TCPDUMP{
No-GUI 的抓包分析工具;
Linux\Unix 系统默认安装;
抓包{
默认只抓 68 个字节;
tcpdump -i wlan0 -s 0 -w file.pcap
#|| -s: 数据包有多大,就抓多大 ||#
Tcpdump -i wlan0 port 22
}
读取抓包文件{
Tcpdump -A -r file.pcap
#|| -A: 以ascii码的形式,更详细地列出包中内容
-X: 以十六进制显示 ||#
显示筛选器{
tcpdump -n -r http.cap | awk ‘{print $3}’ | sort -u
;;; -n: 不对ip地址进行dns解析
;;; sort -u : 排序并且剔除重复的项
tcpdump -n src host 145.254.160.327 -r http.cap
tcpdump -n dst host 192.168.31.221 -r http.cap
tcpdump -n port 53 -r http.cap
tcpdump -nX udp port 53 -r http.capa
tcpdump -A -n ‘tcp[13]=24’ -r http.cap ;;高级筛选,可以筛选任何位置,任何数据包
;;; tcp 报头的第十四个字节为 24 (push,ack)
}
}
}
过程文档记录{
Dradis{
短期临时小团队资源共享;
各种插件;
}
keepnote;
Truecrypt;
}