在没有图形化界面的Linux系统上,TCP dump是一个很好用的抓包工具,但是有一个较大的缺陷就是他没有图形化界面,这让用户较难去分析经过的数据包包含的内容,所以可用TCP dump抓包并且以xxx.pcap的格式保存,再将保存的文件拷贝至本地工作站,用wireshark进行分析
- 抓包并保存
tcpdump -w d.pcap
–w 后面跟的是保存的文件路径,如果文件在当前目录下则不用写绝对路径
- 用Xfpt将文件拷贝至本地工作站
用wireshark打开
- TCP dump常用参数(摘自网络)
-n:不把ip转化成域名,直接显示 ip,避免执行 DNS lookups 的过程,速度会快很多
-nn:不把协议和端口号转化成名字,速度也会快很多。
-N:不打印出host 的域名部分。
-v:产生详细的输出. 比如包的TTL,id标识,数据包长度,以及IP包的一些选项。同时它还会打开一些附加的包完整性检测,比如对IP或ICMP包头部的校验和。
-vv:产生比-v更详细的输出. 比如NFS回应包中的附加域将会被打印, SMB数据包也会被完全解码。(摘自网络,目前我还未使用过)
-vvv:产生比-vv更详细的输出。比如 telent 时所使用的SB, SE 选项将会被打印, 如果telnet同时使用的是图形界面,其相应的图形选项将会以16进制的方式打印出来
-t:在每行的输出中不输出时间
-tt:在每行的输出中会输出时间戳
-ttt:输出每两行打印的时间间隔(以毫秒为单位)
-tttt:在每行打印的时间戳之前添加日期的打印
-x:以16进制的形式打印每个包的头部数据
-xx:以16进制的形式打印每个包的头部数据
-X:以16进制和 ASCII码形式打印出每个包的数据,这在分析一些新协议的数据包很方便。
-XX:以16进制和 ASCII码形式打印出每个包的数据,这在分析一些新协议的数据包很方便。
-i:指定要过滤的网卡接口,如果要查看所有网卡,可以 -i any
-Q:选择是入方向还是出方向的数据包,可选项有:in, out, inout,也可以使用 --direction=[direction] 这种写法
-A:以ASCII码方式显示每一个数据包(不显示链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据
-l : 基于行的输出,便于你保存查看,或者交给其它工具分析
-q : 简洁地打印输出。即打印很少的协议相关信息, 从而输出行都比较简短.
-c : 捕获 count 个包 tcpdump 就退出
-s : tcpdump 默认只会截取前 96 字节的内容,要想截取所有的报文内容,可以使用 -s number, number 就是你要截取的报文字节数,如果是 0 的话,表示截取报文全部内容。
-S : 使用绝对序列号,而不是相对序列号
-F:使用file 文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略.
-D : 显示所有可用网络接口的列表
-e : 每行的打印输出中将包括数据包的数据链路层头部信息
-E : 揭秘IPSEC数据
-L :列出指定网络接口所支持的数据链路层的类型后退出
-Z:后接用户名,在抓包时会受到权限的限制。如果以root用户启动tcpdump,tcpdump将会有超级用户权限。
-d:打印出易读的包匹配码
-dd:以C语言的形式打印出包匹配码.
-ddd:以十进制数的形式打印出包匹配码
661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
