目录
一、tcpdump
1、作用
行tcpdump指令可列出经过指定网络界面的数据包文件头,可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你摘取有用信息。
由于它需要将网络接口设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息
其他抓包工具
wireshark,具有图形化和命令行两种版本,可以对tcpdump抓的包进行分析,其主要功能就是分析数据包。
ngrep,它将抓到的包数据以文本形式直接显示出来,适用于包数据包含文本的抓包分析(如HTTP、MySQL)
2、命令选项
tcpdump [选项] [协议] [数据流方向] [范围]
-a #将网络地址和广播地址转变成名字
-A #以ASCII格式打印出所有分组,并将链路层的头最小化
-b #数据链路层上选择协议,包括ip/arp/rarp/ipx都在这一层
-c #指定收取数据包的次数,即在收到指定数量的数据包后退出tcpdump
-d #将匹配信息包的代码以人们能够理解的汇编格式输出
-dd #将匹配信息包的代码以c语言程序段的格式输出
-ddd #将匹配信息包的代码以十进制的形式输出
-D #打印系统中所有可以监控的网络接口
-e #在输出行打印出数据链路层的头部信息
-f #将外部的Internet地址以数字的形式打印出来,即不显示主机名
-F #从指定的文件中读取表达式,忽略其他的表达式
-i #指定监听网络接口
-l #使标准输出变为缓冲形式,可以数据导出到文件
-L #列出网络接口已知的数据链路
-n #不把网络地址转换为名字
-N 不输出主机名中的域名部分,例如www.baidu.com只输出www
-nn #不进行端口名称的转换
-P #不将网络接口设置为混杂模式
-q #快速输出,即只输出较少的协议信息
-r #从指定的文件中读取数据,一般是-w保存的文件
-w #将捕获到的信息保存到文件中,且不分析和打印在屏幕
-s #从每个组中读取在开始的snaplen个字节,而不是默认的68个字节
-S #将tcp的序列号以绝对值形式输出,而不是相对值
-T #将监听到的包直接解析为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)
-t #在输出的每一行不打印时间戳
-tt #在每一行中输出非格式化的时间戳
-ttt #输出本行和前面以后之间的时间差
-tttt #在每一行中输出data处理的默认格式的时间戳
-u #输出未解码的NFS句柄
-v #输出稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
-vv#输出相信的保报文信息
3、tcpdump表达式
关于数据类型的关键字
包括host、port、net:
host 192.168.100.1表示一台主机,net 192.168.100.0表示一个网络网段,port 80 指明端口号为80,在这里如果没有指明数据类型,那么默认就是host
数据传输方向的关键字
包括src、dst、dst or src、dst and src,这些关键字指明了传输的方向,比如src 192.168.100.1说明数据包源地址是192.168.100.1。dst net 192.168.100.0指明目的网络地址是192.168.100.0,默认是监控主机对主机的src和dst,即默认监听本机和目标主机的所有数据
协议关键字
包括 ip、arp、rarp、udp
其他关键字
运算类型:or、and、not、!
辅助功能型:gateway、less、broadcast、greater
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
