【安全牛学习笔记】tcpdump抓包实战
来源:互联网 发布:java groovy 编辑:程序博客网 时间:2024/05/16 06:27
抓包实战
1.
feixiangdejg@feixiangdejg:~$ sudo tcpdump -i wlp4s0 -nn -X 'port 53' -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:48:41.368480 IP 192.168.155.4.5774 > 192.168.155.1.53: 12187+ A? www.baidu.com. (31)
0x0000: 4500 003b fc84 4000 4011 86d6 c0a8 9b04 E..;..@.@....... 0x0010: c0a8 9b01 168e 0035 0027 45ea 2f9b 0100 .......5.'E./...
0x0020: 0001 0000 0000 0000 0377 7777 0562 6169 .........www.bai
0x0030: 6475 0363 6f6d 0000 0100 01 du.com..... 1 packet captured
2 packets received by filter 0 packets dropped by kernel
-i选项: 是interface的含义,是指我们有义务告诉tcpdump希望他去监听哪一个网卡。这在我们一台服务 器有多块网卡时很有必要。默认情况下,tcpdump 会从系统接口列表中搜寻编号最小的已配置好 的接口(不包括 loopback 接口)。一但找到第一个符合条件的接口, 搜寻马上结束。可以用tcpdump查看该表。
-nn选项: 意思是说当tcpdump遇到协议号或端口号时,不要将这些号码转换成对应的协议名称或端口名 称。
-X选项: 告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。
‘port 53’: 这是告诉tcpdump不要看到啥就显示啥。我们只关心源端口或目的端口是53的数据包,其他的数据包别给我显示出来。
-c选项: 是Count的含义,这设置了我们希望tcpdump帮我们抓几个包。
2.
feixiangdejg@feixiangdejg:~$ sudo tcpdump -i wlp4s0 -nn -c 10 -l | awk '{print $1}' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes
10 packets captured
10 packets received by filter
0 packets dropped by kernel
11:59:28.456442
11:59:29.276005
11:59:30.300463
11:59:33.172354
11:59:34.197729
11:59:37.269987
11:59:38.293051
11:59:43.414552
11:59:44.241995
11:59:45.258773
-l选项:-l选项的作用就是将tcpdump的输出变为“行缓冲”方式,这样可以确保tcpdump遇到的内容一旦 是换行符即将缓冲的内容输出到标准输出,以便于利用管道或重定向方式来进行后续处理。 众所周知,Linux/UNIX的标准I/O提供了全缓冲、行缓冲和无缓冲三种缓冲方式。标准错误是不带 缓冲的,终端设备常为行缓冲,而其他情况默认都是全缓冲的。 大家在使用tcpdump时,有时会有这样的需求:“对于tcpdump输出的内容,提取每一行的第一 个域,即”时间域”,并输出出来,为后续统计所用”,这种场景下,我们就需要使用到-l来将默认的全缓冲变为行缓冲了。 如果不加-l选项,那么只有全缓冲区满,才会输出一次,这样不仅会导致输出是间隔不顺畅的,而 且当你ctrl-c时,很可能会断到一行的半截,损坏统计数据的完整性。
3.
feixiangdejg@feixiangdejg:~$ sudo tcpdump -c 1 -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes
ARP, Request who-has N46LB4A51FFLXYS.workgroup tell iPad.workgroup, length 28 1 packet captured
9 packets received by filter
2 packets dropped by kernel
-t选项: 在每行输出中不打印时间戳
4.
feixiangdejg@feixiangdejg:~$ sudo tcpdump -c 1 -F filter.txt
tcpdump: can't open filter.txt: Permission denied
-F 选项:使用file 文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略.
- 【安全牛学习笔记】tcpdump抓包实战
- 【安全牛学习笔记】TCPDUMP-抓包、筛选、高级筛选、过程文档记录
- tcpdump抓包实战
- 安卓手机抓包学习笔记-tcpdump
- 【安全牛学习笔记】tcpdump常用命令实例
- 【安全牛学习笔记】基本工具-tcpdump
- tcpdump抓包
- tcpdump 抓包
- tcpdump抓包命令
- tcpdump 抓包
- tcpdump抓包命令
- TCPDUMP数据抓包
- 使用tcpdump抓包
- Linux tcpdump抓包
- tcpdump 抓包
- tcpdump 抓包解读
- tcpdump抓包命令
- tcpdump长时间抓包
- C++中创建对象的时候加括号和不加括号的区别
- Redis常见数据结构的操作
- 接口
- 使用while;do while;for循环结构实现任务:2006年培养学员8万人,每年增长25%,请问按此增长速度,到哪一年培训学员人数将达到20万人?
- 事务
- 【安全牛学习笔记】tcpdump抓包实战
- 第五周第二节课
- 171018 逆向-Reversing.kr(Flash Encrypt)
- Java爬虫
- 《完美Qt》之qInstallMessageHandler
- 基础篇:6.1)形位公差-符号 Symbol
- Java:final关键词使用(下)
- 取整运算⌊a⌋, ⌈a⌉的一些数学理论的总结
- Python错误、调试和测试