【安全牛学习笔记】tcpdump常用命令实例
来源:互联网 发布:成都最好的seo公司 编辑:程序博客网 时间:2024/06/05 06:03
默认启动
tcpdump普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。
监听网卡eth0
tcpdump -i eth0这个方式最简单了,但是用处不多,因为基本上只能看到数据包的信息刷屏,压根看不清,可以使 用ctrl+c中断退出,如果真有需求,可以将输出内容重定向到一个文件,这样也更方便查看。
监听指定的主机
tcpdump -i eth0 -nn 'host 192.168.168.2'这样的话,192.168.168.2这台主机接收到的包和发送的包都会被抓取。tcpdump -i eth0 -nn 'src host 192.168.168.2'这样只有192.168.168.2这台主机发送的包才会被抓取。
tcpdump -i eth0 -nn 'dst host 192.168.168.2'这样只有192.168.168.2这台主机接收到的包才会被抓取。
监听指定端口
tcpdump -i eth0 -nnA 'port 80'上例是用来监听主机的80端口收到和发送的所有数据包,结合-A参数,在web开发中,真是非常有 用。
监听指定主机和端口
tcpdump -i eth0 -nnA 'port 80 and src host 192.168.168.2'
多个条件可以用and,or连接。上例表示监听192.168.168.2主机通过80端口发送的数据包。
监听除某个端口外的其它端口
tcpdump -i eth0 -nnA '!port 22'如果需要排除某个端口或者主机,可以使用“!”符号,上例表示监听非22端口的数据包。
抓取特定目标ip和端口的包
tcpdump host 192.168.168.2 and tcp port 8000
捕获的数据太多,不断刷屏,可能需要将数据内容记录到文件里,
需要使用-w参数:
tcpdump -X -s 0 -w A.cap host 192.168.168.2 and tcp port 8000则将之前显示在屏幕中的内容,写入tcpdump可执行文件同级目录下的A.cap文件中。
文件查看方式如下,需要使用-r参数:
tcpdump -X -s 0 -r test.cap host 192.168.168.2 and tcp port 8000
使用tcpdump抓取HTTP包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。
tcpdump 对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接 打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump 截获数 据并保存到文件中,然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规 则,以避免捕获的数据包填满整个硬盘
- 【安全牛学习笔记】tcpdump常用命令实例
- 【安全牛学习笔记】tcpdump简介及常用命令实例
- 【安全牛学习笔记】基本工具-tcpdump
- 【安全牛学习笔记】tcpdump抓包实战
- 【安全牛课堂笔记】tcpdump选项
- 【安全牛学习笔记】python实例
- 【安全牛学习笔记】TCPDUMP-抓包、筛选、高级筛选、过程文档记录
- tcpdump 学习笔记
- tcpdump学习笔记一
- tcpdump学习笔记
- tcpdump学习笔记记录
- Linux学习笔记--Tcpdump
- Linux常用命令笔记整理之tcpdump
- tcpdump常用命令
- tcpdump常用命令
- tcpdump常用命令
- tcpdump常用命令
- tcpdump常用命令
- Reverse Linked List
- Mysql命令大全
- 字符串转数组/得到字符串长度
- SQL优化
- 关于在页面审查元素的时候遇到 element .style 这种的在css里面找不到的解决办法
- 【安全牛学习笔记】tcpdump常用命令实例
- 监听器/过滤器
- 20.Nginx自旋锁
- jquery设置html的一些常用例子
- 第8章 github常见操作和常见错误
- 为什么使用logger.isInfoEnabled()
- 无法解析外部符号
- 涉及到滚动条的定位问题,主要是Jquery 中 offset() 方法
- Docker----安装 MySQL