.1FireBug介绍
Firebug是firefox下的一个扩展,能够调试所有网站语言,如HTML、CSS等,但FireBug最吸引人的就是JavaScript调试功能,使用起来非常方便,而且在各种浏览器下都能使用(IE,Firefox,Opera,Safari)。
除此之外,其他功能还很强大,比如html,css,dom的查看与调试,网站整体分析等等。
总之就是一整套完整而强大的WEB开发工具。
再有就是其为开源的软件。
Firebug是网页浏览器MozillaFirefox下的一款开发类扩展。
它集HTML查看和编辑、Javascript控制台、网络状况监视器于一体,是开发JavaScript、CSS、HTML和Ajax的得力助手。
Firebug如同一把精巧的瑞士军刀,从各个不同的角度剖析Web页面内部的细节层面,给Web开发者带来很大的便利。
Firebug也是一个除错工具。
用户可以利用它除错、编辑、甚至删改任何网站的CSS、HTML、DOM以及JavaScript代码。
2.2FireFox安装
(1)安装FireFox需要先安装FireFox(火狐)浏览器,然后在火狐浏览器工具栏的最右边的点击【打开菜单】工具中的【附加组件】中添加,如图2-1所示。
图2-1
(2)进入附加组件之后,然后在搜索框中搜索firebug附加组件,找到之后安装即可,,如图2-2所示。
安装完成后重启浏览器就行了。
图2-2
2.3FireBug使用方法
(1)启用FireBug调试工具可以点击火狐浏览器右上角的一个虫形图标(
)工具,也可以通过快捷键F12调用FireBug,显示如图2-3所示。
图2-3
(2)FireBug工具主要有功能调试区主要有七大调试功能,如图2-4中红色方面框中所示。
a.控制台(Console)
b.HTML(HTML查看器)
c.CSS(CSS查看器)
d.脚本
e.Dom(Dom查看器)
f.网路(网络查看器)
g.Cookie(cookie插件的内容查看器)
图2-4
(3)控制台(Console)
控制台能够显示当前页面中的javascript错误以及警告,并提示出错的文件和行号,方便调试,这些错误提示比起浏览器本身提供的错误提示更加详细且具有参考价值。
而且在调试Ajax应用的时候也是特别有用,你能够在控制台里看到每一个XMLHttpRequests请求post出去的参数、URL,http头以及回馈的内容,原本似乎在幕后黑匣子里运作的程序被清清楚楚地展示在你面前。
调试结果显示,如图2-5所示。
图2-5
(4)HTML(HTML查看器)
在HTML查看器中,我们看到的是已经经过格式化的HTML代码,它有清晰的层次,你能够方便地分辨出每一个标签之间的从属并行关系,标签的折叠功能能够帮助你集中精力分析代码。
源代码上方还标记出了DOM的层次,如图2-6所示,它清楚地列出了一个hml元素的CSS、JavaScript、body等元素的位置,层次清晰。
图2-6
(5)CSS(CSS样式查看器)
Firebug的CSS查看器不仅自下向上列出每一个CSS样式表的从属继承关系,还列出了每一个样式在哪个样式文件中定义。
你可以在这个查看器中直接添加、修改、删除一些CSS样式表属性,并在当前页面中直接看到修改后的结果。
如图2-7所示,鼠标放到引用的图片路径上面就可以显示出图片。
图2-7
(6)脚本
这是一个很不错的javascript脚本调试器,占用空间不大,但是单步调试、设置断点、变量查看窗口一个不少。
如图2-8所示,红色方框中即是设置的调试断点,我们可以通过F5刷新,然后点击F11单步调试网页。
图2-8
(7)Dom(Dom查看器)
Firebug的Dom查看器却能方便地浏览Dom的内部结构,帮助你快速定位Dom对象。
双击一个Dom对象,就能够编辑它的变量或值,编辑的同时,你可能会发现它还有自动完成功能,按下Tab键就可以完成自动补充功能。
Dom查看器显示如图2-9所示。
图2-9
(8)网络(net查看器)
Firebug的网络监视器同样是功能强大的,它能将页面中的CSS、javascript以及网页中引用的图片载入所消耗的时间以矩状图呈现出来,在这里你可以找到拖慢了你的网页的元凶,进而对网页进行调优。
如图2-10所示就显示了网页的下载速度、大小和所用时间。
图2-10
(9)Cookie(Cookie插件查看器)
Cookie查看器一般用于查看网页临时保存的内容条数、所属域、数据大小等。
显示如图2-11所示。
图2-11
3.Netstat
3.1Netstat介绍
Netstat是在内核中访问网络及相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。
Netstat是控制台命令,是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。
Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。
3.2Netstat使用
(1)Netstat命令的一般格式为:
netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval]
(2)Netstat的参数及其含义:
-a显示所有socket,包括正在监听的。
-c每隔1秒就重新显示一遍,直到用户中断它。
-i显示所有网络接口的信息,格式“netstat-i”。
-n以网络IP地址代替名称,显示出网络连接情形。
-r显示核心路由表,格式同“route-e”。
-t显示TCP协议的连接情况
-u显示UDP协议的连接情况。
-v显示正在进行的工作。
-p显示指定协议信息。
-b显示在创建每个连接或侦听端口时涉及的可执行程序。
-e显示以太网统计。
此选项可以与-s选项结合使用。
-f显示外部地址的完全限定域名(FQDN)。
-o显示拥有的与每个连接关联的进程ID。
-s显示每个协议的统计。
-x显示NetworkDirect连接、侦听器和共享端点。
-y显示所有连接的TCP连接模板。
无法与其他选项结合使用。
(3)Netstat命令的列标题
Name:
接口的名字
Mtu:
接口的最大传输单位
Net/Dest:
接口所在的网络
Address:
接口的IP地址
Ipkts:
接收到的数据包数目
Ierrs:
接收到时已损坏的数据包数目
Opkts:
发送的数据包数目
Oeers:
发送时已损坏的数据包数目
Collisions:
由这个接口所记录的网络冲突数目
(4)常见状态
在原模式中没有状态,在用户数据报协议中也经常没有状态,于是状态列可以空出来。
若有状态,通常取值为:
LISTEN:
侦听来自远方的TCP端口的连接请求。
SYN-SENT:
在发送连接请求后等待匹配的连接请求。
SYN-RECEIVED:
在收到和发送一个连接请求后等待对方对连接请求的确认。
ESTABLISHED:
代表一个打开的连接。
FIN-WAIT-1:
等待远程TCP连接中断请求,或先前的连接中断请求的确认。
FIN-WAIT-2:
从远程TCP等待连接中断请求。
CLOSE-WAIT:
等待从本地用户发来的连接中断请求。
CLOSING:
等待远程TCP对连接中断的确认。
LAST-ACK:
等待原来的发向远程TCP的连接中断请求的确认。
TIME-WAIT:
等待足够的时间以确保远程TCP接收到连接中断请求的确认。
CLOSED:
没有任何连接状态。
(5)命令演示
●netstat/?
:
打开所有帮助信息,显示如图3-1所示。
图3-1
●Netstat-a:
显示所有连接端口,显示结果如图3-2所示。
图3-2中显示了4列信息,分别是协议、本地地址、外部地址以及状态信息,我们可以根据其中显示的信息内容对进行详细的分析。
3-2
●Netstat-e:
显示以太网数据统计。
显示结果如图3-3所示。
图3-3
●Netstat-r:
显示路由表。
显示结果如图3-4所示。
图3-4
4.Telnet
4.1Telnet介绍
Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。
它为用户提供了在本地计算机上完成远程主机工作的能力。
在终端使用者的电脑上使用telnet程序,用它连接到服务器。
终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。
可以在本地就能控制服务器。
要开始一个telnet会话,必须输入用户名和密码来登录服务器。
Telnet是常用的远程控制Web服务器的方法。
Telnet服务虽然也属于客户机/服务器模型的服务,但它更大的意义在于实现了基于Telnet协议的远程登录。
先来看看什么叫登录:
分时系统允许多个用户同时使用一台计算机,为了保证系统的安全和记账方便,系统要求每个用户有单独的帐号作为登录标识,系统还为每个用户指定了一个口令。
用户在使用该系统之前要输入标识和口令,这个过程被称为'登录'。
远程登录是指用户使用Telnet命令,使自己的计算机暂时成为远程主机的一个仿真终端的过程。
仿真终端等效于一个非智能的机器,它只负责把用户输入的每个字符传递给主机,再将主机输出的每个信息回显在屏幕上。
4.2开启telnet服务
(1)打开【控制面板】,选择【程序】,然后选择【启动或关闭Windows程序】,显示如图4-1所示。
图4-1
(2)然后在windows功能中勾选上Telnet服务器和Telnet客户端,如图4-2中红色方框中所示。
最后点击确定即可!
图4-2
4.3telnet命令
c-close:
关闭当前链接
d-display:
显示操作参数
o-openhostname[port]:
链接到主机,hostname为主机名称、IP地址或网站域名,[port]为端口号,默认为23端
q-quit:
退出telnet程序
set-set:
设置选项。
如果需要帮助列表,则需要键入set?
sen-send:
将字符串发送到服务器
st-status:
显示状态信息
u-unset:
解除设置选项,如果需要帮助列表,请键入unset?
?
/h-help:
显示帮助信息
4.4远程桌面演示
(1)使用telnet命令远程,之前先演示一下远程桌面。
首先在服务里面打开一下telnet服务,如图4-3所示。
图4-3
(2)然后输入用户名和密码,如图4-4所示。
图4-4
(3)远程桌面成功,结果如图4-5所示。
图4-5
4.5Telnet入侵演示
(1)在DOS命令下输入telnetIP地址。
输入显示如图4-6所示。
图4-6
(2)登陆之后显示如图4-7所示界面。
图4-7
(3)登陆之后需要输入用户名和密码进行登录,登录界面显示如图4-8所示。
图4-8
(4)telnet成功之后显示如图4-9所示。
图4-9
(5)若要成功telnet到目标主机上,需要创造几个条件:
●目标主机必须打开端口为23的telnet服务。
●拥有目标主机的系统帐号和密码,
●系统帐户必须拥有管理员权限了,即该帐户属于administrator组成员。
●系统帐号必须具有密码,否则在telnet连接时会失败。
5.Tracert
5.1Tracert介绍
tracert为tracerouter的缩写,是路由跟踪实用程序,用于确定IP数据包访问目标所采取的路径。
Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。
通过向目标发送不同IP生存时间(TTL)值的“Internet控制消息协议(ICMP)”回应数据包,Tracert诊断程序确定到目标所采取的路由。
要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。
数据包上的TTL减为0时,路由器应该将“ICMP已超时”的消息发回源系统。
Tracert先发送TTL为1的回应数据包,并在随后的每次发送过程将TTL递增1,直到目标响应或TTL达到最大值,从而确定路由。
通过检查中间路由器发回的“ICMP已超时”的消息确定路由。
某些路由器不经询问直接丢弃TTL过期的数据包,这在Tracert实用程序中看不到。
5.2Tracert参数介绍
-d:
防止tracert试图将中间路由器的IP地址解析为它们的名称。
这样可加速显示tracert的结果。
-hMaximumHops:
指定搜索目标(目的)的路径中存在的跃点的最大数。
默认值为30个跃点。
-jHostList:
指定回显请求消息将IP报头中的松散源路由选项与HostList中指定的中间目标集一起使用。
使用松散源路由时,连续的中间目标可以由一个或多个路由器分隔开。
HostList中的地址或名称的最大数量为9。
HostList是一系列由空格分隔的IP地址(用带点的十进制符号表示)。
仅当跟踪IPv4地址时才使用该参数。
-wTimeout:
指定等待“ICMP已超时”或“回显答复”消息(对应于要接收的给定“回现请求”消息)的时间(以毫秒为单位)。
如果超时时间内未收到消息,则显示一个星号(*)。
默认的超时时间为4000(4秒)。
-R:
指定IPv6路由扩展标头应用来将“回显请求”消息发送到本地主机,使用目标作为中间目标并测试反向路由。
-S:
指定在“回显请求”消息中使用的源地址。
仅当跟踪IPv6地址时才使用该参数。
-4:
指定Tracert.exe只能将IPv4用于本跟踪。
-6:
指定Tracert.exe只能将IPv6用于本跟踪。
TargetName:
指定目标,可以是IP地址或主机名。
-?
:
在命令提示符下显示帮助。
5.3Tractert演示
当服务器访问变慢时,我们ping服务器的IP可能会得到一个比较长(大于100ms)的返回时间,这时我们就可以借助于ping和tracert命令来判断问题所在。
在图5-1所是我们追踪XX的服务追踪信息,从追踪中我们可以看出,从221.176.98.142之后请求超时比较严重。
图5-1
6.Windump
6.1Windump介绍
Windump是Windows环境下一款经典的网络协议分析软件,其Unix版本名称为Tcpdump。
它可以捕捉网络上两台电脑之间所有的数据包,供网络管理员/入侵分析员做进一步流量分析和入侵检测。
但对数据包分析的结果依赖于你的TCP/IP知识和经验,不同水平的人得出的结果可能会大相径庭。
其与DEBUG或反汇编很相似。
6.3Windump参数介绍
-D:
列出所有的接口。
-iinterface:
指定用于抓包的接口。
-cpacketcount:
指定抓包的个数。
-wfilename:
指定用于保存抓到的包的文件名。
-Cfilesize:
指定用于保存抓到的包的文件大小。
-Wfilecount:
指定保存多少个文件。
-mMIBmodule:
指定要load的MIBmodule。
-Tsnmp:
指定抓到的包的类型。
-nn:
指定不用解析主机名和端口名。
-ssnaplength:
指定抓包的长度,默认为68bytes,若设为0则保存整个包。
6.4Windump使用介绍
(1)首先需要下载一个Windump.exe文件。
然后在DOS窗口运行软件,运行结果显示如图6-1所示。
图中显示我的Windump.exe文件放在E盘的根目录下。
运行之后第一行显示的是我的网卡信息。
图6-1
(2)TCP三次握手。
结果显示如图6-2所示。
图6-2
7.WinPcap
7.1WinPcap介绍
winpcap(windowspacketcapture)是windows平台下一个免费,公共的网络访问系统。
开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。
它用于windows系统下的直接的网络编程。
Winpcap提供
升级会员 