TCPdump抓包
[[email protected] ~]#yum install tcpdump -y
[[email protected] ~]# tcpdump -i ens37 #抓取網卡ens37的所有資料包
[[email protected] ~]# tcpdump -i ens37 -n #加參數-n是不顯示域名,以ip位址顯示
[[email protected] ~]# tcpdump -i ens37 -nn #加參數-nn是不顯示域名和應用名,以ip位址和端口号顯示
[[email protected] ~]# tcpdump -i ens37 -nn -v #加參數-v 能顯示出包括協定的其他詳細資訊
[[email protected] ~]# tcpdump -i ens37 -nn -v -P in # -P(in|out|inout)表示資料包方向
[[email protected] ~]# tcpdump -i ens37 -nn -v -P in -w /root/Desktop/1.cap #-w将資料包寫入檔案,然後用抓包工具打開分
-----------進階用法(過濾參數,詳細參考man pcap-filter)
過濾參數包括:
類型:host 、net 、port 、portrange
流量方向:src 、dst 、src or dst 、src and dst 、ra 、ta
協定:ether 、fddi 、ip 、ip6 、wlan 、arp 、rarp 、tcp 、udp 、icmp
#抓取進入本機ens37網卡的10-400端口資料,或者是445端口的資料:
[[email protected] ~]# tcpdump -i ens37 -nn -P in portrange 10-400 or port 445
#抓取目的ip為172.16.40.1且協定為icmp的資料包
[[email protected] ~]# tcpdump -i ens37 -nn ’ icmp && dst host 172.16.40.1 ’
TCPdump抓包
#抓取目的網段為172.16.40.0/24的arp封包
[[email protected] ~]# tcpdump -i ens37 -nn ’ arp && dst net 172.16.40.0/24 ’
#抓取目的位址為172.16.40.40且非22和111端口的tcp封包
[[email protected] ~]# tcpdump -i ens37 -nn ’ port ! 22 && port ! 111 tcp && dst net 172.16.40.40 ’
#抓取源位址為172.16.40.1目的位址為172.16.40.40目的端口為22的tcp封包
[[email protected] ~]# tcpdump -i ens37 -nn 'tcp && src host 172.16.40.1 && dst host 172.16.40.40 && dst port 22 ’
詳細參考man pcap-filter