Tcpdump工具使用介绍
抓包工具介绍
linux主要使用tcpdump
tcp协议
flag标记是什么类型的包
tcpdump过滤的规则
基于主机、dst过滤
基于网段:net过滤
基于端口:port过滤
基于协议过滤
tcpdump常见的参数
-i监听具体的某个网卡
-nn,将ip和端口打印出来
-tttt打印日期、时间精准信息
-v打印ip、协议类型、偏移量、flag等详细信息(大部分不必要)
-c:指定收包的个数
-C:指定收包后输出文件的大小,单位1M,与-w一起使用,-W:指定最多写多少个文件
打印包的方向:
-Q:后面跟in、out指定包的入还是出的
man tcpdump:查看tcpdump的帮助文档
-s:截断,指定每个包捕获的长度
查看tcpdump的版本:
-X:同时显示16进制和ASCII格式
-e:显示源和目的MAC地址
-F:tcpdump时加载文件内的脚本进行抓包操作
-l:缓冲输出,保存到文件
tcpdump -l | tee dat
小写的l,实现效果,既能在控制台打印出来,又能保存到文件dat里面
和tcpdump -l > data.pcap & tail -f data.pcap效果一致
过滤规则组合:and、or、not
命令行中英文括号需要转义
或者使用双引号隔开:
tcpdump "src 10.0.2.4 and (dst port 3389 or 22)"
过滤抓包的大小:less、greater