linux逮捕网包jacky. 1650727278@@q.com
tcpdump是linux命令行中的常用快照工具,centos 7用于记录常用方法并测试机器系统。
tcpdump命令格式tcpdump的参数有很多。 在man tcpdump中可以看到tcpdump的详细说明。 这里列举了笔者自己经常使用的几个参数:
tcpdump [-i网卡] -nnAX ‘表达式’
各参数的说明如下。
- I :接口监听的网卡。
-nn表示源主机和目标主机应显示为ip和端口,而不是主机名和服务。
- a :对于以ascii格式显示数据包和捕获web数据非常有用。
-X :数据包以十六进制和ascii显示。
公式:公式有很多种,常见的是主机; 端口端口; src主机建设主机; dst主机包装主机。 多个条件可以用and、or组合,也可以反过来使用! 更多的使用可以看到man 7 pcap-filter。
如果没有权限,首先进行切换到根用户的命令测试。
拦截网卡eth0 $ tcpdump -i eth0
这种方式最简单,但没什么用。 之所以这么说,是因为基本上只能看到数据包信息的丝网印刷。 完全看不见。 可以使用ctrl c中断并退出。 如果真的需要,可以将输出内容重定向到一个文件。 那样的话,会更容易看到。
接收指定协议的数据$ tcpdump -i eth0 -nn 'icmp '这是用于接收icmp协议的数据,ping命令使用的协议。 同样,在监听tcp或udp协议的情况下,修改上述例子的icmp即可。 用ping拦截的机器输出如下。
[ root @ localhost~~ ] # tcpdump-ieth0- nn ' icmp ' tcpdump : verboseoutputsuppressed,use-vor-vvforfullllprotococoldecocoldecolded capturesize 65535 bytes ^ c0 packets captured0packetsreceivedbyfilter0packetsdroppedbykernel [ rooppedby ]
捕获数据包的时间IP数据包的主机和端口接收到的主机和端口数据包的内容
监听指定的主机
$ tcpdump-ieth0- nn ' host 192.168.1.231 '这样做会捕获主机192.168.1.231接收到的数据包和发送的数据包。
$ tcpdump-ieth0- nn ' srchost 192.168.1.231 '这样只会捕获来自主机192.168.1.231的数据包。
$ tcpdump-ieth0- nn ' dsthost 192.168.1.231 '此过程仅捕获名为192.168.1.231的主机收到的数据包。
udp指定端口[ root @ localhost~] # tcpdump-ieth0UDP-NNA ' port 9899 ' tcpdump : verboseoutputsuppressed,use-vor-vvforrd 链路-类型10 MB (以太网),capturesize 65535 bytes 19336018336009.444195 IP 192.168.1.46.35408255.255.255.255 9 I . PE . { ' cmd ' : ' peer ' } 19336009.444988 IP 192.168.168.1.46.354083360 UDP,} ' API ' : '/ip4/127.0.0.1/TCP/' peer id ' : ' TMN KAC 9e v 912 fxxk 8ge 5z x mb8 vgxrrrewh9C1 swnwjaa 6zb8', ' err ' :0 } ^ C2 packets captured2packetsreceivedbyfilter0packetsdroppedbykernel [根@ localhost~] #上的示例是为了监听主机
监听指定主机和端口$ tcpdump-ieth0- NNA ' port 80 andsrchost 192.168.1.231 '多个条件可以通过and,or连接。 以上示例显示192.168.1.231主机监听通过80端口发送的数据包。
监听某个端口以外的端口$ tcpdump -i eth0 -nnA! 如果需要排除port 22 '端口或主机,请单击! ”的符号,上例表示接收22端口以外的数据包。
email: 1650727278@qq.com刷