1.常見引數tcpdump -i eth0 -nn -s0 -v port 80
-i 選擇監控的網絡卡
-nn 不解析主機名和埠號,捕獲大量資料,名稱解析會降低解析速度
-s0 捕獲長度無限制
-v 增加輸出中顯示的詳細資訊量
port 80 埠過濾器,只捕獲80埠的流量,通常是http
2.tcpdump -a -s0 port 80
-a 輸出ascii資料
-x 輸出十六進製制資料和ascii資料
3.tcpdump -i eth0 udp
udp 過濾器,只捕獲udp資料
proto 17 協議17等效於udp
proto 6 等效於tcp
4.tcpdump -i eth0 host 10.10.1.1
host 過濾器,基於ip位址過濾
5.tcpdump -i eth0 dst 10.105.38.204
dst 過濾器,根據目的ip過濾
src 過濾器,根據**ip過濾
6.tcpdump -i eth0 -s0 -w test.pcap
-w 寫入乙個檔案,可以在wireshark中分析
7.tcpdump -i eth0 -s0 -l port 80 | grep 'server:'
-l 配合一些管道命令的時候例如grep
8.組合過濾
and or &&
or or ||
not or !
9.快速提取http ua
tcpdump -nn -a -s1500 -l | grep "user-agent:"
使用egrep 匹配 ua和host
tcpdump -nn -a -s1500 -l | egrep -i 'user-agent:|host:'
10.匹配get的資料報
tcpdump -s 0 -a -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
匹配post包,post的資料可能不在包裡
tcpdump -s 0 -a -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'
11.匹配http請求頭
tcpdump -s 0 -v -n -l | egrep -i "post /|get /|host:"
匹配一些post的資料
tcpdump -s 0 -a -n -l | egrep -i "post /|pwd=|passwd=|password=|host:"
匹配一些cookie資訊
tcpdump -nn -a -s0 -l | egrep -i 'set-cookie|host:|cookie:'
12.捕獲dns請求和響應
tcpdump -i eth0 -s0 port 53
13.使用tcpdump捕獲並在wireshark中檢視
使用ssh遠端連線伺服器執行tcpdump命令,並在本地的wireshark分析
ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -
ssh [email protected] 'sudo tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -
14.配合shell獲取最高的ip數
tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20
15.捕獲dhcp的請求和響應
Linux tcpdump抓取本地回環包
tcpdump dump the traffic on a network 根據使用者的定義對網路上的資料報進行截獲的包分析工具。tcpdump可以將網路中傳送的資料報的 頭 完全截獲下來提供分析。它支援針對網路層 協議 主機 網路或埠的過濾,並提供and or not等邏輯語句來幫助你去掉無用的資...
應用抓包之Fiddler抓包
tcpdump抓包 應用抓包之tcpdump命令抓包 原料fiddler fiddler是位於客戶端和伺服器端的http 也是目前最常用的http抓包工具之一 它能夠記錄客戶端和伺服器之間的所有 http請求,可以針對特定的http請求,分析請求資料 設定斷點 除錯web應用 修改請求的資料,甚至可...
什麼是 抓包 怎樣 抓包
你是網路管理員嗎?你是不是有過這樣的經歷 在某一天的早上你突然發現網路效能急劇下降,網路服務不能正常提供,伺服器訪問速度極慢甚至不能訪問,網路交換機埠指示燈瘋狂地閃爍 網路出口處的路由器已經處於滿負荷的工作狀態 路由器cpu已經到了百分之百的負荷 重啟動後沒有幾分鐘現象又重新出現了。這是什麼問題?裝...