1、tcpdump是對網路上的資料報進行截獲的包分析工具;
3、例子:抓取網絡卡eht0 及192.168.168.18ip和8081埠;
命令:tcpdump -i eht0 -w file.cap host 192.168.168.18 and tcp port 8081;
-w :引數指定將監聽到的資料報寫入檔案中儲存,file.cap就是該檔案。
-i :引數指定tcpdump監聽的網路介面。
注意:每個伺服器的網絡卡不一定是eht0,先使用ipconfig檢視清楚自己又幾個網絡卡,要監聽那個 叫什麼名字等。
然後再檢視儲存的檔案就可以了!
抓取到檔案之後我將檔案傳到我的windows上面,這裡就涉及到乙個如何開啟cap檔案的問題;
我用的是wireshark
解釋一下上圖三行的具體意義:
1、最上面為資料報列表,用來顯示截獲的每個資料報的總結性資訊;
2、中間為協議樹,用來顯示選定的資料報所屬的協議資訊;
3、最下邊是以十六進製制形式表示的資料報內容,用來顯示資料報在物理層上傳輸時的最終形式。
資料報列表中,第一列是編號(如第1個包),第二列是擷取時間(0.000000),第三列source是源位址(115.155.39.93),第四列destination是目的位址(115.155.39.112),第五列protocol是這個包使用的協議(這裡是udp協議),第六列info是一些其它的資訊,包括源埠號和目的埠號(源埠:58459,目的埠:54062)。
協議樹可以得到被截獲資料報的更多資訊,如主機的mac位址(ethernet ii)、ip位址(internet
protocol)、udp埠號(user datagram protocol)以及udp協議的具體內容(data)。
另外在排查問題的時候,為了更準確的定位問題,會對抓的包利用wireshark做過濾,參考-->
我這裡具體做的過濾就是我的伺服器通過網絡卡單向發出去的包,原理就是源位址source發往目標的就是單向的;
過濾條件命令「ip.src eq 192.168.60.60」;如:
tcpdump抓包並儲存成cap檔案
首選介紹一下tcpdump的常用引數 tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 1.tcpdump的選項介紹 a 將網路位址和廣播位址轉變成名字 d 將匹配資...
tcpdump抓包並儲存成cap檔案
首選介紹一下tcpdump的常用引數 tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 1.tcpdump的選項介紹 a 將網路位址和廣播位址轉變成名字 d 將匹配資...
tcpdump本機抓包
在進行網路測試 的時候,我們經常需要進行抓包的工作,當然有許多測試 工具可以使用,比如sniffer,ethreal等.但最為方便和簡單得就非tcpdump莫屬.linux的發行版裡基本都包括了這個工具.tcpdump將網路介面設定成混雜模式以便捕獲到達的每乙個資料報.下面給出tcpdump的部分常...