原始标题: Linux捕获命令tcpdump命令图解
tcpdump命令--用于完全拦截在网络上发送的数据包的“标头”并提供分析。 一般有Wireshark。 在Linux上输入命令man tcpdump时,定义如下:
tcpdump -转储网络上的数据流
是无知的感觉吗? 我们用通俗、形象、学术的表达全面描述tcpdump:
通常,tcpdump是一种用于捕获在网络上传输的数据包的捕获工具
形象地说,tcpdump就像国家海关,入境和出境的货物要在海关抽样检验,看看里面具体有什么货物
在学术上,tcpdump是一个嗅探器,它利用以太网的特性,通过将网络设备置于混合模式来获取传输到网络的数据包
【命令作用】
此命令支持过滤网络层、协议、主机、网络或端口,并提供逻辑语句(如and、or和not )以帮助消除不必要的信息。 tcpdump是免费的网络分析工具,特别是提供源代码和公开接口,因此可扩展性强,对网络维护和入侵者非常有用。 tcpdump存在于基本的FreeBSD系统中,需要将网络接口设置为混合模式,因此普通用户无法正常运行,但具有root权限的用户可以直接运行以获取网络上的信息。 因此,系统中存在的网络分析工具主要不是对本地安全的威胁,而是对网络中其他计算机的安全威胁。 经典的系统管理员分析工具!
【常用关键词】
tcpdump命令的几个关键字:
第一个:类型的关键字。 包括:主机、网络和端口
第二类3360传输方向关键字,包括3:src、dst
第三个3360协议关键字,包括3: ip、arp、tcp、udp等类型
第四个3360其他关键字,包括3360网关、broadcast、less、greater和not,and、or、|
【备注说明】
1 )抓住环回端口的包($ tcpdump -i lo
2 )如何防止包断开: $ tcpdump -s 0
3 )以数字形式显示主机和端口: $ tcpdump -n
【命令浅解】
$ tcpdump TCP-iet h1-t-s0-c100 and dstport! 22 ands rcnet 192.168.1.0/24-w./target.cap
1 ) tcp: # ip、icmp、arp、rarp和udp这些选项包含过滤数据报类型的第一个参数
2 ) eth1)只抓住通过网络端口eth1的包
3 ) -不显示t #时间戳
4 ) -剥离s0#数据包时,默认的剥离长度为68字节。 添加-s 0可以捕获完整的数据包
5 )-c 100 #只捕获100个数据包
6 ) dst端口! 22 #目标端口不捕获22个数据包
7 ) src net 192.168.1.0/24 #包的源网络地址为192.168.1.0/24
8 )-w ./target.cap #另存为cap文件,便于wireshark工具分析
【其他命令】
$ tcpdump host 192.168.0.1 and/(192.168.0.2 or 192.168.0.3/) #监听主机1与主机2或主机3之间的通信数据包
$ tcpdump ip host 192.168.0.1 and! 192.168.0.2 #主机1监听与除主机2以外的所有主机通信的ip分组
$ tcpdump tcpport 23 host 210.27.48.1 #监听主机192.168.0.1接收或发出的telnet数据包
$ tcpdump-I eth 0主机! 192.168.0.1与! 拦截访问192.168.0.2 and dst port 80 #主机1、2以外的本机http端口的数据包并返回搜狐查看更多信息
责任编辑: