抓包工具tcpdump
- 查看某个网卡上都有哪些数据包,尤其是当你初步判定你的服务器上有流量攻击时,使用抓包工具来抓一下数据包,就可以知道有哪些IP在攻击你了。
命令 | 说明 |
---|---|
yum install -y tcpdump | 安装tcpdump抓包工具。 |
-A | 数据包的内容以ASCII显示,通常用来抓取www的网页数据包数据。 |
-e | 使用数据链路层的MAC数据包数据来显示。 |
-nn | '-nn’表示第3、4列以’IP+端口号’形式显示,而非主机名和服务名。 |
-i eth0 | '-i’后面跟设备名称,例如:rth0、lo、ppp0。 |
-q | 仅列出较为简短的数据包信息。 |
-X | 可以列出十六进制以及ASCII的数据包内容,对于监听数据包内容很有用。 |
-w filename | 将监听所得数据存储下来。 |
-r filename | 从后面接的文件将数据包的数据读出来。 |
-c 数值 | 监听的数据包数量。如果无此参数,tcpdump会持续监听,直至用户输入ctrl+c为止。 |
‘host 主机名或主机IP’ | 针对单台主机来进行数据包捕获。 |
‘net 192.168’ | 针对某个网络来进行数据包捕获。 |
‘src host 127.0.0.1’ ‘dst host 127.0.0.1’ | 同时加上来源和目标限制 |
‘tcp port 21’ | 针对通信协议来进行数据包捕获,例如:tcp、udp、arp、ether等。 |
'net 192.168 ’ and ‘tcp port 21’ | 针对某个网络和通信协议来进行数据包捕获,可利用and和or来进行数据包数据的整合显示。 |
tcpdump -nn -i eth0 ‘port 22 and src host 192.168.1.120’ | 实时打印网卡eth0的数据信息,’-nn’表示第3、4列以’IP+端口号’形式显示,’-i’后面跟设备名称,'port 22 and src host 192.168.1.120’表示只监测通信协议port22和数据包来源为192.168.1.120的数据包,Ctrl+c中断打印。 |
抓包工具wireshark
yum install -y wireshark | 安装wireshark工具。
tshark -n -t a -R http.request -T fields -e “frame.time” -e “ip.src” -e “http.host” -e “http.request.method” -e “http.request.uri” | 查看WEB服务器的访问记录、WEB请求。