yuminstall tcpdump -y
1)指定埠
tcpdump -i eth0
預設只顯示抓到的包的簡略資訊,例如源目的ip,埠,包的大小等。
顯示的資訊如下:
04:38:37.628015 ip 192.168.4.211.ssh > 192.168.4.199.7225: flags [p.], seq532304:532564, ack 313, win 264, length 260
2)以16進製制顯示全量資料
tcpdump -i eth0 -x
-x就表示十六進製制。
顯示的資訊如下:
04:40:01.298591 ip 192.168.4.199.7225 > 192.168.4.211.ssh: flags [.], ack 70300, win 8212, length 00x0000: 4500
0028 ca74 4000
4006
e570 c0a8 04c7 e..(.t@[email protected]....
0x0010: c0a8 04d3 1c39 0016 bd88 6633 3d59 0090 .....9....f3=y..
0x0020: 5010
2014 86e1 0000
0000
0000
0000 p.............
這個和wireshark中顯示的內容看起來很像了。
除了-x以外,tcpdump還支援很多種顯示格式,例如-a表示ascii碼顯示。
3)過濾埠
tcpdump -i eth0 port 22
只顯示與22埠相關的資料報。
4)過濾協議
tcpdump -i eth0 icmp
5)將抓包結果寫入檔案
tcpdump -i eth0 icmp -w res.cap
6)從檔案中讀出結果
tcpdump -r res.cap
從讀取資料中過濾源ip:
tcpdump src host 14.215.177.38-r cap2.txt
過濾出源ip為14.215.177.38的條目。過濾目的ip用 dst host 192.168.4.146
。過濾協議:
tcpdump icmp -r cap2.txt
過濾出icmp協議的條目。
過濾埠號:
tcpdumpport 22-r cap2.txt
[root@centos7-test ~]# tcpdump -r cap1.txt | awk''
我們可以通過awk等文字處理工具來提取其中的關鍵資料,但是在抓到的資料中,不同協議對應的文字格式可能是不同的,所以具體問題要具體分析。
tcpdump使用詳解
tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 1.tcpdump的選項介紹 a 將網路位址和廣播位址轉變成名字 d 將匹配資訊包的 以人們能夠理解的彙編格式給出 ...
tcpdump 日常使用
使用 i引數指定tcpdump監聽的網路介面,這在計算機具有多個網路介面時非常有用,使用 c引數指定要監聽的資料報數量,使用 w引數指定將監聽到的資料報寫入檔案中儲存 a想要截獲所有210.27.48.1 的主機收到的和發出的所有的資料報 tcpdump host 210.27.48.1 b想要截獲...
tcpdump 使用介紹
tcpdump 工具簡介 tcpdump 工具簡介1 定義 用簡單的話來定義 tcpdump 就是 dump the traffic on a network 根據使用者的定義對網路上的資料報進行截獲的包分析工具 2 功能 它支援針對網路層 協議 主機 網路或埠的過濾,並提供 and or not等...