libpcap

一、iftop是什么？ iftop 是类似于top的实时流量监控工具。 官方网站： http://www.ex-parrot.com/~pdw/iftop/ 二、iftop有什么用？ iftop 可以用来监控网卡的实时流量（可以指定网段）、反向解析IP、显示端口信息等，详细的将会在后面的使用参数中说明。 三、安装iftop 安装方法1、 编译安装 如果采用编译安装可以到 iftop官网 下载最新的源码包。 安装前需要已经安装好基本的编译所需的环境，比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。 CentOS上安装所需依赖包： yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel Debian上安装所需依赖包： apt-get install flex byacc libpcap0.8 libncurses5 下载iftop wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz tar zxvf iftop-0.17.tar.gz cd iftop-0.17 ./configure make && make install 安装方法2：(懒人办法，最简单)

1.简介 iftop does for network usage what top(1) does for CPU usage. It listens to network traffic on a named interface and displays a table of current bandwidth usage by pairs of hosts. Handy for answering the question "why is our ADSL link so slow?". iftop监听网络（和top监听cpu使用状态类似），通过监听指定的网口，来展示当前的带宽使用率，用于解答"您的adsl网络链接为何如此之慢”的问题 项目地址： http://www.ex-parrot.com/pdw/iftop/ 用途 对定位机器上的流量异常问题，和服务间调用问题比较有用。 2.安装 有两种安装方式 1. yum/apt安装 2.源码编译安装 2.1 yum/apt #Ubuntusudo apt install -y iftop/xenial #Centossudo yum install -y iftop.x86_64 2.2 源码编译安装 2.2.1 预装系统包 #Ubuntusudo apt-get install flex byacc libpcap0.8

Python实战社群 Java实战社群 长按识别下方二维码， 按需求添加 扫码关注添加客服 进Python社群▲ 扫码关注添加客服 进Java社群 ▲ 来源丨网络安全编程与黑客程序员 https://mp.weixin.qq.com/s/LPMoORacJyDYtE74-zrF1w 0x00 背景 周一早上刚到办公室，就听到同事说有一台服务器登陆不上了，我也没放在心上，继续边吃早点，边看币价是不是又跌了。不一会运维的同事也到了，气喘吁吁的说：我们有台服务器被阿里云冻结了，理由：对外恶意发包。我放下酸菜馅的包子，ssh连了一下，被拒绝了，问了下默认的22端口被封了。让运维的同事把端口改了一下，立马连上去，顺便看了一下登录名:root，还有不足8位的小白密码，心里一凉：被黑了！ 0x01 查找线索 服务器系统CentOS 6.X，部署了nginx，tomcat，redis等应用，上来先把数据库全备份到本地，然后top命令看了一下，有2个99%的同名进程还在运行，叫gpg-agentd。 来源：Hefe 看雪学院 google了一下gpg，结果是： GPG提供的gpg-agent提供了对SSH协议的支持，这个功能可以大大简化密钥的管理工作。 看起来像是一个很正经的程序嘛，但仔细再看看服务器上的进程后面还跟着一个字母d，伪装的很好，让人想起来windows上各种看起来像svchost

hping是一个面向 命令 行的TCP/IP数据包汇编器/分析器。它的界面灵感来源于ping(8)unix 命令 ，但hping并不是只能发送ICMP呼应请求。它支持TCP、UDP、ICMP和RAW-IP协议，具有traceroute模式，能够在一个覆盖的通道之间发送文件，以及其他许多功能。 创建本地安装目录 mkdir -p /usr/local/hping && cd /usr/local/hping 下载并解压 wget https://github.com/antirez/hping/archive/master.zip && unzip master.zip && cd hping-master 安装依赖包 yum install -y libpcap-devel yum install -y gcc gcc-c++ yum install -y tcl tcl-devel 设置软连接 ln -sf /usr/include/pcap-bpf.h /usr/include/net/bpf.h 进行安装 ./configure && make strip && make install 测试查询版本 hping3 -v 其它参考 hping -ltn 列出所有TCP端口 hping -p 发起TCP探测 -S设置SYN包 -a 伪造IP模拟DDOS 本文地址： https:

在类Unix系统中可以使用top查看系统资源、进程、内存占用等信息。查看网络状态可以使用netstat、nmap等工具。若要查看实时的网络流量，监控TCP/IP连接等，则可以使用iftop。 一、iftop是什么？ iftop是类似于top的实时流量监控工具。 官方网站：http://www.ex-parrot.com/~pdw/iftop/ 二、iftop有什么用？ iftop可以用来监控网卡的实时流量（可以指定网段）、反向解析IP、显示端口信息等，详细的将会在后面的使用参数中说明。 三、安装iftop 安装方法1、 编译安装 如果采用编译安装可以到iftop官网下载最新的源码包。 安装前需要已经安装好基本的编译所需的环境，比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。 CentOS上安装所需依赖包： yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel Debian上安装所需依赖包： apt-get install flex byacc libpcap0.8 libncurses5 下载iftop wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz tar

PF_RING™是一种新型的网络套接字，可显着提高数据包捕获速度，并且具有以下特性： 适用于Linux内核2.6.32及更高版本。 无需修补内核：只需加载内核模块。 使用商用网络适配器的 10 Gbit硬件数据包过滤 用户空间 ZC （新一代DNA，Direct NIC Access，直接NIC访问）驱动程序可实现极高的数据包捕获/传输速度，这是因为NIC NPU（网络处理单元）在没有任何内核干预的情况下将数据包从用户域推送/获取数据包。使用10Gbit ZC 驱动程序，您可以以线速发送或接收任何大小的数据包。 PF_RING ZC 库，用于在线程、应用程序、虚拟机之间以零拷贝分发数据包。 设备驱动程序独立。 支持Accolade，Exablaze，Endace，Fiberblaze，Inveatech，Mellanox，Myricom / CSPI，Napatech，Netcope和Intel（ZC）网络适配器。 基于内核的数据包捕获和采样。 Libpcap支持（请参见下文）可与现有的基于pcap的应用程序无缝集成。 除BPF外，还可以指定数百个标题过滤器。 内容检查，以便仅通过与有效负载过滤器匹配的数据包。 PF_RING™插件，用于高级数据包解析和内容过滤。 Vanilla PF_RING™ PF_RING™正在通过Linux NAPI轮询来自NIC的数据包

在Linux(Centos 7)上实现抓取流量数据包，这里我使用的是tcpdump(离线安装) 1、检查是否有gcc编译器 ，如果没有可以直接执行 : yum -y install gcc 安装，或者到http://ftp.gnu.org/gnu/gcc/ 选择对应版本安装 2、下载tcpdump-4.5.1.tar.gz和libpcap-1.5.3.tar.gz离线压缩包 链接： https://pan.baidu.com/s/1Jx-3z-y9gI0OcgVKejw3Hg 提取码：n7lj 3、下载完成后，上传到到linux 上可进行如下操作： #解压安装包 tar -zxvf libpcap-1.5.3.tar.gz tar -zxvf tcpdump-4.5.1.tar.gz cd libpcap-1.5.3 ./configure make make install cd tcpdump-4.5.1 ./configure make make install 4、安装完成后，下面进行讲解如何抓取指定ip或者端口的流量包 例1： #抓取指定ip 的流量包 tcpdump -i 网口名称 host 指定的ip 如： 使用 ip a 可以查看网口名称，我这里是ens192 例2： #抓取指定ip 和指定源端口的流量包(这里的源端口是相对于发送端而言) tcpdump -i

dsniff是一家集工具为网络审计和***测试dsniff,filesnarf,mailsnarf,msgsnarf,urlsnarf,webspy被动监测网络的数据(密码、电子邮件、文件等)。arpspoof,dnsspoof,macof方便截取网络流量通常不能***者(e。g,由于第2层交换)。sshmitm和webmitm实现主动的猴子在中间***重定向SSH和HTTPS会话利用弱绑定在特别的PKI。我写这些工具与诚实的意图——审计自己的网络,并证明了大多数网络应用协议不安全感。请不要滥用这种软件 实验环境 centos-5.5 使用软件 openssl-0.9.7i.tar.gz libnids-1.18.tar.gz libpcap-0.7.2.tar.gz libnet-1.0.2a.tar.gz db-4.7.25.tar.gz dsniff-2.3.tar.gz 软件安装 yum install -y gcc gcc-c++ flex bison tar zxvf openssl-0.9.7i.tar.gz cd openssl-0.9.7l ./config make make install tar zxvf libpcap-0.7.2.tar.gz cd libpcap-0.7.2 ./configure make make install tar zxvf