TCPDUMP抓包
- 默认只抓68个字节
tcpdump -i eth0 -s 0 -w a.cap
# 抓eth0网卡的
# size 0 表示全部
# w 保存到文件a.cap
tcpdump -r a.cap
# 查看文件
tcpdump -A -r a.cap
# 查看更详细的
tcpdump -i eth0 tcp port 22
# 筛选器,只抓tcp 22端口的
显示筛选器
tcpdump -n -r http.cap | awk'{print $3}'|sort -u
# -n 不会dns解析,不会ip解析为域名
# -r 读取
# awk 筛选出第三列的内容
# sort -u 去掉重复
tcpdump -n src host xxx.xxx.xxx.xxx -r http.cap
# src 只有源ip为xxx才显示
tcpdump -n dst host xxx.xxx.xxx.xxx -r http.cap
# dst 只显示目的ip为xxx的
tcpdump -n port xx -r http.cap
# 只查看端口
tcpdump -nX port 80 -r http.cap
# 端口 以16进制显示
tcpdump -A -n 'tcp[13]=24' -r http.cap
# 是第14个字节
# 高级筛选 可筛选任何位置
文档记录工具
Dradis:
- 基于web
- 短期资料共享
- 各种插件导入文件
Keepnote
Truecypt