分类: LINUX
2019-11-15 15:53:10
tcpdump 先查看硬件接口
tcpdump -D 会显示一个设备映射列表,类似:
1.eth0
2.nflog (Linux netfilter log (NFLOG) interface)
3.nfqueue (Linux netfilter queue (NFQUEUE) interface)
4.usbmon1 (USB bus number 1)
5.any (Pseudo-device that captures on all interfaces)
6.lo
比如我们查看 ens33 这个网络设备的通讯细节,则可以执行命令
tcpdump -i ens33
然后按 ctrl+c 结束抓包,如果抓包太多了,也可以限制抓包个数, 比如只抓100个包
tcpdump -i ens33 -c 100
抓取任意网络设备的ping包,5个
tcpdump-i any -c5 icmp
用 -n 选项显示 IP 地址,-nn 选项显示端口号
用 host 参数只抓取和特定主机相关的数据包:
tcpdump-i any -c5 -nn host 54.204.39.132
抓取任意网络设备过来的,通讯端口为80的数据包
tcpdump-i any -c5 -nn port 80
抓取从内网98过来的数据包,和抓取发往内网98的数据包
tcpdump-i any -c5 -nn src 192.168.1.98
tcpdump-i any -c5 -nn dst 192.168.1.98
多条件筛选:
你也可以使用括号来创建更为复杂的过滤规则,但在 shell 中请用引号包含你的过滤规则以防止被识别为 shell 表达式:
tcpdump-i any -c5 -nn src 192.168.1.98 and port 80
tcpdump-i any -c5 -nn "port 80 and (src 192.168.122.98 or src 54.204.39.132)"
-X 以 HEX 格式打印数据报文内容
-A 以 ASCII 格式打印数据报文内容
tcpdump-i any -c10 -nn -A port 80
使用 -w 选项来保存数据包而不是在屏幕上显示出抓取的数据包:
tcpdump-i any -c10 -nn -w webserver.pcap port 80
