tcpdump是一款很好的linux抓包分析數據包的軟件,下面講解一下如何通過tcpdump進行抓取數據包,分析數據包的過程.
- 設置所抓取的網卡,用參數-i
首先我們在命令行中輸入ifconfig,查看自己的所分配的ip 地址的網卡信息
可能是eth0 或者ens0,當然有很多種,這里只需輸入你所想要在那個網卡上抓取就行了
tcpdump -i ens3 //在網卡ens3上進行數據包的抓取
- 設置所抓取數據包的源,目的地址,參數 src ip/dst ip
tcpdump host 119.63.197.151//這個ip地址是百度的一個地址,所以小編這
里抓取的是流往百度的流量,當然tcpdump比較好的地方是也可以抓取所去
往的域名.因此,我們也可以用下面這種形式.
tcpdump host www.baidu.com//域名的方法,更加形象
tcpdump src 119.63.197.151//檢測來自百度的包
tcpdump dst 119.63.197.151//檢測去百度的包
- 設置在那個端口進行刷取 port
tcpdump port 23 //設置對端口23進行抓取,23 是telnet默認的端口形式,因
此如果你在用遠程連接的話,下面就會出現相應的數據包
- 對協議進行抓取,直接加上協議名子即可
tcpdump能夠實現直接對網絡協議進行抓取.因此,如果我們知道想要的數據包是什么協議的話,可以直接對這個協議進行抓取
tcpdump tcp//對tcp協議進行抓取
tcpdump udp//對udp協議進行抓取
還能對其他的一些協議抓取,如arp(地址解析),icmp
- 實現邏輯組合功能
tcpdump能夠實現多個組合參數,可以用邏輯語法and , not, or
tcpdump -i eth0 tcp and not port 22//在網卡eth0上檢測不是22端口的tcp包
等等,可以自己根據需要進行組合
- 其他一些常用參數
-w<數據包文件>:把數據包數據寫入指定的文件。
-c<數據包數目>:收到指定的數據包數目后,就停止進行傾倒操作;