00x1简介:
Tcpdump是Linux自带的一个基础命令
我们在进行AWD比赛时需要对自己的靶机进行抓包分析大佬们是如何进攻我们的,当我们抓取到大量被攻击的流量时,进行分析,会发现很多很妙很便捷的得分方式(借刀杀人的意思)大佬们已经用这种方式在我们身上得分,也许我们可以通过这种方式去拿到其他人的分
00x2实例:
tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ]
[ -s snaplen ] [ -w file ] [ expression ]
tcpdump -i eth0 -w file.pcap:监视默认的网络接口进行抓取数据包,写入并且名命为file.pcap
tcpdump -s 0 -w file.pcap port 9999 对端口9999进行监视,写入并且名命为file.pcap
tcpdump host 192.168.1.1 :抓取主机192.168.1.1上所有收到与发出的数据包
00x3常见选项介绍:
-s :简单理解为抓报长度,一般设置为0,为65535字节(从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节)
-i : 监听的网络接口,有多个网络接口时可选择eth0/eth1/eth2......
-w : 将监听到的内容保存到指定的文件中,可为其名命更改其格式
-c :指定要抓取的包的数量.(规定需要包的数量,有时会抓很多包但是只有符合要求的包会被保存记录下来
-p : 指定要抓取的包是流入还是流出的
-v : 输出一个稍微详细的信息
-vv : 输出详细的报文信息(例如tos、ttl、checksum等)
-q :快速打印输出,既只输出少量的协议相关信息
-D :列出操作系统所有可以用于抓包的接口
00x4结合工具进行解析配合:
tcpdump -w xxx.pcap选项导出数据包并提取到Wireshark进行分析
tcpdump -nXr xxx.pcap host host1 将数据包显示到屏幕上
00x5总结:
tcpdump抓包挺简单的,一般设置几个简单的选项,重要的是分许数据包与利用·