一、工具介绍
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
简单来说:就是个Linux的抓包工具
二、工具安装
安装方法有多种,这里介绍使用yum安装
安装指令:yum install tpcdump -y
安装完成后,使用tpcdump -V 看一下是否安装成功
安装成功。
三、具体使用
输入指令,tcpdump -help,可以查看详细指令介绍
四、在密评过程中怎么使用这个工具
如果要查看应用服务器和密码机之间指令调用信息、调用频率等,可以在应用服务器上使用tcpdump直接监听网卡,抓这个网卡所有的通信包,然后用wireshark打开这个通信包,就比较好分析。
具体步骤:
1、输入指令:tcpdump -i ens192 -envv -w /home/1234.cap
-i:选择要监听的网卡名称
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-n:对地址以数字方式显示。
-vv:产生比-v更详细的输出。
-w:输出的位置(文件存储的位置)
ctrl+c停止抓包
2、然后将1234.cap 导出,用wireshark打开
导出工具我这里是使用的xftp