linux系统下使用tcpdump进行抓包方法

发布时间:2020-08-28 14:47:33 作者:laozhang
来源:脚本之家 阅读:161

我先看下实例代码:

1.常见参数

tcpdump -i eth0 -nn -s0 -v port 80

-i 选择监控的网卡

-nn 不解析主机名和端口号,捕获大量数据,名称解析会降低解析速度

-s0 捕获长度无限制

-v 增加输出中显示的详细信息量

port 80 端口过滤器,只捕获80端口的流量,通常是HTTP

2.

tcpdump -A -s0 port 80

-A 输出ASCII数据

-X 输出十六进制数据和ASCII数据

3.

tcpdump -i eth0 udp

udp 过滤器,只捕获udp数据

proto 17 协议17等效于udp

proto 6 等效于tcp

4.

tcpdump -i eth0 host 10.10.1.1

host 过滤器,基于IP地址过滤

5.

tcpdump -i eth0 dst 10.105.38.204

dst 过滤器,根据目的IP过滤

src 过滤器,根据来源IP过滤

6.

tcpdump -i eth0 -s0 -w test.pcap

-w 写入一个文件,可以在Wireshark中分析

7.

tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'

-l 配合一些管道命令的时候例如grep

8.

组合过滤

and or &&

or or ||

not or !

9.

快速提取HTTP UA

tcpdump -nn -A -s1500 -l | grep "User-Agent:"

使用egrep 匹配 UA和Host

tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

10.

匹配GET的数据包

tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

匹配POST包,POST的数据可能不在包里

tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

11.

匹配HTTP请求头

tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

匹配一些POST的数据

tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

匹配一些cookie信息

tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

12.

捕获DNS请求和响应

tcpdump -i eth0 -s0 port 53

13.

使用tcpdump捕获并在Wireshark中查看

使用ssh远程连接服务器执行tcpdump命令,并在本地的wireshark分析

ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -

ssh ubuntu@115.159.28.111 'sudo tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -

14.

配合shell获取最高的IP数

tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

15.捕获DHCP的请求和响应

tcpdump -v -n port 67 or 68

linux系统下使用tcpdump进行抓包方法

linux系统下使用tcpdump进行抓包方法

推荐阅读:
  1. 抓包分析工具—tcpdump
  2. tcpdump抓包分析详解

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

linux tcpdump 抓包

上一篇:浅谈Python对内存的使用(深浅拷贝)

下一篇:Go routine调度详解

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》