【拦截工具】
yum install -y tcpdump
【查看工具】
wireshark
https://www.wireshark.org/download/
tcpdump -i eth0 port 80 -w /data/dump.cap
详细的输出
tcpdump -e -vv -XX port 80 -w /data/dump.cap
过滤主机
- 抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据
tcpdump -i eth1 host 192.168.1.1
- 源地址
tcpdump -i eth1 src host 192.168.1.1
- 目的地址
tcpdump -i eth1 dst host 192.168.1.1
过滤端口
- 抓取所有经过 eth1,目的或源端口是 25 的网络数据
tcpdump -i eth1 port 25
- 源端口
tcpdump -i eth1 src port 25
- 目的端口
tcpdump -i eth1 dst port 25网络过滤
tcpdump -i eth1 net 192.168
tcpdump -i eth1 src net 192.168
tcpdump -i eth1 dst net 192.168
可以加入-X参数,查看包内容
协议过滤
tcpdump -i eth1 arp
tcpdump -i eth1 ip
tcpdump -i eth1 tcp
tcpdump -i eth1 udp
tcpdump -i eth1 icmp
常用表达式
非 : ! or “not” (去掉双引号)
且 : && or “and”
或 : || or “or”
- 抓取所有经过 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据
tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host
192.168.1.200)))’
- 抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据
tcpdump -i eth1 ‘((icmp) and ((ether dst host 00:01:02:03:04:05)))’
- 抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据