抓包工具比较好用的有两个,一个是
snort
,一个是
tcpdump
,这次不说
snort
了,觉得这个工具虽然很强
大,但是比较复杂,还是
tcpdump
比较简单。
tcpdump windows
、
linux
版本均有。
linux
版本可以在以下
网站下载:
www.tcpdump.org.
安装好
tcpdump
之后,运行
tcpdump
:
1. tcpdump -D
获取网络适配器列表
,以下是在
windows
上获取到的结果:
1.\Device\PssdkLoopback (PSSDK Loopback Ethernet Emulation Adapter)
2.\Device\{CF587901-C85F-4FD6-896F-D977DEFE76EC} (Intel(R) PRO/100 VE
Network Co
nnection)
2. tcpdump -i <
需要监控的网络适配器编号
>
,例如我想监控
lo(127.0.0.1)
,即上面列表中的
1.\Device\PssdkLoopback:
(
windows
上特有的,
linux
不适用)
tcpdump -i 1
如果不使用
-i
来定义监控适配器的话,默认使用列表中的第一个;
3.
监控主机为
192.9.200.59
上
8000
端口的
tcp
协议
:
tcpdump host 192.9.200.59 and tcp port 8000
4.
如果想要显示数据包的内容,
需要使用
-X
参数
,
如,
我想要显示捕获的
http
数据包
http header
的内容:
tcpdump -X host 192.9.200.59 and tcp port 8000
显示结果如下:
22:13:19.717472 IP testhost59.12535 > liujuan59.8000: . 1:330(329) ack 1 win 327
8
0x0000:
4500 0171 e616 0000 8006 cb2b 0000 0000
E..q.......+....
0x0010:
c009 c83b 30f7 1f40 0000 0002 0000 0002 ...;0..@........
0x0020:
5010 8000 b066 0000 504f 5354 202f 2048
P....f..POST./.H
0x0030:
5454 502f 312e 310d 0a43 6f6e 7465 6e74
TTP/1.1..Content
0x0040:
2d54 7970 653a 2074 6578 742f 786d 6c3b
-Type:.text/xml;
0x0050:
2063 .c
可以看到该结果只显示了
http
头的一部分,没有显示全,是因为
tcpdump
默认将显示的数据长度截断了,
可以使用
-s
后面加数据长度,来设置数据显示长度:
tcpdump -X -s 0 host 192.9.200.59 and tcp port 8000
以上的例子中,
-s 0
表示自动设置长度使其能够显示所有数据。
5.
捕获的数据太多,不断刷屏,可能需要将数据内容记录到文件里,需要使用
-w
参数
:
tcpdump -X -s 0 -w aaa host 192.9.200.59 and tcp port 8000
则将之前显示在屏幕中的内容,写入
tcpdump
可执行文件同级目录下的
aaa
文件中。
文件查看方式如下,需要使用
-r
参数:
tcpdump -X -s 0 -r aaa host 192.9.200.59 and tcp port 8000
如果这样写:
tcpdump -r aaa
则只能看到最简单的数据传输交互过程,看不到数据包内容,查看时也需要使用相应的参数。
相关推荐
安装tcpdump的抓包工具 ./configure make make install 设置软链接 ln -sf /usr/local/bin/m4 /usr/bin/m4 ln -sf /usr/local/bin/flex /usr/bin/flex ln -sf /usr/local/bin/flex++ /usr/bin/flex++ ln -sf /...
Linux 下抓包工具 tcpdump 使用介绍 tcpdump 是一个功能强大且灵活的抓包工具,广泛应用于网络分析和测试技术中。下面是 tcpdump 的一些重要知识点: 1. Ether 广播包的匹配:tcpdump 可以匹配 ether 广播包, ...
arm下抓包工具 Linux version 4.14
5. **安全与隐私**:抓包工具可能涉及敏感信息,如用户数据、密码等。务必遵守相关法律法规,确保数据安全和隐私保护。 配合源码学习: 通过查看tcpdump的源码,开发者可以深入理解网络数据包捕获的原理,了解如何...
Linux/Unix系统中,tcpdump是一款非常强大的网络数据包分析工具,它允许用户实时监控网络通信或者将捕获的数据包保存到文件以便后续分析。tcpdump的使用涉及到网络协议、命令行参数、过滤规则等多个方面的知识。 ...
- `<snaplen>`:定义抓包时捕获的数据包长度,默认值可能不足以捕获完整包头,需要适当调整。 - `<filter expression>`:可选的过滤表达式,用于筛选特定类型的数据包。 例如,以下命令将捕获所有HTTP请求: ```...
抓包选项: -c:指定要抓取的包数量。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包。 -i interface:指定tcpdump需要监听的接口。若未...
值得注意的是,由于Tcpdump具有高度的监控能力,涉及敏感信息的抓包操作通常需要root权限执行。同时,合理使用这些工具并尊重用户隐私是网络管理中的重要原则。在实际应用中,网络管理员应根据实际情况,遵循法规和...
tcpdump是一款广泛使用的...总结来说,tcpdump是一款强大的网络抓包工具,通过离线安装包,用户可以在没有互联网连接的情况下在系统上安装和使用。掌握其基本用法和过滤技巧,对于提升网络管理和故障排查能力至关重要。
Linux的抓包程序tcpdump是网络诊断和分析的重要工具,它允许系统管理员或开发者捕获网络上的数据包,以便分析网络通信的问题、监控网络活动或者进行安全审计。tcpdump能够解析并显示各种网络协议的数据包详细信息,...
然后,通过ADB连接到手机,执行tcpdump命令来启动抓包。 例如,要捕获所有TCP和UDP数据包,可以使用以下命令: ``` adb shell tcpdump -i any -nnvvSs 0 -c 1000 port not 22 and not port 53 ``` 这里,`-i any`...
然而,你提到的是自己编写的Linux抓包工具,这通常涉及到编程知识,尤其是网络编程。在Linux下,我们可以使用socket API来实现抓包功能。具体来说,你需要创建一个RAW socket(SOCK_RAW类型),它允许你直接访问数据...
Tcpdump 4.5.1版本,解压后是一个二进制可执行文件,不需要任何编译和安装,可以直接执行,上传Linux环境解压即可使用: root@admin:/tmp# ./tcpdump -help tcpdump version 4.5.1 libpcap version 1.5.3 Usage: ...
tcpdump 是 Linux 中最常用的抓包工具之一,能够捕获网络中的数据包并将其存储到文件中。下面是 tcpdump 的一些常用命令参数: * -s0:表示应用层的 size 不受限制,用于详细分析。 * -c 包数量:到达某个数量后...
Linux系统抓包工具,可直接运行,传上来方便大家使用.
支持在Tomato DualWAN 等系统下使用的tcpdump工具. chmod +x tcpdump 简单用法: a.... /tmp/tcpdump -i br0 -f "host 192.168.1.3" -vv b..../tmp/tcpdump -i br0 -f "host 192.168.1.3" -w /tmp/aa....停止抓包:ctrl+c
tcpdump 是 Linux 命令行下常用的一个抓包工具,记录一下平时常用的方式,测试机器系统是 Ubuntu 12.04。tcpdump 的命令格式为:tcpdump [-i 网卡] -nnAX 表达式。 参数说明: * -i:interface 监听的网卡。 * -nn...
总的来说,tcpdump作为一款强大的网络抓包工具,是IT专业人士必备的技能之一。掌握它的使用,不仅可以提升网络问题解决能力,也是深入理解TCP/IP协议的重要途径。在实际工作中,灵活运用tcpdump和相关工具,能有效...
tcpdump 的使用非常灵活,它通过命令行界面操作,允许用户指定各种参数来控制抓包的行为。例如,你可以指定监听哪个网络接口,过滤特定类型的网络流量,或者将捕获的数据包保存到文件以便后续分析。 以下是一些基本...