ip地址:IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。分为公有IP地址和私有IP地址,是一个32位的二进制数,通常用点分十进制表示。
公有IP地址:公网IP在全世界只有一个,通过它直接访问因特网
私网IP地址:专门为组织机构内部使用,留用的内部私有地址如下
A类:10.0.0.0--10.255.255.255
B类:172.16.0.0--172.31.255.255
C类:192.168.0.0--192.168.255.255
划分子网:IP地址::={<网络号>,<子网号>,<主机号>},网络号确定两台主机是否在同一网段,主机号负责该网段连接主机数量。
子网掩码:声明网络地址和主机地址,划分子网。
子网:一般是由路由器和多台主机构成,子网内的主机可以直接通信。
eg:IP:192.168.31.4,子网掩码:255.255.255.0
IP和子网掩码化为二进制,并进行与运算,结果就是子网
11000000 10101000 00011111 00000100 IP地址
11111111 11111111 11111111 00000000 子网掩码
11000000 10101000 00011111 00000000 子网
CIDR记法:192.168.31.0/24,,该子网最小地址为192.168.31.0,最大地址为192.168.31.255,主机数量2^8=256
特殊网络号
0.0.0.0:可以理解为代表所有IP
255.255.255.255:限制广播地址
127.0.0.1:代表本机,同localhost
常用端口
21 = ftp file transfer protocol 文件传输协议
22 = ssh SSH Remote Login Protocol SSH远程登录协议
23 = telnet telnet 终端仿真协议
25 = smtp simple mail transfer protocol 简单邮件传输协议
53 = dns domain name service 域名服务
69 = tftp trivial file transfer protocol 通俗文件传输协议
80 = http hyper text transfer protocol 超文本传输协议
161=SNMP simple network management protocol 简单网络管理协议
443=https hyper text transfer protocol secure 带安全措施的HTTP
linux常用网络分析命令
ping:
用途:测试网络连接,通过发送ICMP回显请求数据包来检测主机是否可达。
用法:ping [目标IP或域名]
traceroute/tracert(在Linux中通常使用traceroute):
用途:跟踪数据包从源主机到目标主机之间的路径。
用法:traceroute [目标IP或域名]
ifconfig 或 ip addr(在某些Linux发行版中,ifconfig已被ip命令取代):
用途:显示和配置网络接口的信息,包括IP地址、MAC地址等。
用法:ifconfig 或 ip addr
netstat:
tasklist查看进程
用途:显示网络连接、路由表、接口统计等网络相关信息。
用法:netstat -a(显示所有连接和监听端口),netstat -r(显示路由表)等。
ss:
用途:显示socket统计信息,用于替代netstat。
用法:ss -a(显示所有socket连接),ss -tln(显示TCP监听端口)等。
arp:
用途:显示和修改ARP缓存表,解决网络地址翻译问题。
用法:arp -a(显示ARP缓存表),sudo arp -s <IP地址> <MAC地址>(添加ARP缓存项)等。
host 或 nslookup:
用途:用于查询DNS以解析域名和IP地址。
用法:host [域名] 或 nslookup [域名]
tcpdump:
用途:捕获和显示网络数据包,用于网络故障排查和流量分析。
用法:tcpdump -i eth0(捕获eth0接口上的所有数据包),tcpdump -i eth0 port 80(捕获eth0接口上端口80的HTTP流量)等。
-i:指定网络接口。例如,-i eth0 表示在 eth0 接口上捕获数据包。
-c:指定捕获的数据包数量。例如,-c 100 表示只捕获前 100 个数据包。
-n:不解析主机名和服务名,直接显示 IP 地址。例如,-n 可以防止 DNS 解析,使输出更简洁。
-nn 或 -nnn:禁用 tcpdump 展示时把 IP、端口等转换为域名、端口对应的知名服务名称。例如,-nnn 可以使输出更加清晰。
-v、-vv、-vvv:分别表示详细输出模式、非常详细输出模式、极详细输出模式,显示更多的数据包信息。
-w:将捕获的数据包写入文件,而不是在终端上显示。例如,-w output.pcap 将捕获的数据包写入名为 "output.pcap" 的文件中。
-r:从文件读取数据包并显示。这通常用于分析之前捕获的数据包文件。
-s:设置捕获的数据包大小。如果你只想捕获完整的数据包,可以使用 -s 0 参数。这实际上意味着不限制捕获数据包的大小,从而确保捕获完整的数据包。
host 192.168.130.1表示一台主机,net 192.168.130.0表示一个网络网段,port 80 指明端口号为80,src、dst、dst or src、dst and src,这些关键字指明了传输的方向
eg:tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host ! www.qq.com
nload 或 iftop:
用途:实时显示网络接口的流量和网络活动统计信息。
用法:nload(启动nload界面),iftop(启动iftop界面)
标签:IP,捕获,知识,基础,网络,192.168,IP地址,主机,数据包
From: https://www.cnblogs.com/larks-islands/p/18244628