tcpdump
一、Tcpdump主要有三种类型的关键字:
第一种:关于类型。
主要包括host,net,port,没有指定类型默认为host。host指明IP、net指定网络地址、port指定端口。
第二种:确定传输方向。
主要包括 src,dst,dst or src,dst and src。默认是src or dst。举例 src 1.1.1.1,指明ip包的源地址是1.1.1.1。dst port 80,指明目的端口是80。
第三种:关于协议。
主要包括 fddi,ip,arp,tcp,udp。默认监听所有协议(fddi相当于ether包)。
除了以上三种类型关键字,还有其他例如gateway、broadcast、less、greater。还有三种逻辑运算符:
取非运算:not 和 !
与运算:and 和 &&
或运算:or 和 ||
二、Tcpdump的主要参数:
-nn:直接以IP和Port显示。
-i:需要监听的网络接口,例如eth0。
-w:将抓包结果保留到文件中,后面接文件名(后缀一般为.pcap,常用于Wireshark分析)。
-c:需要抓取的包数。
-r:读取抓包文件,这个文件-w生成。
-X:显示头和封包内容。
-v:显示稍微详细信息,例如ip包中的ttl和服务类型。
-s:截取字节数,0表示包不截断,默认显示部分数据包为68字节。
举例:
1、tcpdump host 1.1.1.1
2、tcpdump host 1.1.1.1 and \ ( 2.2.2.2 or 3.3.3.3 \ )
3、tcpdump ip host 1.1.1.1 and ! 2.2.2.2 ##抓取主机1.1.1.1除了和主机2.2.2.2 之外所有主机通信的ip包。
4、tcpdump tcp host 1.1.1.1 and port 80
5、tcpdump -i eth0 gateway 1.1.1.1 ##通过指定网关的数据包。
6、tcpdump -i eth0 src host 1.1.1.1 and dst host 2.2.2.2 and dst port 80 -w txt.pacp
文章最后发布于: 2018-09-29 15:17:52
相关阅读
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tc
tcpdump介绍tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据