熟悉抓包工具 tcpdump
tcpdump 利用表达式作为过滤报文的条件,如果一个报文满足表达式的条
件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将
会 被截获。
表达式中需要注意的关键字:
1、关于类型的关键字,主要包括 host、net、port。例如 host 202.38.75.11,
指明 202.38.75.11 是一台主机,net 202.38.0.0 指明 202.38.0.0 是一个网络地址,
port 23 指明端口号是 23。
2、确定传输方向的关键字,主要包括 src、dst、dst or src、dst and src,这些
关键字指明了传输的方向。例如 src 202.38.75.11 指明 ip 包中源地址是
202.38.75.11,dst net 202.38.0.0 指明目的网络地址是 202.38.0.0。
这些关键字可以组合起来构成强大的组合条件来满足人们的需要,例如
tcpdump host 202.38.75.11 and port 80
本实验要求熟悉 tcpdump 的使用,用 man tcpdump 查看帮助
观察 FTP 的两种数据传送模式:
本实验在 Linux 环境下实现,使用 tcpdump 观察 FTP 的两种数据传输模式
(主动模式和被动模式)的区别,在观察被动模式时请注意观察 FTP 命令:
PASV 命令;在观察主动模式时请注意观察 FTP 命令:PORT 命令。
记录主动模式和被动模式的关键数据,并在实验报告中进行分析。
说明:
1. Linux 下命令行模式下的 ftp 客户端程序是 ftp,可以在 ftp 客户端里输入
passive 命令在主动模式和被动模式之间切换。
2. 如果使用 lftp 客户端,可以输入 set ftp:passive‐mode off 关闭被动模式。
3. 如果在图形界面下,同学们也可以使用图形化界面的 gftp 客户端工具,通过
对选项的设置可以实现主动模式和被动模式的切换。
4. 请同学们自己设计 tcpdump 的命令格式(注意使用‐X 选项),并且使用上
述 ftp 客户端程序连接某 ftp 服务器(推荐 202.38.64.123、debian.ustc.edu.cn 或
mail.ustc.edu.cn,大家可以自己随意选取),然后分析 tcpdump 抓到的数据包,对比
ftp 主动模式和被动模式的区别。
***
首先需要打开两个终端,一个用来登录 ftp,一个用来使用 tcpdump 捕获数据包,观察结果。
进入一个终端1,输入命令“ftp home.ustc.edu.cn”,用户名是你的科大邮箱名(@mail
之前的那几个字母),密码是你的科大邮箱密码。登陆后,输入命令“passive”,打开
passive模式。【附:如要退出,输入exit】。
进入另一个终端2,输入命令“ip addr”查看本机IPv4地址,记录下来。
之后在该终端(终端2)输入命令:sudo tcpdump -vvnn -X host home.ustc.edu.cn and
本机IP (你刚才记下的IPv4地址),密码填123456。
在终端一中输入 ls 命令,显示 ftp 当前目录,可以在终端二中观察捕获的数据包,在字符
串中寻找相应的 PASV 和 PORT 命令。
另外还需要在数据包中注意主被动态的端口使用情况
上图是pasv被动模式下的网络连接。