页
光荣与梦想 尽在 SunShine 带你去 IT 殿堂
windump使用方法同TCPDUMP一样，使用说明如下：
windump采用命令行方式，它的命令格式为：
windump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
主机通信的客户机。192.168.0.5为你所用的监控机。以下是你所要做的操作：（其他合作
者同样如此换位操作）
SunShine(森祥)技术交流与软训中心 Tel：010-61740205 Email：chinaflash@ 在 5
页
光荣与梦想 尽在 SunShine 带你去 IT 殿堂
实例：whois 的应用 1、向 查询 .tw 需输入：
whois .tw@ 2、向 查询 ，需输入：
whois -h whois
任务四：在 windows 下使用 windump 监视网络数据包
1. 安装winpcap（因为windump是利用winpcap提供的API和驱动抓包的），双击 winpcap.exe，
点击下一步安装完成，出现下面画面：
图6-1 安装 winpcap 完成界面
2. 运行windump windump为直接允许运行的应用程序，不需要安装 SunShine(森祥)技术交流与软训中心 Tel：010-61740205 Email：chinaflash@ 在 4
host#rpm –I nmap-2_3BETA14-1_i386.rpm 3、 执行命令/usr/bin/nmap –h 以获得帮助信息 4、 进行连通性检测：nmap –sP 192.168.1.* (192.168.1 为当前网段) 5、 进行端口扫描，注意观察开放的端口号：nmap –sS 192.168.1.x (x 为合作伙伴座 位号
-f
将外部的Internet地址以数字的形式打印出来；
-l
使标准输出变为缓冲行形式；
-n
不把网络地址转换成名字；
-t
在输出的每一行不打印时间戳；
-v
输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信
息；
-vv
输出详细的报文信息；
-c
在收到指定的包的数目后，tcpdump就会停止；
-F
(1) 截获所有192.168.0.10的主机收到的和发出的所有的数据包： windump host 192.168.0.10
(2) 想要截获主机192.168.0.10和主机192.168.0.11 或192.168.0.12的通信，使用命 令：
注意在命令行中使用括号。 windump host 192.168.0.10 and \ (192.168.0.11 or 192.168.0.12 \) (3) 如果想要获取主机192.168.0.10除了和主机192.168.0.12之外所有主机通信的
光荣与梦想 尽在 SunShine 带你去 IT 殿堂
SUNSHINE 高级研修 信息安全实验
SunShine(森祥)技术交流与软训中心
Tel: 010-61740205/010-81997948 Email: chinaflash@
二、 实验步骤：
任务三：在 Linux 下使用 Nmap 检测端口
1、 检查nmap 是否已安装 host#rpm –q nmap nmap-2.3BETA14-1 也可以使用whereis 命令(whereis nmap)或者find 命令(find /-name nmap)来验证nmap
是否已安装及其位置 2、 如果没有以上返回信息，说明nmap 尚未安装，在获得nmap 安装包后，使用以下命 令进行安装
1：防火墙探测 2：高级端口扫描 3：网络测试;(可以用不同的协议，TOS，数据包碎片来实现此功能) 4：手工 MTU 发掘 5：高级路由(在任何协议下都可一实现) 6：OS 指纹判断 7：细微 UPTIME 猜测 HPING 参数，可以用 HPING -H 来看，下面介绍各参数的用法 -H --HELP 显示帮助 -v -VERSION 版本信息 -c --count count 发送数据包的次数，关于 countreached_timeout 可以在 hping2.h 里 编辑 -i --interval 包发送间隔时间(单位是毫秒) 缺省时间是 1 秒，此功能在增加传输率上 很重要，在 idle/spoofing 扫描时此功能也会被用到 -n -nmeric 数字输出，象征性输出主机地址 -q -quiet 退出 -I --interface interface name 显示的是 eth0 类的参数 -v --verbose 显示很多信息，TCP 回应一般如下： len=46 ip=192.168.1.1 flags=RADF seq=0 ttl=255 id=0 win=0 rtt=0.4ms tos=0 iplen=
SunShine(森祥)技术交流与软训中心 Tel：010-61740205 Email：chinaflash@ 在 1
页
致麦田守望者
光荣与梦想 尽在 SunShine 带你去 IT 殿堂
我想要清静，在未来的每一天里。 曾经沿着梦经过城市大厦，穿过山峰。窗外划过的是童年记忆中的梧桐，枝条打在 心灵上，我听见了落叶擦窗而过的声响，我在追寻童年的梦想。 曾经惆怅，曾经失落，曾经欢乐，曾经忧伤……. 在匆匆的旅途中，偶然抬头，恰巧瞥见-----对街复古式建筑黑色栅栏的墙里，高高耸起的银杏树正放开双臂，让一把把金黄色 的小扇叶随着阳光的丝弦雪舞似地降落大地。 它们，阳光下的舞蹈，明朗的音符，豁达，自信！ 欢乐的执着，于是在我心灵的每一亩田里。
ip包，使用命令： windump ip host 192.168.0.10 and ! 192.168.0.12 (4) 如果想要获取主机192.168.0.11接收或发出的telnet包，使用如下命令： windump tcp port 23 and host 192.168.0.11
任务七：在 linux 下使用 whois 指令
任务八：HPING 操作
hping 是一个基于命令行的 TCP/IP 工具，它在 UNIX 上得到很好的应用，不过它并 非仅仅一个 ICMP 请求/响应工具，它还支持 TCP.UDP.ICMP，RAW-IP 协议，以及一个 路由模型。HPING 一直被用作安全工具，可以用来测试网络及主机的安全，它有以下功 能：
+50) 6、 使用nmap 的TCP/IP 探测功能查询合作伙伴的系统信息：namp –O 192.168.1.x(x 为 合
作伙伴座位号+50) 7、 注意返回的信息，接下来使用同样的方法查询教师机的系统信息在返回信息中应该 看到教师机的开放端口和操作系统信息，这些数据一旦被攻击者获得，就有可能导致被 攻击和破坏 8、 使用参数U 检测NT 下UDP 端口：nmap –sU 192.168.1.x(x 合作伙伴座位号) 9、 输入以下命令，检测端口信息同时伪造源IP 地址，这样做不仅获得了端口信息，同
whois -h＜whois 服务器＞＜查询对象＞ 也可能使用下列语法： whois ＜查询对象＞@＜whois 伺服器＞
SunShine(森祥)技术交流与软训中心 Tel：010-61740205 Email：ine 带你去 IT 殿堂
SunShine(森祥)技术交流与软训中心 Tel：010-61740205 Email：chinaflash@ 在 3
页
光荣与梦想 尽在 SunShine 带你去 IT 殿堂 时 还使得检测方不会被轻易发现、跟踪。
nmap –sS 192.168.1.x –S 192.168.1.y –e eth0 –P0 (x 为合作伙伴的座位号，y 为任意有效的座位号) 以上命令执行后，如果一段时间还没有返回结果，可以尝试检测另一台主机，同时 尽 量不要扫描网卡处于混杂模式的主机。 使用Nmap 程序检测Linux 系统中的相关信息，包括连通性、端口开放等，为Linux 系统下的安全检测提供了方便快捷的手段。
Domain Name 后面不挂国码的是由 InterNIC 管理，或是由洲际的 NIC 管理。但是 有挂国码的由当地国家之 NIC 管理，惯例是两位国码加上 NIC 就是该国 NIC 之名称。 例如中国的国码为 CN，则中国网路管理中心为 CNNIC(http：///)，但由于 InterNIC 位于美国，因此美国的 DomainName 由 InterNIC 直辖。有一个特别的例外是 挂.mil 的美国军方网路的资料是由 (美国军事防卫网路)来管理，不由 InterNIC 管 理，当您得到某个 Domain Name 或是 IP 地址后，可以使用 whois 来查出资料，语法如 下：
黑客入侵时，首先要确定攻击的目标。在获取目标机及其所在的网络类型后，还需 进一步获取有关信息，如目标机的 IP 地址、操作系统类型和版本、系统管理人员的邮 件地址等，根据这些信息进行分析，可得到有关被攻击方系统中可能存在的漏洞。如运 行一个 host 命令，可以获得目标网络中有关机器的 IP 地址信息，还可识别出目标机的 操作系统类型。利用 WHOIS 查询，可了解技术管理人员的名字信息。运行一些 Usernet 和 Web 查询可了解有关技术人员是否经常上 Usernet，等等，现在我们主要介绍 whois 命令。
从指定的文件中读取表达式，忽略其它的表达式；
-i
指定监听的网络接口；
-r
从指定的文件中读取包(这些包一般通过-w选项产生)；
-w
直接将包写入文件中，并不分析和打印出来；
-T
将监听到的包直接解释为指定的类型的报文，常见的类型有rpc（远程
过程 调用）和snmp（简单网络管理协议；） 使用 windump 命令实例 实验要求每组四人进行。其中192.168.0.10为主机，192.168.0.11与192.168.0.12是与