tcpdump命令实际操一-抓获数据包

写的只是自己使用中具体用到的。具体参数没有写,要了解深入的请看man手册
通常情况下应该是监控的外网的访问先使用命令看看你对应的网卡是哪个
ifconfig

nsa8ea6913-cb Link encap:Ethernet HWaddr FA:16:3E:D1:E6:61
inet addr:[b]192.168.104.141[/b] Bcast:192.168.104.255 Mask:255.255.255.0
inet6 addr: fe80::f816:3eff:fed1:e661/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1478937489 errors:0 dropped:0 overruns:0 frame:0
TX packets:1421950313 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:695168020202 (647.4 GiB) TX bytes:415633205696 (387.0 GiB)

[b]监听网卡nsa8ea6913-cb[/b]
tcpdump -i nsa8ea6913-cb


[b]监听指定协议的数据,用来监听tcp协议的数据,如果要监听icmp或者是udp协议,只需要修改上例的icmp就可以了[/b]
tcpdump -i nsa8ea6913-cb -nn 'tcp'


看看抓获数据包的具体说明,如果看到乱码可以试试关闭apache的gzip
[table]
抓到包的时间| IP| 发包的主机和端口 > 接收的主机和端口| 数据包内容|
[/table]
[b]监听主机[/b]
[i]监听指定的主机接手和发送的数据包[/i]
tcpdump -i nsa8ea6913-cb -nn 'host 192.168.104.141'

[i]只有192.168.104.141这台主机发送的包才会被抓获[/i]
tcpdump -i nsa8ea6913-cb -nn 'src host 192.168.104.141'

[i]只有192.168.104.141接收数据包才被抓获[/i]
tcpdump -i nsa8ea6913-cb -nn 'dst host 192.168.104.141'


[b]监听指定端口[/b]
[i]结合-A参数监听某个端口的所有的数据包,这个我常常使用[/i]
 tcpdump -i nsa8ea6913-cb -nnA 'port 80'


[b]监听指定主机和端口[/b]
[i]多个条件匹配主机和端口使用and,or连接[/i]
tcpdump -i nsa8ea6913-cb -nnA 'port 80 and src host 192.168.1.231'

[i]指定数据包的网络地址[/i]
tcpdump -i nsa8ea6913-cb -nnA 'src net 192.168.104.141/80'

[i]监听除某个端口外的其它端口[/i]
tcpdump -i nsa8ea6913-cb -nnA '!port 22
'

[b]请求的相关参数说明[/b]
-i interface
指定tcpdump 需要监听的接口. 如果没有指定, tcpdump 会从系统接口列表中搜寻编号最小的已配置好的接口(不包括 loopback 接口).
-A
以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages).
-c count
tcpdump将在接受到count个数据包后退出.
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值