tcpdump实例

junmail

浏览: 1762485 次
性别:
来自: 成都

最近访客更多访客>>

devcang

紫水兰

lf78204490

xiaolong0211

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

Linux&Unix

1.tcpdump -D 获取网络适配器列表

linux:~ # tcpdump –D

1.eth0

2.br0

3.any (Pseudo-device that captures on all interfaces)

4.lo

2. tcpdump -i <需要监控的网络适配器编号/名称>

当我们不加任何选项执行tcpdump时，tcpdump将抓取通过所有网口的包；使用-i选项，我们可以在某个指定的网口抓包：

linux:~ # tcpdump -i eth0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

19:56:11.936986 IP 192.168.0.148.sitaradir > linux.site.telnet: . ack 3650267677 win 16241

3.抓取指定数目的包(-c选项)

默认情况下tcpdump将一直抓包，直到按下”ctrl+c”中止，使用-c选项我们可以指定抓包的数量

linux:~ # tcpdump -c 1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

19:57:45.442444 IP 192.168.0.148.sitaradir > linux.site.telnet: . ack 3650271151 win 15950

1 packets captured

4 packets received by filter

0 packets dropped by kernel

4. 抓取特定目标ip和端口的包

linux:~ # tcpdump host 192.9.200.59 and tcp port 8000

5. 如果想要显示数据包的内容，需要使用-X参数

linux:~ # tcpdump -i eth0 –X

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

20:05:13.368589 IP 192.168.0.148.sitaradir > linux.site.telnet: . ack 3650272030 win 15071

0x0000: 4500 0028 c239 4000 7d06 1281 0a72 0994 E..(.9@.}....r..

0x0010: 0a72 0a9e 0a47 0017 0f63 294c d992 bb1e .r...G...c)L....

0x0020: 5010 3adf 7421 0000 0000 0000 0000 P.:.t!........

6.捕获的数据太多，不断刷屏，可能需要将数据内容记录到文件里，需要使用-w参数：

linux:~ #tcpdump -X -s 0 -w test.cap host 192.9.200.59 and tcp port 8000

则将之前显示在屏幕中的内容，写入tcpdump可执行文件同级目录下的test.cap文件中。

文件查看方式如下，需要使用-r参数：

linux:~ #tcpdump -X -s 0 -r test.cap host 192.9.200.59 and tcp port 8000

如果这样写：

linux:~ #tcpdump -r test.cap

则只能看到最简单的数据传输交互过程，看不到数据包内容，查看时也需要使用相应的参数。

7.增加抓包时间戳(-tttt选项)

使用-tttt选项，抓包结果中将包含抓包日期：

linux:~ # tcpdump -tttt -i eth0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

2013-10-24 20:09:01.064206 IP 192.168.0.148.sitaradir > linux.site.telnet: . ack 3650285440 win 15823

2013-10-24 20:09:01.064221 IP linux.site.telnet > 192.168.0.148.sitaradir: P 1:148(147) ack 0 win 5840

2013-10-24 20:09:01.064482 IP linux.site.47588 > dns1.zte.com.cn.domain: 4185+ PTR? 148.9.114.10.in-addr.arpa. (43)

8.抓取特定目标ip和端口的包

linux:~ # tcpdump -tttt -i eth0 -s 0 -w test.cap host 192.168.0.148 and tcp port 23

注：-s 0 表示不限制包长度，全部写入。

分享到：

find到带空格文件名用xargs处理的技巧 | 获取表空间、用户和外键的DDL语句

2013-10-24 20:14
浏览 2354
评论(0)
分类:操作系统
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

tcpdump实例

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

tcpdump实例

评论

发表评论

相关推荐

如何让root用户能直接进行ssh登录？

用命令行方式关闭CentOS防火墙

Linux添加新硬盘、分区、格式化、自动挂载

/etc/fstab功能详解

suse linux下vsftp配置和操作

linux中的分区与格式化

linux下raw与基于lvm的raw的用法(转)

ln命令

AIX和Linux下如何查看CPU和内存信息

getopts使用介绍

if 命令参数说明

Linux下修改日期和时间

使用while和read命令读取文件内容

tr命令使用

VI基本操作

查看SUSE LINUX版本

增加组和用户

wireshark过滤语法总结

find到带空格文件名用xargs处理的技巧

SuSE LINUX图形界面和命令行界面切换

最近访客更多访客>>