https://zhuanlan.zhihu.com/p/48532128
https://www.jianshu.com/p/d9162722f189
https://www.bbsmax.com/A/MAzA7kQq59/
https://blog.csdn.net/wfj_uestc/article/details/89631410
https://www.cnblogs.com/jiujuan/p/9017495.html
目录
一、显示选项配置
显示选项带-
- -i:指定网络接口
- -c5:指定抓取5个数据包
二、过滤选项配置
过滤选项不带-
多条件筛选采用and或者or/not(!),可以采用括号实现复杂的过滤规则,shell中要使用引号引住过滤规则,防止误识别。
1.ip相关
- host:抓取特定ip相关的数据包
- src:源ip
- dst:目标ip
- port:抓取特定端口相关的数据包
三、打印数据包
- -A:打印数据包的ascii码值
- -x:打印数据包的十六进制
四、保存抓包数据
- -w webserver.pcap
使用tcpdump -r 打开,或者别的二进制工具打开。
流量分析工具:wireshark https://www.cnblogs.com/yuanyuzhou/p/16308963.html
注意复杂条件过滤-w存储的文件可能无法使用wireshark打开,比如多ip.
五、实战
- 多ip过滤
如果想要获取主机172.16.0.11除了和主机210.45.123.249之外所有主机通信的ip包,使用命令:
tcpdump ip 'host 172.16.0.11 and ! 210.45.123.249'
注意如果有多个想抓取的ip,不能 ip1 and ip2,要ip1 or ip2,一个包不可能同时有2个ip。
0 条评论