tcpdump是非常强大的网络安全分析工具
来源:互联网 发布:单片机c语言入门 编辑:程序博客网 时间:2024/06/13 18:20
tcpdump是非常强大的网络安全分析工具,可以将网络上截获的数据包保存到文件以备分析。可以定义过滤规则,只截获感兴趣的数据包,以减少输出文件大小和数据包分析时的装载和处理时间。
这篇文章只涉及tcpdump的基本用法,请记住tcpdump比我描述的强大的多。
针对网络接口、端口和协议的数据包截取。假定你要截取网络接口eth1,端口号6881的tcp数据包。数据文件保存为test.pcap。
tcpdump -w test.pcap -i eth1 tcp port 6881
很简单吧?如果要同时截取udp端口号33210和33220的数据包呢?
tcpdump -w test.pcap -i eth1 tcp port 6881 or udp \( 33210 or 33220 \)
'\'是转义字符,逻辑符号OR是加(+)的意思。其他表达式是截取端口号6881的tcp包加上端口号33210和33220的UDP包。tcpdump过滤表达式的and运算符是交集的意思,因此截取端口号33210和33220的UDP包使用 or 而不是 and。and运算符的用法在下文描述。
怎样保存文件读取数据包呢?
tcpdump -nnr test.pcap
选项 -nn 不把网络IP和端口号转换成名字,r(read)读取包。
可以添加 -tttt 选项使时间戳格式更加可读。
tcpdump -ttttnnr test.pcap
怎样针对IP截取数据?
需向tcpdump指明IP类型,目的IP还是源IP?比如要嗅探的目的IP为10.168.28.22,tcp端口号22。
tcpdump -w test.pcap dst 10.168.28.22 and tcp port 22
目的IP和端口的交集(intersection),使用and运算符。
嗅探数据包大小缺省为96 bytes,可以指定 -s 改变缺省值。
tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22
有些版本的tcpdump允许指定端口范围,下述指令为针对一定端口范围截取数据。
tcpdump tcp portrange 20-24
注意,上述指令没有指定 -w 把截取的数据包保存到文件而是直接输出到屏幕。
不知道端口号使用tcpdump
- tcpdump是非常强大的网络安全分析工具
- 果然是非常的一天
- XML 是非常方便的方法
- 重构是非常必要的
- Starcraft2是非常优秀的hardcore游戏
- Maatkit是非常不错的mysql管理工具
- 是非常有效的趋势研究
- 是非常不错的或许以后
- 并行计算是非常值得挖掘的
- 可以说现在是非常的迷茫了
- 如何利用嗅探器TcpDump分析网络安全
- 如何利用嗅探器TcpDump分析网络安全
- 产品的专业知识是非常的重要的
- 双赢的智慧----教是非常棒的学习方法
- mechanize是非常合适的模拟浏览器的模块
- delete void*形式的指针是非常危险的
- 强大的日志分析工具AWSta
- 强大的日志分析工具AWStats
- 经验
- dos winrar压缩文件
- 成为IT精英,我奋斗了7年
- char arr[]和extern char*
- SDP属性
- tcpdump是非常强大的网络安全分析工具
- 嵌入式系统文件系统比较
- hdu 2133
- ScrollerView
- IT术语和一些常识收集了解
- javascript 四舍五入
- 又一个NoSQL知识清单
- Android adb devices显示no permission
- SDL init failure, reason is: No available video device